La página oficial de TrueCrypt, una de las aplicaciones de cifrado de datos más popular (y supuestamente, segura) ha aparecido con un mensaje que asegura que la aplicación no es segura y recomienda migrar a BitLocker (la herramienta de cifrado estándar de Windows) Se desconoce si la clave privada de los desarrolladores ha sido robada y el mensaje es falso.
#16:
A ver, si han hackeado su web no tiene mucho sentido haber desarrollado una nueva versión de la app, utilizando el certificado correcto (que también tendrían que haber hackeado) para sacar una versión nueva en la que se bloquea la escritura, y se recomienda no usar la app.
En reddit hay una teoría más plausible: Esto es un Dead_man_switch, del tipo Canario. El gobierno americano suele mandar órdenes mordaza a muchos desarrolladores, en las que se les obliga abrir puertas a su software, o no parchear alguna que estuviera abierta y estén explotando, y a la vez se les impide anunciar tal orden. La solución: Publicar cada mes en algún rincón remoto "a fecha de X no hemos recibido ninguna orden mordaza". Cuando dejan de publicar el aviso en la fecha correspondiente, puedes asumir que sí que han recibido la orden. De esta forma no hacen ningún anuncio, acatan la orden, pero te avisan de que algo va mal.
Concretamente este tipo de aviso parece automatizado y no venir a cuento de nada. Es decir, que si por alguna razón dejan de publicar cambios o dejan de modificar el sistema, el sistema automáticamente lanza una última compilación y aviso de que no se actualiza más y de que no se use. Si les han impedido decir nada, se pueden haber quedado de brazos cruzados esperando a que el script de marras hiciera su labor.
#63:
#51 obviamente, como mucho se usaría con alguien que haya recibido una "FISA warrant", que es una orden que es ilegal decir que la has recibido. Algunos se han quejado de que se les ha negado hasta divulgar el contenido de la orden con sus abogados, que solo abogados del estado están autorizados a tratar con ese tipo de ordenes. Si está comprometido, interesa que no se sepa y se siga usando.
#53, Truecrypt no tiene nada que ver con XP. Truecrypt es para usuarios paranoicos, y un usuario paranoico no estaría usando XP para empezar. Precísamente señalar lo del XP en la página parece mas la pista de que algo va mal. Igual una FISA warrant de esas, que no pueden divulgar, pero nada les impide chapar por completo.
No se si conocerás el caso de Lavabit. Lavabit era un servicio de correo encriptado, que ya había respondido a varias ordenes judiciales válidas para entregar datos de usuarios concretos. Pero de pronto surgió el tema de Snowden, Snowden usaba Lavabit, y el FBI le mandó una FISA warrant para instalar equipamiento en su servidor para poder acceder a todo, y más tarde ceder la clave ssl privada de todo el servicio. El tío chapó la web sin ninguna explicación, y una o dos semanas mas tarde sacó un comunicado diciendo lo siguiente:
"Se me ha obligado a tomar una decisión dificil: ser cómplice en crímenes contra los americanos, o marcharme y acabar con 10 años de duro trabajo cerrando Lavabit. Tras pensarmelo bastante tiempo, he decidido cerrar. Me gustaría poder compartir legalmente con vosotros los eventos que me han llevado a tomar esta decisión. No puedo. Mereceis saber que es lo que está pasando, la primera enmienda supuestamente garantiza mi derecho a la libertad de expresión en situaciones como esta. Desafortunadamente el congreso ha introducido leyes que dicen lo contrario. Tal como están las cosas no puedo compartir nada de lo que ha ocurrido las últimas 6 semanas, pese a haber hecho ya dos solicitudes al respecto."
Y a mi todo este tema de Truecrypt me suena a algo parecido. Identifican a los programadores, les entregan una orden obligándoles a dejar abierta alguna vulnerabilidad encontrada, o añadir una backdoor, y la prohibición de divulgarlo... y ellos chapan con la excusa mas peregrina pero a la vez sospechosa que se les ocurre, para dar una pista.
#61, bueno, eso no es realmente descartarlo, es no ver indicios. No es lo mismo.
#1:
Se recomienda no descargar la versión 7.2 que está disponible en la web de TrueCrypt, al menos hasta saber si el mensaje es cierto o no. Hay varias teorías danzando ahora mismo.
