Devido a problemas de segurança não fixados, uma das ferramentas de criptografia mais amplamente usadas, TrueCrypt, pode não ser realmente segura, de acordo com uma atualização de 28 de maio publicada no Software de código aberto, fonteforge do Software página. A atualização também diz que o desenvolvimento do software terminou.
A mensagem a seguir foi postada na página TrueCrypt:
“Aviso: o uso do TrueCrypt não é seguro, pois pode conter problemas de segurança não fixados
Esta página existe apenas para ajudar a migrar dados existentes criptografados pelo TrueCrypt.
O desenvolvimento do TrueCrypt foi encerrado em 5/2014, depois que a Microsoft terminou o suporte ao Windows XP. Windows 8/7/Vista e posteriormente oferece suporte integrado para discos criptografados e imagens de disco virtual. Esse suporte integrado também está disponível em outras plataformas. Você deve migrar qualquer dados criptografado pelo TrueCrypt para discos criptografados ou imagens de disco virtual suportadas em sua plataforma. ”
O anúncio surpresa oferece pouca explicação e instrui os usuários sobre como migrar suas unidades criptografadas para o programa de criptografia Bitlocker da Microsoft, deixando muitas pessoas suspeitas, confusas e preocupadas com o que exatamente está acontecendo nos bastidores com os desenvolvedores anônimos de TrueCrypt.
Pelo valor nominal, parece que as pessoas por trás do TrueCrypt simplesmente decidiram encerrar o projeto devido à inclusão padrão de criptografia agora como o Bitlocker nos sistemas operacionais da Microsoft. Mas com o aviso abrupto, suspeito As edições do Github Changelog e a recomendação de mudar para o software de criptografia Windows de código fechado, algo simplesmente não parece certo.
Como conectado relatada, "É tudo um mistério, porque, como um pequeno número de outros projetos de código aberto, o TrueCrypt é construído por desenvolvedores anônimos. É difícil saber se os mocinhos estragaram tudo ou se os bandidos estão no controle. "
O software TrueCrypt foi projetado para transformar um dispositivo de armazenamento, como um bastão USB ou um disco rígido em um volume criptografado, protegendo quaisquer arquivos armazenados dentro do volume com algoritmos de criptografia supostamente ineburável. Durante anos, o software tem sido amplamente recomendado por especialistas em segurança, e muitos usuários de Bitcoin confiam nele para manter a carteira.
Então, o que exatamente está acontecendo com o TrueCrypt? O site foi comprometido por hackers? Talvez os desenvolvedores estivessem preocupados com o fato de o contínuo EURitoria encontraria uma vulnerabilidade em seu código. Ou o desligamento poderia estar relacionado à intervenção do governo dos EUA, semelhante ao lavabit situação?
Depois de examinar os registros do site TrueCrypt e encontrar "nenhuma mudança substantiva recentemente" em sua hospedagem, DNS ou WHOIS Records, especialista em segurança Brian Krebs disse Que não parece ser obra de hackers.
“Além disso, a última versão do TrueCrypt enviada para o site em 27 de maio mostra que a chave usada para assinar o arquivo de instalador executável é o mesmo que foi usado para assinar o programa em janeiro de 2014. Tomados em conjunto, esses dois fatos sugerem que a mensagem é legítima e que o TrueCrypt está sendo oficialmente aposentado ”, disse Krebs.
Matthew Green, um criptografista, professor de pesquisa no Instituto de Segurança da Informação da Universidade Johns Hopkins, e o organizador da EURitoria de TrueCrypt, também acredita que essa era apenas a maneira única que os desenvolvedores da TrueCrypt decidiram desistir.
Green afirmou que está "um pouco preocupado com o fato de estarmos fazendo uma EURitoria da criptografia, pode tê -los decidindo desistir".
Outras teorias especulam que isso pode ser devido a uma intimação secreta do governo dos EUA, ou a uma carta de segurança nacional.
Logo após ter sido relatado que Lavabit foi o serviço de email usado por Edward Snowden, a empresa recebeu uma ordem judicial (junto com uma ordem de mordaça) exigindo que eles instalassem equipamentos de vigilância em sua rede, o que daria ao governo acesso a todas as mensagens para e para os clientes Lavabit. Em vez de cumprir, Lavabit decidiu desligar.
Snowden, junto com Glenn Greenwald, ambos usaram o TrueCrypt para proteger os dados da NSA em sua posse. Supondo que pelo menos um desenvolvedor de TrueCrypt vive nos EUA, é certamente possível que eles também tenham recebido uma ordem judicial semelhante e decidissem puxar as dicas de plug e gota, conhecidas como um "canário de mandado", em vez de comprometer a privacidade de seus clientes .
Muitos apontaram o quão absurdo parece que os desenvolvedores da TrueCrypt recomendem que seus usuários migrem dados para o Bitlocker da Microsoft. Um, porque o bitlocker não é um software de código aberto e dois, porque a Microsoft tem um história de colaborar intimamente com as agências de inteligência dos EUA, mesmo ajudando a NSA a "contornar a própria criptografia da empresa".
Se eles fossem servidos com uma ordem judicial e carta de segurança nacional, um tipo de mensagem canário, digno de uma mensagem canária dos desenvolvedores, insinuando que eles são legalmente incapazes de fornecer detalhes específicos sobre sua situação, poderão ser possíveis. este Postagem do Reddit está cheio de várias teorias sobre o que poderia estar acontecendo.
WikiLeaks twittou O seguinte sobre a situação:
“A TrueCrypt lançou uma atualização dizendo que é insegura e o desenvolvimento foi encerrado. O estilo do anúncio é muito estranho; No entanto, acreditamos que é provável que seja legítimo e não uma simples desfiguração. O novo executável contém a mesma mensagem e é criptograficamente assinado. Acreditamos que existe um conflito de poder na equipe de desenvolvimento ou questões psicológicas, a coerção de alguma forma ou um hacker com acesso ao site e chaves. ”
Todas as especulações à parte, até que mais informações estejam disponíveis, a única coisa que se pode dizer com certeza é que provavelmente é uma boa ideia parar de usar o TrueCrypt.
