Un extraño comunicado en la web de TrueCrypt anuncia el fin del proyecto

truecrypt-advice

«Usar TrueCrypt no es seguro ya que puede contener problemas de seguridad no resueltos» así empieza el extraño comunicado en el que los desarrolladores de Truecrypt cuya identidad siempre ha sido un misterio, advierten sin dar detalles de ningún tipo, sobre la inseguridad de su propio software y aconsejan utilizar otros programas de cifrado, recomendando con  especial interés la migración a Microsoft Bitlocker, por parte de los usuarios de Windows.

Han pasado ya casi 24 horas desde el anuncio, pero todavía las incógnitas son mayúsculas, y en la red podemos encontrar teorías para todos los gustos

Vamos a empezar con lo que realmente sabemos por ahora:

Lo primero es que la web de TrueCrypt ha sido redirigida a la página de Sourceforge donde se aloja una nueva versión 7.2 firmada con una clave valida (lo que alejaría en parte la posibilidad de un defacement, o en todo caso sería uno bastante sofisticado), y en la que se han introducido varias modificaciones que advierten de la inseguridad del programa, que según algunas fuentes solo permitiría descifrar los volúmenes de TrueCrypt, deshabilitando la parte del cifrado.

Al tiempo que se han eliminado las versiones anteriores en SourceForge (aunque todavía es posible obtenerlas desde este repositorio de GitHub).

Siguiendo con los datos que tenemos: las instrucciones y el interés de migrar a Microsoft Bitlocker y ligándolo con el final del soporte de Windows XP es bastante sospechoso.

El desarrollo de TrueCrypt se terminó en 5/2014 después de que Microsoft finalizará el soporte de Windows XP. Windows 8/7/Vista ofrecen soporte para discos cifrados e imágenes de disco virtuales

En cuanto a los usuarios de OS X y especialmente Linux las instrucciones son bastante más difusas:

Utilice cualquier soporte integrado para el cifrado. Buscar los paquetes de instalación disponibles para las palabras de encryption y crypt, instalar cualquier paquete encontrado y seguir su documentación.

Como algunos ya sabéis, hay una auditoria en marcha desde hace unos meses para analizar el código de TrueCrypt, la cual está dirigida por Matthew Green siendo pública y financiada mediante crowdfunding, y que ya nos ha ofrecido algunos resultados parciales. en los que no se ha encontrado ninguna evidencia de backdoor o código malicioso, aunque sí algunos fallos que no se creen intencionados en este software de cifrado.

El propio Matthew Green manifestaba a través de twitter, desconocer todo este asunto y que sus intentos de contactar con los desarrolladores para aclarar el tema, no habían dado resultado.

truecrypt_final

Y hasta aquí los datos que tenemos por ahora.

Si ya saltamos al terreno de las especulaciones, parece que tres posibilidades diferentes y no necesariamente excluyentes, cobran fuerza:

  1. El anuncio es extraño pero legítimo. Lamentablemente el modelo de desarrollo de TrueCrypt, en el que no sabemos quien está detrás del código, en teoría para mantener la seguridad de los desarrolladores mediante su anonimato, no permite confirmar nada de esto.
  2. Que se haya producido un deface, en el que hayan conseguido hackear las credenciales de los desarrolladores y colocar una versión falsa con algún tipo de malware o simplemente con el interes de crear dudas y que los usuarios migren al producto de Microsoft, que como sabéis es una compañía que según los papeles de Snowden, colabora en el entramado de PRISM.
  3. Y mi teoría favorita que está circulando bastante por reddit es que sea un caso parecido al de Lavabit (el servicio de correo electrónico que se vió obligado a cerrar sus puertas, por negarse a colaborar con la NSA), y estemos ante lo que se conoce como un Canary warrant, un método que permitiría a un proveedor de servicios advertir a los usuarios de la existencia de una citación o requerimiento, de forma pasiva e indirecta, cuando está sometido a una orden judicial secreta. De ahí el extraño anuncio por parte del equipo de TrueCrypt, que era obvio que iba a llamar la atención de todos

Sea como fuere, la lección que podemos sacar de esto, es que no es conveniente confiar en programas de los que no tengamos ni la menor idea de quién está detras, sobre todo si son los que van a manejar nuestros datos más sensibles.

Falta también por ver como afectará esto a RealCrypt, la versión totalmente libre de TrueCrypt presente en las mayoría de repositorios de las distros GNU/Linux y que aparte de algunos pequeños parches, comparte el mismo código de cifrado/descifrado.

Obviamente la sugerencia es no actualizar a la nueva versión 7.2 e ir mirando con calma posibles substitutos, porque me da que Truecrypt está más muerto que otra cosa. Por muy buenos que sean los resultados finales de la auditoría que por otra parte continua su curso, y aunque alguien se ofrezca a retomarlo, la desconfianza ya ha salpicado a todo el proyecto.

A todo esto amigos…vosotros que recomendáis como substituto de este programa en GNU/Linux? O hacemos caso a los de TrueCrypt e instalamos cualquier cosa que lleve crypt en su nombre…mejor no ¿verdad?

Vía | @soydelbierzo

19 comentario en “Un extraño comunicado en la web de TrueCrypt anuncia el fin del proyecto”

  1. Pingback: Truecrypt desaparece misteriosamente | LiGNUx
  2. Trackback: Truecrypt desaparece misteriosamente | LiGNUx
  3. Pingback: ZuluCrypt: una interesante alternativa a TrueCrypt | La mirada del replicante
  4. Trackback: ZuluCrypt: una interesante alternativa a TrueCrypt | La mirada del replicante
  5. Pingback: Disponible Wifislax 4.9: una distro para la auditoria de redes | La mirada del replicante
  6. Trackback: Disponible Wifislax 4.9: una distro para la auditoria de redes | La mirada del replicante
  7. Pingback: Disponible Wifislax 4.9: una distro para la auditoría de redes | Live Wifislax
  8. Trackback: Disponible Wifislax 4.9: una distro para la auditoría de redes | Live Wifislax
  9. Pingback: Truecrypt desaparece misteriosamente
  10. Trackback: Truecrypt desaparece misteriosamente

Responder a Orbayo Rainbowarrior Cancelar respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.