Un extraño comunicado en la web de TrueCrypt anuncia el fin del proyecto

por | 29 mayo, 2014

truecrypt-advice

«Usar TrueCrypt no es seguro ya que puede contener problemas de seguridad no resueltos» así empieza el extraño comunicado en el que los desarrolladores de Truecrypt cuya identidad siempre ha sido un misterio, advierten sin dar detalles de ningún tipo, sobre la inseguridad de su propio software y aconsejan utilizar otros programas de cifrado, recomendando con  especial interés la migración a Microsoft Bitlocker, por parte de los usuarios de Windows.

Han pasado ya casi 24 horas desde el anuncio, pero todavía las incógnitas son mayúsculas, y en la red podemos encontrar teorías para todos los gustos

Vamos a empezar con lo que realmente sabemos por ahora:

Lo primero es que la web de TrueCrypt ha sido redirigida a la página de Sourceforge donde se aloja una nueva versión 7.2 firmada con una clave valida (lo que alejaría en parte la posibilidad de un defacement, o en todo caso sería uno bastante sofisticado), y en la que se han introducido varias modificaciones que advierten de la inseguridad del programa, que según algunas fuentes solo permitiría descifrar los volúmenes de TrueCrypt, deshabilitando la parte del cifrado.

Al tiempo que se han eliminado las versiones anteriores en SourceForge (aunque todavía es posible obtenerlas desde este repositorio de GitHub).

Siguiendo con los datos que tenemos: las instrucciones y el interés de migrar a Microsoft Bitlocker y ligándolo con el final del soporte de Windows XP es bastante sospechoso.

El desarrollo de TrueCrypt se terminó en 5/2014 después de que Microsoft finalizará el soporte de Windows XP. Windows 8/7/Vista ofrecen soporte para discos cifrados e imágenes de disco virtuales

En cuanto a los usuarios de OS X y especialmente Linux las instrucciones son bastante más difusas:

Utilice cualquier soporte integrado para el cifrado. Buscar los paquetes de instalación disponibles para las palabras de encryption y crypt, instalar cualquier paquete encontrado y seguir su documentación.

Como algunos ya sabéis, hay una auditoria en marcha desde hace unos meses para analizar el código de TrueCrypt, la cual está dirigida por Matthew Green siendo pública y financiada mediante crowdfunding, y que ya nos ha ofrecido algunos resultados parciales. en los que no se ha encontrado ninguna evidencia de backdoor o código malicioso, aunque sí algunos fallos que no se creen intencionados en este software de cifrado.

El propio Matthew Green manifestaba a través de twitter, desconocer todo este asunto y que sus intentos de contactar con los desarrolladores para aclarar el tema, no habían dado resultado.

truecrypt_final

Y hasta aquí los datos que tenemos por ahora.

Si ya saltamos al terreno de las especulaciones, parece que tres posibilidades diferentes y no necesariamente excluyentes, cobran fuerza:

  1. El anuncio es extraño pero legítimo. Lamentablemente el modelo de desarrollo de TrueCrypt, en el que no sabemos quien está detrás del código, en teoría para mantener la seguridad de los desarrolladores mediante su anonimato, no permite confirmar nada de esto.
  2. Que se haya producido un deface, en el que hayan conseguido hackear las credenciales de los desarrolladores y colocar una versión falsa con algún tipo de malware o simplemente con el interes de crear dudas y que los usuarios migren al producto de Microsoft, que como sabéis es una compañía que según los papeles de Snowden, colabora en el entramado de PRISM.
  3. Y mi teoría favorita que está circulando bastante por reddit es que sea un caso parecido al de Lavabit (el servicio de correo electrónico que se vió obligado a cerrar sus puertas, por negarse a colaborar con la NSA), y estemos ante lo que se conoce como un Canary warrant, un método que permitiría a un proveedor de servicios advertir a los usuarios de la existencia de una citación o requerimiento, de forma pasiva e indirecta, cuando está sometido a una orden judicial secreta. De ahí el extraño anuncio por parte del equipo de TrueCrypt, que era obvio que iba a llamar la atención de todos

Sea como fuere, la lección que podemos sacar de esto, es que no es conveniente confiar en programas de los que no tengamos ni la menor idea de quién está detras, sobre todo si son los que van a manejar nuestros datos más sensibles.

Falta también por ver como afectará esto a RealCrypt, la versión totalmente libre de TrueCrypt presente en las mayoría de repositorios de las distros GNU/Linux y que aparte de algunos pequeños parches, comparte el mismo código de cifrado/descifrado.