#19:
#16 y añado: Es harto improbable que el desarrollador de TrueCrypt se pase por el arco del triunfo toda noción de seguridad y RECOMIENDE EN SU PÁGINA utilizar Bitlocker de Microsoft, del que se tienen sospechas muy sólidas de que está intervenido. http://boingboing.net/2013/09/11/how-the-feds-asked-microsoft-t.html
#36:
#33 y #34 El enlace de FileHippo ES CORRECTO(joer con los negativos)
A ver, que me lo he descargado y es igual que el que ya tenía descargado hace meses en mi ordenador.
El sha1 de este ejecutable, por si alguien lo quiere comprobar:
De todas formas, como dicen #36 y demás, habría que esperar a ver que pasa con TrueCrypt en general, pero si quereis recuperar datos que tengais por ahí, si no lo teneis ya instalados yo usaba la versión antigua (la de filehippo, o cualquier otro mirror que se pueda comprobar), ante que esta versión nueva.
#10:
¿Dejar TrueCrypt y pasar a una herramienta de Microsoft? No, gracias. No espero desmentidos ni nada.
A ver, si han hackeado su web no tiene mucho sentido haber desarrollado una nueva versión de la app, utilizando el certificado correcto (que también tendrían que haber hackeado) para sacar una versión nueva en la que se bloquea la escritura, y se recomienda no usar la app.
En reddit hay una teoría más plausible: Esto es un Dead_man_switch, del tipo Canario. El gobierno americano suele mandar órdenes mordaza a muchos desarrolladores, en las que se les obliga abrir puertas a su software, o no parchear alguna que estuviera abierta y estén explotando, y a la vez se les impide anunciar tal orden. La solución: Publicar cada mes en algún rincón remoto "a fecha de X no hemos recibido ninguna orden mordaza". Cuando dejan de publicar el aviso en la fecha correspondiente, puedes asumir que sí que han recibido la orden. De esta forma no hacen ningún anuncio, acatan la orden, pero te avisan de que algo va mal.
Concretamente este tipo de aviso parece automatizado y no venir a cuento de nada. Es decir, que si por alguna razón dejan de publicar cambios o dejan de modificar el sistema, el sistema automáticamente lanza una última compilación y aviso de que no se actualiza más y de que no se use. Si les han impedido decir nada, se pueden haber quedado de brazos cruzados esperando a que el script de marras hiciera su labor.
#16 y añado: Es harto improbable que el desarrollador de TrueCrypt se pase por el arco del triunfo toda noción de seguridad y RECOMIENDE EN SU PÁGINA utilizar Bitlocker de Microsoft, del que se tienen sospechas muy sólidas de que está intervenido. http://boingboing.net/2013/09/11/how-the-feds-asked-microsoft-t.html
#21 Es exactamente a lo que huele, él no haría esa advertencia ni de coña. Pero dado que la app y todo el resto tienen la firma correcta, hay que asumir que es él quien lo ha puesto. O ellos...no se sabe quienes/cuantos son...eran.
Hay dos opciones: Les han mandado una papeleta para que manden los certificados de firmas (de manera que esta última versión sería segura, pero cuidadín con toda próxima versión que saquen). La otra opción es que han descubierto que tenían un bujero made in NSA desde quien sabe cuanto, y que al ir a avisar, han recibido la mordaza. En cualquier caso...cuidadin.
Alternativas en Linux hay varias, creo. En Windows/Mac también las hay, pero son todas de código cerrado, así que no puedes saber si no te la estarán metiendo doblada. Un nuevo aviso a la gente de que migren a Linux.
1. Han encontrado a los desarrolladores, tienen vulnerabilidades detectadas, y les habían obligado a mantener la boca cerrada al estilo Lavabit. Los desarrolladores de alguna forma han montado este pollo para avisar a la gente de que tengan mucho cuidado con el software que están usando.
2. Si la NSA o similar está detrás, y dado que saben que cualquier cambio malicioso introducido actualmente iba a ser detectado inmediatamente por la auditoría, han montado una operación psicológica para hacer que la gente huya como loca de este software. Vamos, FUD elevado a la enésima potencia.
Y aun así queda la posibilidad de hackers, rencillas personales de personas que formen parte del desarrollo y hayan querido boicotear el proyecto...
#33 No enlaces a software en páginas no oficiales. Ahora mismo no es momento de poner en más peligro aun a las personas que puedan necesitar este software. El que lo tenga instalado ya lo tiene instalado, el que no, mejor haría en no tocar nada.
