[ImoLUG] Fwd: [ml] Truecrypt.. a True crypt story

fRANz andrea.francesconi@gmail.com
Gio 29 Maggio 2014 11:02:48 CEST


ciao,
perdonate l'inoltro brutale ma il thread che si sta sviluppando su
sikurezza.org č realmente interessante e legato a TrueCrypt, software
che molti di noi utilizzano regolarmente per proteggere i propri dati.
a breve il thread dovrebbe essere disponibile anche per la
visualizzazione offline:

http://www.sikurezza.org/ml/05_14/maillist.html

per chi non dovesse essere iscritto alla ml
-f


---------- Forwarded message ----------
From: danimoth <danimoth@cryptolab.net>
Date: Thu, May 29, 2014 at 10:05 AM
Subject: [ml] Truecrypt.. a True crypt story
To: ml@sikurezza.org



Cosa sta succedendo a TrueCrypt? Prima che i giornali ne inizino a
parlare violentemente, volevo fare un riassuntino, in modo che tutti
quanti possano essere informati su quanto sta accadendo.

TrueCrypt č (era) una applicazione freeware, con sorgenti disponibili,
per creare dei dischi virtuali crittati, o per crittare on-the-fly un
file, una partizione o un intero disco (pre-boot authentication).
Molto usato su sistemi Windows, era disponibile anche per vari *nix.

0x01 Cosa conosciamo

Il sito [1] ora rimanda a truecrypt.sourceforge.net, il quale riporta la
seguente scritta:

"""
WARNING: Using TrueCrypt is not secure as it may contain unfixed
security issues. ... You should migrate any data encrypted by TrueCrypt
to encrypted disks or virtual disk images supported on your platform.
"""

0x02 Azioni consigliate

Sul sito viene indicata la necessitā di passare a soluzioni giā presenti
sul sistema operativo (bitlocker, OS X encrypted drive).

0x03 Versione 7.2

E' stata rilasciata una versione che contiene solo le funzioni per
decrittare; le altre funzioni sono state rimosse. Diff [2], il binario č
stato firmato con una chiave appartenente al team di TrueCrypt dal 2004
[3].

0x04 Sourceforge

Sempre su [3], si dice che un impiegato di sourceforge (tale roberto
galoppini) abbia spiegato (su hackernews..) che non č stata notata
nessuna attivitā sospetta sull'account sf di truecrypt.

0x05 News dai developers di TrueCrypt

Nessuna

0x06 Audit di TrueCrypt

TrueCrypt 7.1 č in piena fase di audit. Ha passato la fase 1, e il
report č disponibile [4]. Cito:

"""
During this engagement, the iSEC team identified eleven (11) issues in
the assessed areas. Most issues were of severity Medium (four (4) found)
or Low (four (4) found), with an additional three (3) issues having
severity Informational (pertaining to Defense in Depth).
Overall, the source code for both the bootloader and the Windows kernel
driver did not meet expected standards for secure code. This includes
issues such as lack of comments, use of insecure or deprecated
functions, inconsistent variable types, and so forth.
...
Finally, iSEC found no evidence of backdoors or otherwise intentionally
malicious code in the assessed areas. The vulnerabilities described
later in this document all appear to be unintentional, introduced as the
result of bugs rather than malice.
"""

Per news o altre info sull'audit: [5].


A questo punto, non so altro. Io non mi fiderei a scaricare nessun
binario, nemmeno se la firma risultasse valida. Passerei a delle
alternative (non usate ecryptfs vi prego) e mi divertirei a leggere
tutte le teorie che da ieri stanno venendo fuori. Molte le potete
trovare qui [6], ne cito alcune:

"""
TC was Sabu's pet project. Since he was caught and working for the Feds,
he has provided the very access everybody is afraid of them now having.

Sabu was just released from the service of the Feds a few days ago.
Enough time to rewrite the binaries, change the passwords, and disable
the whole lot since it's all been compromised for years. Gets rid of a
dangerous product, and pisses off the Feds without violating the terms
of anything since TC is still available for download, just in a crippled
form.
"""
(N.d.D.) altamente improbabile che uno script kiddie riesca a scrivere
TrueCrypt

"""
Or they were smoked out by NSA, because TrueCrypt encryption was "too
good", and Microsoft's BitLocker has an NSA backdoor.
"""

"""
Wayback Machine, search for truecrypt.org

Sorry.

This URL has been excluded from the Wayback Machine.
"""


Quali sono le vostre idee? Opinioni? Suggerimenti a riguardo?


[1] http://www.truecrypt.org/
[2] https://github.com/warewolf/truecrypt/compare/master...7.2
[3] https://gist.github.com/daveio/14f7d40f05ac68bb2e63
[4] https://opencryptoaudit.org/reports/
[5] http://istruecryptauditedyet.com/
[6]
http://it.slashdot.org/story/14/05/28/2126249/truecrypt-website-says-to-switch-to-bitlocker
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List


Maggiori informazioni sulla lista ImoLUG