Contrordine compagni: crittografare il disco rigido con Truecrypt non e' sicuro, sembra contenga delle vulnerabilita' non risolte… ma a noi questa storia non convince!
Un vero e proprio shock per chi ha affidato, per anni, i propri dati alla crittografia sicura di Truecrypt. La notizia è giunta improvvisa e decisamente inattesa: Truecrypt uno dei più potenti ed efficaci tool di crittografia per la protezione dei dati non verrà più aggiornato. In realtà la news è di qualche mese fa, ma ora ci sono molti più elementi su cui discutere.
Gli sviluppatori che seguivano il progetto sembrano aver individuato delle vulnerabilità che non potranno mai essere risolte e pertanto consigliano di non usare più questo software anche se si può ancora scaricare la versione 7.2 (a fondo pagina di Sourgeforce, ma è una versione comunque molto limitata).
Inizialmente si era pensato ad un attacco hacker
La notizia, pubblicata sul sito ufficiale, in modo così rapido e senza alcun preavviso, aveva fatto pensare a molti che il sito fosse sotto attacco hacker e qualcuno avesse modificato la pagina con un bello scherzo, ma purtroppo non è così.
Non sappiamo se tutto questo sia la conseguenza dello scandalo datagate, argomento spinoso che abbiamo affrontato in più articoli con tutti spiati in Internet e Prism, il software segreto che ci controlla in Internet. D'altronde, dopo le rivelazioni di Edward Snowden si incominciava a capire che la nostra sicurezza nel mondo digitale si era fatta sempre più labile.
Il messaggio è vero: Truecrypt è stato giudicato inaffidabile
Nessuno conosce esattamente i nomi degli sviluppatori di questo tool crittografico, ma il codice è aperto (open-source) e molti programmatori indipendenti sono subito andati alla ricerca di eventuali falle. Bug o vulnerabilità che avrebbero potuto essere stati sfruttati dalla NSA (spionaggio americano). Il controllo però non ha trovato alcuna falla o malware, iniettato nel codice originale.
Nella pagina ufficiale di TrueCrypt è ora presente una guida per migrare i dati crittografati da Truecrypt a Bitlocker, il tool crittografico introdotto da Microsoft. La versione 7.2 in libero download di Truecrypt consente solo di disattivare una eventuale crittografia precedente.
Il sospetto di molti però, non è che Truecrypt non fosse più sicuro, ma che gli autori si siano rifiutati di inserire una backdoor, richiesta proveniente direttamente dai servizi segreti degli Stati Uniti, una richiesta che difficilmente si può rifiutare. Quindi, per evitare questo inganno, si sono decisi a chiudere lo sviluppo e dichiarare il loro tool insicuro. La cosa è davvero strana perchè pochi mesi prima era uscita questa notizia: Truecrypt è sicuro, confermata l'affidabilità.
Altra cosa che non convince: perchè viene consigliato un software crittografico come Bitlocker che è un codice “chiuso”, impossibile da verificare e, soprattutto, essendo creato da Microsoft soggetto alle legge del Patriot Act, dove ogni azienda americana può essere obbligata ad inserire una backdoor nel proprio software.
Il nostro consiglio è di non migrare in Bitlocker, ma eventualmente di disinstallare la versione 7.2 di Truecrypt e di usare la versione 7.1. Quest'ultima versione è introvabile ormai in rete, ma potete ancora scaricarla da qui (i link li troverete a fondo pagina, in quel sito).
Per concludere: in informatica, soprattutto nella sicurezza, non possono esistere certezze, occorre sempre attuare un compromesso per avere almeno delle ottime probabilità di sicurezza. Secondo un ragionamento logico Truecrypt nella versione 7.1 è ancora affidabile, ma attendiamo altre, eventuali, clamorose smentite che riporteremo immediatamente.
Aggiornamento 26 Gennaio 2015:
Abbiamo pubblicato un articolo sulle migliori alternative gratuite a Truecrypt.