2014/05/29

TrueCrypt anuncia fim do projecto e alerta para falta de segurança


Más notícias para todos os que usavam ou recomendavam o Truecrypt como forma de manter os seus dados em segurança contra todas as eventualidades. O site apresenta agora um alerta de que o programa não é seguro, recomendando os utilizadores que passem a utilizar outros serviços, como o BitLocker para os utilizadores Windows.

Este anúncio inesperado surpreendeu tudo e todos, e tudo apontava para que pudesse ser uma brincadeira de alguém que tivesse conseguido acesso administrativo à página do TrueCrypt. Mas as horas foram passando e não houve qualquer correcção, e o SourceForge onde o projecto está alojado confirmou igualmente que não foi detectada qualquer actividade suspeita. Mais estranho ainda era a existência de uma nova versão, cheia de referências a potenciais inseguranças, e que está assinada digitalmente - parecendo validar a possibilidade de que o alerta é mesmo legítimo e intencional.

Não demoraram a surgir outras teorias para explicar o que se poderá estar a passar, e alguns referem que poderá ser o mesmo tipo de coisa que foi feita ao serviço de email usado por Snowden, e que quando se viu confrontado com ordem secretas de autoridades, sobre as quais nem sequer podia falar, optou por encerrar o serviço. Outros dizem que o software poderá sempre ter tido vulnerabilidades que seriam reveladas pela análise que está a ser feita ao projecto por programadores independentes; e ainda outros dizem que se trata de uma manobra da NSA para que as pessoas deixem de usar as versões anteriores do programa, que seriam seguras e "incrackáveis", e passem a usar produtos mais fáceis de contornar. O que é certo é que até informação em contrário se torna altamente desaconselhado continuarem a usar o TrueCrypt, especialmente esta última versão que foi disponibilizada.

Considerando todo o tipo de regras que os EUA têm quanto aos sistemas de encriptação, não seria demasiado rebuscado imaginar que tivessem abordado os responsáveis pelo projecto de modo a que introduzissem vulnerabilidades ou exigindo formas de poderem aceder aos dados encriptados dos utilizadores usando uma "chave mestra". E isso poderá ter potenciado este caso. Agora a questão será... quais as alternativas válidas e de confiança que se poderão utilizar? Será mesmo que se as autoridades fizerem este tipo de exigências a um projecto open-source; não o irão fazer igualmente a produtos idênticos de empresas comerciais - e dos quais não se pode sequer analisar o seu código fonte para fazer tal avaliação?

2 comentários:

  1. Isto traz mais água no bico.

    Muitos pensam ser um tipo de warrant canary ou dead-man-switch de que o projecto foi comprometido (cough NSA), até por ser algo tão de repente, com pouca informação (o site anterior era muito específico em termos dos protocolos de segurança adoptados) e logo a sugerir o BitLocker como alternativa. Um simples defacement também não deve ser mas já foi proposto que a chave possa ter sido roubada. E o diff para a versão 7.2 também tem algumas coisas esquisitas. Não esquecer também que a entrevista com o Snowden está para breve.

    A versão 7.1a está neste momento sob uma auditoria (aquele crowdfund famoso) e até ver (1º relatório) ainda não foram encontradas backdoors por isso esta versão não deve ter problemas.

    ResponderEliminar
  2. Realmente a mensagem é suspeita mas pode ter "more than meets the eye" como já alguém reparou, ora vejam

    "…TrueCrypt is
    N ot
    S ecure
    A s…"

    ResponderEliminar