Una panoramica sul mondo della Sicurezza Informatica, del Networking, della Virtualizzazione e non solo. Blog particolarmente indicato per i reparti IT che comunque alterna articoli scritti per specialisti con articoli formulati con linguaggio semplice e comprensibile a tutti.

Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.

venerdì 30 maggio 2014

TrueCrypt è morto?

TrueCrypt ha sempre destato fascino in alcuni e noie per altri. Ma andiamo con ordine.

Cos'è TrueCrypt?

Per i pochissimi che ancora non sanno cos'è TrueCrypt, basti pensare che ormai era diventato un must nel mondo della crittografia multipiattaforma. Che il tuo sistema operativo fosse Windows, Linux o Mac, poco importava, potevi montare un volume integralmente crittografato per poi smontarlo appena terminato. I volumi erano visti come macro file della dimensione del disco montato. La semplicità, la sicurezza e l'efficacia di TrueCrypt lo hanno da sempre, e per moltissimi anni, spinto in vetta nei download.

A chi crea problemi TrueCrypt?

TrueCrypt crea problemi a chi vuole accedere ai dati crittografati. 
Il suo codice opensource era trasparente, nessuna organizzazione poteva introdurre facilmente backdoor. Avevamo, quindi, un software incredibilmente stabile (io uso truecrypt da circa 10 anni, e non ricordo di gravi vulnerabilità che ne abbiano mai compromesso significativamente il sistema, del resto il rilascio degli aggiornamenti era sporadico, indice quasi sempre di un'alta affidabilità intrinseca) ed eccezionalmente sicuro (l'utilizzo di più algoritmi crittografici aumentava esponenzialmente la difficoltà nell'accesso ai dati sfruttando le vulnerabilità di un singolo algoritmo; l'utilizzo di un keyfile ed una password strong  - minimo 22 caratteri consigliava TC - lo rendevano davvero un punto di riferimento nella sicurezza dei dati).

Ha schiacciato qualche piede? Evidentemente si. Ha schiacciato i piedi di organizzazioni che hanno come scopo quello di accedere a delle informazioni sensibili. E' noto che l'NSA sotto questo punto di vista non abbia mai risparmiato metodi a dir poco discutibili e del tutto incuranti di qualsiasi diritto umano alla riservatezza e alla privacy.

Qualcosa non torna

Qualche mese fa qualcuno mise in giro voci che screditavano TrueCrypt. Si bisbigliava che contenesse backdoor, che fosse insicuro e così via. Gli sviluppatori e la community, quindi, investirono del tempo nella revisione completa del codice e dichiararono, pertanto, che non era presente alcuna backdoor e non vi era alcun dubbio legato alla sicurezza del software.

Qualche settimana dopo, tuttavia, il progetto chiuse. Il codice sorgente venne tolto (così da evitare che altri creassero dei prodotti simili), i download rimossi. Il tutto venne sostituito da una bella paginetta che puzzava di presa in giro lontano un miglio:

http://truecrypt.sourceforge.net/




Perchè?

A questo punto le domande sono molte.
  1. Perchè gli sviluppatori hanno investito del tempo a revisionare il codice, a dichiararlo tutto sommato sicuro, ed ora improvvisamente TrueCrypt è diventato pericolosissimo?
  2. Perchè non si parla di quali e quante vulnerabilità abbia TC?
  3. Perchè il codice sorgente è scomparso? (http://www.truecrypt.org/docs/source-code è stato rimosso e punta alla paginetta-farsa) E' consuetudine che un progetto opensource venga migliorato da tutti coloro i quali possano ritenerlo opportuno. Se ho un problema nel mio codice, la community può vivere di vita propria e portare avanti un progetto che io, autore, ho deciso di non seguire più. Questo è del tutto normale e sono migliaia i progetti abbandonati e ripresi da altri.
  4. Perchè non è più possibile scaricare vecchie versioni di TC?
  5. Perchè viene osannato il passaggio a BitLocker (Microsoft, codice chiuso, backdoor inseribile facile facile...)? Se a me non interessa più sviluppare un prodotto, non certo mi metto a scrivere una guida su come fare la stessa cosa con altri software. Che senso ha tutta questa spinta verso BitLocker?

Ammesso che la chiusura sia voluta e non si tratti di un banale defacement o abuso della piattaforma sourgeforge (per cui decaderebbe qualsiasi ipotesi e si risolverebbe in un banale "scherzo"), lascio a voi le conclusioni.

Viviamo davvero nell'era della libertà digitale? Forse no, forse il macchiavellico concetto del fine che giustifica i mezzi è andato persino oltre le peggiori e pessimistiche aspettative. Il motto "combattiamo il terrorismo" è diventato forse il passepartout legale per ogni azione, seppur riprovevole?