De todas formas, como dicen #36 y demás, habría que esperar a ver que pasa con TrueCrypt en general, pero si quereis recuperar datos que tengais por ahí, si no lo teneis ya instalados yo usaba la versión antigua (la de filehippo, o cualquier otro mirror que se pueda comprobar), ante que esta versión nueva.
Por supuesto y dado que esto parece un ataque dirigido a la credibilidad de Truecrypt, yo tendría mucho cuidado con lo que leáis en comunidades de Internet de usuarios desconocidos, no vayan a ser agentes esparciendo más mierda para conseguir su fin, o gente que inconscientemente está esparciendo lo que otros han inventado.
Resumiendo: si no eres un experto, no hagas tonterías ni cambios bruscos basado en lo que leas en la red sin esperar un tiempo a que haya informaciones más asentadas sobre lo que pueda estar pasando.
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues. (nótese el Not Secure As, NSA)
#36 Olvídate de enlazar a nada cuando las claves han sido vulneradas y la infraestructura ha podido ser atacada. Y no sabemos cuando. Repito: los que lo tengan instalado deberían dejarlo quietecito y usarlo lo menos, posible, y los que quieran instalarlo olvidarse de ello por el momento.
"Truecrypt has released an update saying that it is insecure and development has been terminated. The style of the announcement is very odd; however we believe it is likely to be legitimate and not a simple defacement. The new executable contains the same message and is cryptographically signed. We believe that there is either a power conflict in the dev team or psychological issues, coersion of some form, or a hacker with access to site and keys"
#16 el tema de recomendar un producto de Microsoft es lo que mas llama la atencion, parece puesto a proposito para que nos olamos que algo va mal al instante. Lo de sacar una versión nueva tendría sentido si pretenden ganar acceso o romper la seguridad de otros equipos, pero entonces no habrían puesto el aviso de TRUECRYPT IS NOT SECURE en la web.
Pero los que estaban auditando el código de la 7.1 solo han encontrado bugs pequeños, nada demasiado serio por el momento.
#25, no es código abierto en el sentido mas puro. Su licencia ha sido siempre algo restrictiva, incompatible con la GPL. Curiosamente uno de los cambios de la nueva version es que esta elimina algunas de esas restricciones, pero claro, esto no se aplica a las versiones anteriores y nadie se va a fiar de esta última versión, porque además elimina todo el código para encriptar, solo sirve para desencriptar.
#46, el FBI en concreto ha sido incapaz de romper truecrypt. Claro que si la NSA pudiera, probablemente no lo compartirían con el FBI.
#47el FBI en concreto ha sido incapaz de romper truecrypt. Claro que si la NSA pudiera, probablemente no lo compartirían con el FBI.
Si pudiera seguramente les interesaría mantener la credibilidad en truecrypt, y está claro que si tuvieran un 0-day o un backdoor ultrasecreto tampoco lo utilizarían con cualquiera. Es lo que más bien me hace sospechar que molesta que cualquier persona pueda poner persianas a sus ventanas.
#51 obviamente, como mucho se usaría con alguien que haya recibido una "FISA warrant", que es una orden que es ilegal decir que la has recibido. Algunos se han quejado de que se les ha negado hasta divulgar el contenido de la orden con sus abogados, que solo abogados del estado están autorizados a tratar con ese tipo de ordenes. Si está comprometido, interesa que no se sepa y se siga usando.
#53, Truecrypt no tiene nada que ver con XP. Truecrypt es para usuarios paranoicos, y un usuario paranoico no estaría usando XP para empezar. Precísamente señalar lo del XP en la página parece mas la pista de que algo va mal. Igual una FISA warrant de esas, que no pueden divulgar, pero nada les impide chapar por completo.
