28 may. 2014

¿Desapareció #TrueCrypt? Más preguntas que certezas

La web oficial de TrueCrypt dice que el desarrollo de la popular herramienta terminó y advierte a los usuarios que la herramienta, de diez años de antigüedad ya no es segura y, como si fuera poco, recomienda el uso de Bitlocker.
"ADVERTENCIA: usar TrueCrypt no es seguro y puede contener vulnerabilidades".
Esta página existe solamente para ayudar a migrar los datos cifrados por TrueCrypt. El desarrollo de TrueCrypt terminó en 5/2014 después de Microsoft terminó el soporte de Windows XP. Windows Vista/7/8 y versiones posteriores ofrecen soporte integrado para discos cifrados por lo que se deben migrar los datos cifrados por TrueCrypt a otra plataforma".
Hasta ahora no se ha podido confirmar que el mensaje sea auténtico y esto desencadenó un tsunami de comentarios en Twitter y otras redes sociales. Matthew Green, un profesor especializado en criptografía en Johns Hopkins University y una de las personas que encabezó la auditoría TrueCrypt, dijo que el anuncio parece ser auténtico. Hasta ahora los intentos de contacto con los desarrolladores de TrueCrypt (hasta ayer desconocidos) no han dado resultado y el chat oficial aparece desactivado.

Por ahora también ha desaparecido el sitio oficial y la página de histórica de Webarchive. La página de SourceForge contiene una nueva versión TrueCrypt 7.2 del programa que, de acuerdo con este análisis "diff", sólo parece contener cambios advirtiendo que el programa no es seguro de usar. Curiosamente, la nueva versión solo permite a los usuarios cifrar y descifrar datos pero no crear nuevos volúmenes.
Algunas teorías que se manejan hasta ahora son:
  • El sitio web ha sufrido un deface o una modificación de DNS y las claves se presumen comprometidas. En este caso se recomienda no descargar ni ejecutar nada... ni cambiar a Bitlocker. La versión válida es la 7.1a. y la versión 7.2 es un engaño.
  • Algo malo le pasó a los desarrolladores de TrueCrypt (fueron comprometidos o amenazados) o a TrueCrypt en sí mismo (realmente se encontro la vulnerabilidad). Así que la nueva versión 7.2 es legítima.
  • Los autores de TrueCrypt fueron presionados legalmente como le sucedio a Lavabit.
  • La clave privada que certifica la autenticidad de la aplicación fue comprometida y ya no está bajo el control exclusivo de los desarrolladores oficiales de TrueCrypt y, por lo tanto, la nueva versión es un engaño.
  • Es es un efecto secundario sobre el reciente pedido de cambios de contraseña de SourceForge.
  • Es una campaña publicitaria para lograr más relevancia. 
  • Los desarrolladores dicen la verdad y TrueCrypt murió tal y como lo conocemos. 
El código fuente de la nueva versión parece no contener código dañino: 43 archivos cambiados, 1760 añadidos, 4112 borrados.

Parece que ha llegado el momento de comenzar a evaluar otras alternativas libres como TcPlay, Luksus, Cryptonite (para Android), RealCrypt (un spin-off de TrueCrypt), FreeOTFE, AxCrypt, AESCrypt, etc.

En cualquier caso, por ahora recomendamos NO descargar nuevas versiones y esperar las próximas horas para ver como se desarrollan los eventos.

Actualización 22:00 hs: aquí hay un repositorio de todas las versiones de TrueCrypt anteriores. Ante cualquier descarga se recomienda verificar la integridad de los archivos.

Actualización 23:00 hs: los certificados digitales de las versiones 7.1a y 7.2 parecen ser correctos.
Actualización 29/05 09:00: todo apunta a que efectivamente TrueCrypt no seguiría siendo mantenido por sus desarrolladores actuales y comienzan los interrogantes sobre si es posible crear un fork basado en que su licencia actual no parece ser realmente Open Source.

Actualización 29/05: 10:00: OpenCryptoAudit acaba de anunciar que por la tarde brindará detalles de su análisis sobre la herramienta.

Actualización 29/05 18:00: OpenCryptoAudit sigue revisando la aplicación y en pocos meses decidirán el procedimiento a seguir, entre los que se encuentra crear un nuevo fork de TrueCrypt.

Cristian de la Redacción de Segu-Info

7 comentarios:

  1. Esto suena a peliculas conspirativas

    ResponderEliminar
  2. Ya hay un avance en
    https://github.com/warewolf/truecrypt/compare/master...7.2

    Saludos,
    AnonimoK

    ResponderEliminar
  3. Todo MUY raro.
    Si fuera oficial, se habría sabido algo. Ademas, recomendar usar Bitlocker de windows? Mas RARO todavía.
    Algo no va bien ...

    ResponderEliminar
  4. SEGURO QUE FUE QUE METIERON LA MANO PELUDA LA GENTE DE LA NSA COMO LO TENIAN VETADO Y PROHIBIDO AL MISMO TIEMPO

    ResponderEliminar
  5. muy raro, más que todo que recomiende una herramienta en particular.
    Recordemos que Bitlocker (incluso EFS) no vienen en todas las versiones de Windows...
    Además... no dice nada de que hacemos los usuarios de Linux!

    ResponderEliminar
  6. confirmado esta detras la NSA

    ResponderEliminar
  7. Sigue siendo muy extraño, y que recomiende BitLocker, muy extraño, pareciere una publicidad más bien, o será que como en el capitulo de los Simpsons, Bill Gates los compró para eliminarlos del mercado...

    http://bit.ly/1myX5Yy

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!