Sicurezza

TrueCrypt chiude perché insicuro, usate Microsoft Bitlocker

"Attenzione: usare TrueCrypt non è sicuro perché potrebbe contenere problemi di sicurezza irrisolti". Si apre con questa frase minacciosa la pagina del famoso progetto dedicato alla crittografia: il progetto è morto, ufficialmente in concomitanza con l'abbandono di Windows XP da parte di Microsoft. È stata pubblicata la versione 7.2 del programma per decrittare i file attualmente protetti e facilitare il passaggio a Bitlocker.

Gli sviluppatori suggeriscono infatti di usare Bitlocker, lo strumento di crittografia integrato in Windows, come alternativa. Un vero e proprio terremoto nel mondo della sicurezza, perché TrueCrypt per anni è stato un vero e proprio punto di riferimento, un faro nella notte per chi naviga alla ricerca della migliore privacy.

Ancora più sorprendente è che si consigli di usare Bitlocker: il prodotto Microsoft non ha vulnerabilità note, ma c'è sempre il tema della collaborazione con la NSA e delle backdoor collocate ad arte in tutti i programmi. Ipotesi, illazioni o fatti concreti? Non si può affermare con certezza assoluta, ma nel mondo degli esperti IT in generale si preferiscono altre strade.

La pubblicazione non ha nulla a che vedere con l'audit di sicurezza sullo stesso TrueCrypt. Gli studi per la ricerca di backdoor nascoste non sono ancora terminati, ma per il momento non sono emerse criticità rilevanti. Forse i risultati ancora da pubblicare sono talmente compromettenti da aver spinto a questa scelta radicale? Improbabile, ma nemmeno questa ipotesi si può escludere.

Non è chiaro quindi quali siano i problemi di sicurezza irrisolti segnalati sulla pagina di TrueCrypt; si è speculato che sia stato compromesso il sito stesso, e sostituito l'eseguibile della versione 7.2 con un trojan. Un'ipotesi difficile da dimostrare al momento, ma non si può escludere che tutta la pagina sia una vera e propria trappola.

I gestori di SourceForce, tuttavia, non hanno rilevato segnali di violazioni sulla pagina in questione – il che sarebbe stato del tutto possibile considerato il recente annuncio relativo proprio all'aggiornamento del servizio. Per sicurezza, comunque, meglio evitare di scaricare TrueCrypt 7.2, almeno per ora.

"C'è qualcosa di molto insolito nel codice della 7.2", scrive infatti un utente del forum di Neowin, "che ho installato in un ambiente VM protetto. Sta facendo cose strane con la rete… non credo che questo file sia legittimo… non ho mai visto Truecrypt usare connessioni in passato".

L'eseguibile è firmato con le chiavi di TrueCrypt ma può solo decrittare, non viceversa. Sono inoltre state cancellate le versioni precedenti dai repository ufficiali – ma su GitHub si trovano comunque (grazie Mach00!). Può essere un elaborato tentativo di truffa quindi, ma anche il risultato di pressioni legali sugli autori di TrueCrypt – un po' com'è accaduto a quelli di Lavabit. Non si può escludere che TrueCypt 7.2 sia effettivamente l'ultima versione ufficiale, pubblicata solo per facilitare il passaggio a Bitlocker, come recita la pagina ufficiale.

Riassumendo: TrueCrypt chiude e consiglia di passare a Bitlocker – almeno per chi usa Windows. Ci sarebbero problemi di sicurezza, e la risposta è una nuova versione del software che si comporta in modo anomale. Sembra che ci sia un mistero da risolvere: secondo voi che è successo?