Blog de Orlando Alonzo

Comentarios sobre tecnología, redes sociales y cosas como desarrollo de software, libros y películas.

Etiqueta: truecrypt

Finaliza auditoría de TrueCrypt con balance positivo, pero…

Logo de TrueCrypt

Para estas fechas hace un año se anunciaba que el desarrollo de TrueCrypt se detenía y el producto estaba muerto en esencia. En esas mismas fechas ya estaba en marcha un plan de auditoría para este producto, plan que se iba a dar en dos fases; la primera no arrojó problemas significativos: la segunda que acaba de terminar hace poco y la más importante de las dos, arrojó que no hay backdoors de la NSA en el software, aunque si hay algunas vulnerabilidades pero que no son deliberadas. Ahora bien, puesto que TrueCrypt está en coma indefinido, ¿que pasará con las vulnerabilidades? tienes dos opciones más, que en si son forks de TrueCrypt, y que son VeraCrypt y CipherShed, ambos con sus historias y ambiciones particulares, y que a mi parecer representan otro nivel de confianza más allá de TrueCrypt, y que deberían pasar por el mismo proceso de auditoría sólo para estar al mismo nivel. Si quieres ser verdaderamente paranoico, VeraCrypt está alojado en CodePlex, y CodePlex es de…Microsoft. El mismo Microsoft que colaboró con la NSA en el pasado…

Pero regresando al tema: creo que a pesar de que TrueCrypt pasó las pruebas con calificaciones relativamente positivas, aún quedan muchas preguntas que deberían ser respondidas, como porqué se terminó tan abruptamente el desarrollo de TrueCrypt, situación que algunos especulan se debe a que algún gobierno (entiéndase: el gringo) descubrió quienes eran los desarrolladores, y quisieron coaccionarlos a poner un backdoor en el software, y éstos prefirieron matarlo antes que modificarlo de esta manera. Creo que los desarrolladores originales de TrueCrypt deberían publicar algo y esclarecer que fue lo que pasó realmente. Si a ellos, que nadie sabe por ahora quienes eran, les hicieron algo parecido…¿que no podrán hacer con los desarrolladores de VeraCrypt y CipherShed, que se asocian con sus proyectos libremente?

En lo que a mi respecta, el daño a TrueCrypt y derivados ya está hecho; no veo como confiar al 100% en un producto así, que plantea serias interrogantes en cuanto a su funcionamiento.

TrueCrypt muere abruptamente, autores finalizan su desarrollo y lo declaran inseguro

TrueCrypt en la hoguera

Hace unas horas y de una manera por demás abrupta, la página de TrueCrypt en SourceForge indica que dan por terminado el desarrollo de este software de seguridad para encriptar archivos o volúmenes en tu disco duro, y lo que es peor, que es inseguro pues podría contener problemas de seguridad que aún no han sido arreglados. Aún no he leído una explicación satisfactoria sobre porqué está pasando esto, sobre todo si ponemos en la balanza que hace poco TrueCrypt pasó la primera auditoría de seguridad que le fue practicada; al principio pensé que era un hackeo, pero tal parece ser que no es así, como lo indica un artículo en LifeHacker, en el cual se explica que uno de los investigadores involucrados en la auditoría cree que es real. También vale la pena mencionar que en la misma página se publica un TrueCrypt versión 7.2 que sólo tiene la capacidad de desencriptar, y que está firmada con la llave privada de TrueCrypt. Todo esto hace pensar que efectivamente TrueCrypt ya pasó a mejor vida. Por supuesto, si es un hackeo y alguien tiene la llave privada de TrueCrypt…eso es un problema todavía mayor.

Si todo esto es real, pues sólo tengo que decir que es consistente con el nivel de secretismo que se ha manejado TrueCrypt; como ya saben, al día de hoy nadie sabe quien lo hace, ni muchos detalles de su funcionamiento, y de ahí la auditoría de la que hablé antes. Y como nadie sabe quienes son, pues tampoco han habido comunicados de prensa ni nada por el estilo, y eso hace suponer que están en el modus operandi de siempre, es decir, que si es el equipo de TrueCrypt el que está detrás de esto. Si usas esta herramienta, procede con cautela estos días para estar informado al respecto, porque dependiendo de lo que se averigue sobre esto en días por venir, significará que deberás migrar tus datos. En particular, procede con cautela con la última versión; yo aconsejaría no instalarla hasta llegar al fondo de todo esto. Por el momento, todo luce muy dudoso.

TrueCrypt pasa la primera fase de auditoría: no encuentran backdoors

Logo de TrueCrypt

Por ahí de octubre del año pasado les platiqué de que estaba en marcha un plan para hacerle una auditoría al software TrueCrypt; de vuelta a ese mes recordarán que les mencioné que no había ni un solo análisis serio de seguridad de TrueCrypt, por lo que se lanzó una campaña para auditarlo y probar su seguridad. El lunes, después de varios meses de discusión y planeación, se liberó la primera de dos partes de la auditoría a TrueCrypt, y hasta ahora iSEC, la firma encargada de hacer el análisis, nos dice que TrueCrypt no tiene backdoors (puertas traseras creadas explícitamente) ni código malicioso en las áreas valoradas. Si encontraron algunas vulnerabilidades menores en el código, pero dice que son errores no intencionados, es decir, un error cualquiera que no representa un problema mayor. De acuerdo con uno de los revisores, el código para ciertas secciones como el driver de kernel para Windows no cumplía con los estándares para código seguro; igual encontraron algunas vulnerabilidades menores en la cabecera de volúmen, pero como mencioné antes, nada de que preocuparse. Aún así, todavía queda un aura de secretismo alrededor del proyecto TrueCrypt, pues algunas cosas como por ejemplo la identidad de sus creadores, aún se desconoce. En lo que pasan a otra fase, cuando menos sabemos que por ahora es seguro y privado.