Obviamente la sugerencia es no actualizar a la nueva versión 7.2 e ir mirando con calma posibles substitutos, porque me da que Truecrypt está más muerto que otra cosa. Por muy buenos que sean los resultados finales de la auditoría que por otra parte continua su curso, y aunque alguien se ofrezca a retomarlo, la desconfianza ya ha salpicado a todo el proyecto.

A todo esto amigos…vosotros que recomendáis como substituto de este programa en GNU/Linux? O hacemos caso a los de TrueCrypt e instalamos cualquier cosa que lleve crypt en su nombre…mejor no ¿verdad?

Vía | @soydelbierzo

19 pensamientos en “Un extraño comunicado en la web de TrueCrypt anuncia el fin del proyecto

  1. Mariano

    Mi comentario no tiene que ver con su noticia. Tiene que ver con que me
    apena que yoyo 308 salga del aire. Pero la forma de despedirse no la considero
    adecuada. Me gusta el estilo de La mirada….y Desde Linux. Sobrio, quizas no tanta
    campechania pero si mucho respeto. Yo lo por lo menos aprecio eso. Informacion
    a mano util y en tono ameno. Ustedes dos sigan asi que lo hacen en mi opinion muy
    bien.

    Responder
  2. linuxmanr4

    Creo que Snowden hizo algo más que desertar, abrió la sospecha (que más tarde se confirmaría) de que estamos siendo vigilados y lo que creíamos seguro, no lo es.

    Responder
  3. Orbayo Rainbowarrior

    Yo cifro desde el particionador de yast, no me compliqué la vida, la verdad. Eso si, fuera de linux creo que no se puede usar el disco o pendrive cifrado previamente.

    Responder
    1. Orbayo Rainbowarrior

      Sin embargo hay algo que no me gusta con las particiones creadas en ext4, etc, y es tener que darle permisos al usuario (yo) desde el gestor de archivos como root.
      Alguna sugerencia?

      Responder
  4. Rogger Ortega (@cronos426)

    Concuerdo con lo mencionado por linuxmanr4, creo que esta abriendo la caja de pandora.
    Opciones para encriptara/desencriptar desconozco o no he probado…… y eso de crypt para allá y para acá, fail en toda su expresión.

    Responder
  5. no

    Pues me han jodido, porque uso truecrypt ya que muevo mis doscos entre los tres sistemas tradicionales: window,s linux y osx.
    Además, es hasta cierto punto, portable.
    Alguien me da una alternativa?

    Responder
  6. Pingback: Truecrypt desaparece misteriosamente | LiGNUx

  7. carlosky

    Mi teoría es tan parecida a la expuesta por el creador del sitio. Se negaron a colocar un backdoor o malware dentro del código y entonces se está haciendo un juicio para su posterior cierre. Truecrypt (por lo que había leído) es el SW de cifrado más seguro en el mundo, tanto así que ni la policía brasileña ni el FBI pudieron con Truecrypt por un caso de un banquero brasileño. Un poco más de información (espero que no lo edite por spam sino más bien por informar)

    http://protegetuordenador.com/index.php/646-hackers-del-fbi-fracasan-al-intentar-hackear-truecrypt

    Saludos

    Responder
    1. tannhausser Autor

      Ya vi la noticia…el problema de un fork es que hay algunas dudas sobre si la licencia de truecrypt lo permitiría…

      Los desarrolladores de truecrypt prefieren el anonimato y seguramente no presentarían la denuncia en persona, pero es que para eso Tux ya inventó a los abogados… 😉

      Responder
  8. cooper15

    La verdad yo prefiero usar GPG, de hecho hace poco estaba programando una interfaz gráfica en Java, ahora creo que la terminaré y la usaré. Es una lastima lo de TrueCrypt

    Responder
  9. Pingback: ZuluCrypt: una interesante alternativa a TrueCrypt | La mirada del replicante

  10. Pingback: Disponible Wifislax 4.9: una distro para la auditoria de redes | La mirada del replicante

  11. jony127

    En linux dispones de encfs para cifrar archivos. La ventaja que ofrece con respecto a truecrypt es que no es necesario indicar un tamaño de volumen y que es mejor para respaldar los archivos cifrados en la nube, ya que cifra los archivos de manera individual y no conjuntamente como sucede con truecrypt que lo guarda todo en un contenedor encriptado y aunque se modifique sólo un archivo se debería subir todo el contenedor nuevamente a la nube.

    Responder
  12. Pingback: Disponible Wifislax 4.9: una distro para la auditoría de redes | Live Wifislax

  13. Pingback: Truecrypt desaparece misteriosamente

Responder a Rogger Ortega (@cronos426)Cancelar respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.