¿Desapareció #TrueCrypt? Más preguntas que certezas
La web oficial de TrueCrypt dice que el desarrollo de la popular herramienta terminó y advierte a los usuarios que la herramienta, de diez años de antigüedad ya no es segura y, como si fuera poco, recomienda el uso de Bitlocker.
Por ahora también ha desaparecido el sitio oficial y la página de histórica de Webarchive. La página de SourceForge contiene una nueva versión TrueCrypt 7.2 del programa que, de acuerdo con este análisis "diff", sólo parece contener cambios advirtiendo que el programa no es seguro de usar. Curiosamente, la nueva versión solo permite a los usuarios cifrar y descifrar datos pero no crear nuevos volúmenes.
Algunas teorías que se manejan hasta ahora son:
Parece que ha llegado el momento de comenzar a evaluar otras alternativas libres como TcPlay, Luksus, Cryptonite (para Android), RealCrypt (un spin-off de TrueCrypt), FreeOTFE, AxCrypt, AESCrypt, etc.
En cualquier caso, por ahora recomendamos NO descargar nuevas versiones y esperar las próximas horas para ver como se desarrollan los eventos.
Actualización 22:00 hs: aquí hay un repositorio de todas las versiones de TrueCrypt anteriores. Ante cualquier descarga se recomienda verificar la integridad de los archivos.
Actualización 23:00 hs: los certificados digitales de las versiones 7.1a y 7.2 parecen ser correctos.
Actualización 29/05 09:00: todo apunta a que efectivamente TrueCrypt no seguiría siendo mantenido por sus desarrolladores actuales y comienzan los interrogantes sobre si es posible crear un fork basado en que su licencia actual no parece ser realmente Open Source.
Actualización 29/05: 10:00: OpenCryptoAudit acaba de anunciar que por la tarde brindará detalles de su análisis sobre la herramienta.
Actualización 29/05 18:00: OpenCryptoAudit sigue revisando la aplicación y en pocos meses decidirán el procedimiento a seguir, entre los que se encuentra crear un nuevo fork de TrueCrypt.
Cristian de la Redacción de Segu-Info
"ADVERTENCIA: usar TrueCrypt no es seguro y puede contener vulnerabilidades".Hasta ahora no se ha podido confirmar que el mensaje sea auténtico y esto desencadenó un tsunami de comentarios en Twitter y otras redes sociales. Matthew Green, un profesor especializado en criptografía en Johns Hopkins University y una de las personas que encabezó la auditoría TrueCrypt, dijo que el anuncio parece ser auténtico. Hasta ahora los intentos de contacto con los desarrolladores de TrueCrypt (hasta ayer desconocidos) no han dado resultado y el chat oficial aparece desactivado.
Esta página existe solamente para ayudar a migrar los datos cifrados por TrueCrypt. El desarrollo de TrueCrypt terminó en 5/2014 después de Microsoft terminó el soporte de Windows XP. Windows Vista/7/8 y versiones posteriores ofrecen soporte integrado para discos cifrados por lo que se deben migrar los datos cifrados por TrueCrypt a otra plataforma".
Por ahora también ha desaparecido el sitio oficial y la página de histórica de Webarchive. La página de SourceForge contiene una nueva versión TrueCrypt 7.2 del programa que, de acuerdo con este análisis "diff", sólo parece contener cambios advirtiendo que el programa no es seguro de usar. Curiosamente, la nueva versión solo permite a los usuarios cifrar y descifrar datos pero no crear nuevos volúmenes.
Algunas teorías que se manejan hasta ahora son:
- El sitio web ha sufrido un deface o una modificación de DNS y las claves se presumen comprometidas. En este caso se recomienda no descargar ni ejecutar nada... ni cambiar a Bitlocker. La versión válida es la 7.1a. y la versión 7.2 es un engaño.
- Algo malo le pasó a los desarrolladores de TrueCrypt (fueron comprometidos o amenazados) o a TrueCrypt en sí mismo (realmente se encontro la vulnerabilidad). Así que la nueva versión 7.2 es legítima.
- Los autores de TrueCrypt fueron presionados legalmente como le sucedio a Lavabit.
- La clave privada que certifica la autenticidad de la aplicación fue comprometida y ya no está bajo el control exclusivo de los desarrolladores oficiales de TrueCrypt y, por lo tanto, la nueva versión es un engaño.
- Es es un efecto secundario sobre el reciente pedido de cambios de contraseña de SourceForge.
- Es una campaña publicitaria para lograr más relevancia.
- Los desarrolladores dicen la verdad y TrueCrypt murió tal y como lo conocemos.
Parece que ha llegado el momento de comenzar a evaluar otras alternativas libres como TcPlay, Luksus, Cryptonite (para Android), RealCrypt (un spin-off de TrueCrypt), FreeOTFE, AxCrypt, AESCrypt, etc.
En cualquier caso, por ahora recomendamos NO descargar nuevas versiones y esperar las próximas horas para ver como se desarrollan los eventos.
Actualización 22:00 hs: aquí hay un repositorio de todas las versiones de TrueCrypt anteriores. Ante cualquier descarga se recomienda verificar la integridad de los archivos.
Actualización 23:00 hs: los certificados digitales de las versiones 7.1a y 7.2 parecen ser correctos.
Actualización 29/05 09:00: todo apunta a que efectivamente TrueCrypt no seguiría siendo mantenido por sus desarrolladores actuales y comienzan los interrogantes sobre si es posible crear un fork basado en que su licencia actual no parece ser realmente Open Source.
Actualización 29/05: 10:00: OpenCryptoAudit acaba de anunciar que por la tarde brindará detalles de su análisis sobre la herramienta.
Actualización 29/05 18:00: OpenCryptoAudit sigue revisando la aplicación y en pocos meses decidirán el procedimiento a seguir, entre los que se encuentra crear un nuevo fork de TrueCrypt.
Cristian de la Redacción de Segu-Info
Esto suena a peliculas conspirativas
ResponderBorrarYa hay un avance en
ResponderBorrarhttps://github.com/warewolf/truecrypt/compare/master...7.2
Saludos,
AnonimoK
Todo MUY raro.
ResponderBorrarSi fuera oficial, se habría sabido algo. Ademas, recomendar usar Bitlocker de windows? Mas RARO todavía.
Algo no va bien ...
SEGURO QUE FUE QUE METIERON LA MANO PELUDA LA GENTE DE LA NSA COMO LO TENIAN VETADO Y PROHIBIDO AL MISMO TIEMPO
ResponderBorrarmuy raro, más que todo que recomiende una herramienta en particular.
ResponderBorrarRecordemos que Bitlocker (incluso EFS) no vienen en todas las versiones de Windows...
Además... no dice nada de que hacemos los usuarios de Linux!
confirmado esta detras la NSA
ResponderBorrarSigue siendo muy extraño, y que recomiende BitLocker, muy extraño, pareciere una publicidad más bien, o será que como en el capitulo de los Simpsons, Bill Gates los compró para eliminarlos del mercado...
ResponderBorrarhttp://bit.ly/1myX5Yy