No se si conocerás el caso de Lavabit. Lavabit era un servicio de correo encriptado, que ya había respondido a varias ordenes judiciales válidas para entregar datos de usuarios concretos. Pero de pronto surgió el tema de Snowden, Snowden usaba Lavabit, y el FBI le mandó una FISA warrant para instalar equipamiento en su servidor para poder acceder a todo, y más tarde ceder la clave ssl privada de todo el servicio. El tío chapó la web sin ninguna explicación, y una o dos semanas mas tarde sacó un comunicado diciendo lo siguiente:
"Se me ha obligado a tomar una decisión dificil: ser cómplice en crímenes contra los americanos, o marcharme y acabar con 10 años de duro trabajo cerrando Lavabit. Tras pensarmelo bastante tiempo, he decidido cerrar. Me gustaría poder compartir legalmente con vosotros los eventos que me han llevado a tomar esta decisión. No puedo. Mereceis saber que es lo que está pasando, la primera enmienda supuestamente garantiza mi derecho a la libertad de expresión en situaciones como esta. Desafortunadamente el congreso ha introducido leyes que dicen lo contrario. Tal como están las cosas no puedo compartir nada de lo que ha ocurrido las últimas 6 semanas, pese a haber hecho ya dos solicitudes al respecto."
Y a mi todo este tema de Truecrypt me suena a algo parecido. Identifican a los programadores, les entregan una orden obligándoles a dejar abierta alguna vulnerabilidad encontrada, o añadir una backdoor, y la prohibición de divulgarlo... y ellos chapan con la excusa mas peregrina pero a la vez sospechosa que se les ocurre, para dar una pista.
#61, bueno, eso no es realmente descartarlo, es no ver indicios. No es lo mismo.
#5#11#12 lol es un twitter falso. Si mirais su twitter hay perlas como "We're launching a new program to locate Edward Snowden's testicles" entre otras
Se recomienda no descargar la versión 7.2 que está disponible en la web de TrueCrypt, al menos hasta saber si el mensaje es cierto o no. Hay varias teorías danzando ahora mismo.
#1 "Significantly, TrueCrypt version 7.2 was certified with the official TrueCrypt private signing key, suggesting that the page warning that TrueCrypt isn't safe wasn't a hoax posted by hackers who managed to gain unauthorized access. After all, someone with the ability to sign new TrueCrypt releases probably wouldn't squander that hack with a prank..." Pero.... Quien sabe
#42 A ver quizá la palabra "contenedor" no es la más correcta tecnológicamente hablando pero la define bastante bien a mi parecer, digamos que es un "fichero" cifrado el cuál abres para introducir o ver los archivos y luego lo cierras. Vamos que no es un cifrado a nivel de disco duro, cosa que Tomb no permite si no me equivoco (cryptsetup creo que sí).
Tomb es muy fácil de usar, cryptsetup no lo he probado por lo que no puedo decirte.
#30 El mundo de la informática siempre ha tenido una serie de términos con una connotación un tanto violenta (ejecutar, cortar, pegar, matar, colgar) y esto no ayuda...
#40 Al final la seguridad siempre depende hasta donde quieras llegar, y en ese sentido tienes razón. Si alguien quiere acceder a datos encriptados es simplemente una cuestión de cuantos recursos quieran invertir o cuanto tiempo te vayan a torturar.
Si es para un uso más o menos personal, realmente no ha cambiado nada.
Por cierto, LUKS es una de las opciones más destacadas para sustitutir a TrueCrypt. Entonces, ¿no os mosquea que la página de http://www.freeotfe.org/ (la aplicación para usar LURKS en windows) este en blanco?
Pequeño apaño que podeis hacer para cifrar ficheros (siempre y cuando tengais una versión de openssl actualizada):
Cifrar:
openssl enc aes256-cbc -e -in file.zip -out file.zip.aes256 -pass pass:**************
Descifrar:
openssl enc aes256-cbc -d -in file.zip.aes256 -out file.zip
#40 Bueno, siempre y cuando no se descargue la nueva versión, y las anteriores no tengan una vulnerabilidad gravísima que se haya detectado justo antes de lanzar esta bomba. Lo suyo sería tener mucha precaución.
Enlaces para descargar versiones anteriores de truecrypt (antes de usar los binarios proporcionados en esa pagina verifique las sumas hash con datos obtenidos de otras fuentes)
Se habla de fallos de seguridad ¿cuáles?. Luego se habla (casi como si fuera consecuencia) de que su desarrollo se detuvo después de que microsoft diera soporte a discos encriptados. Y luego, casualmente se recomienda pasar a esa alternativa.
En mi opinión prácticamente parece que lo que quieres es que no se use este programa simplemente porque sí funciona. Si se trata de que es inseguro se podrían corregir los fallos, si no se quiere seguir con el programa se podría dejar que alguien siga el proyecto. Me parece que nunca había visto un "suicidio" de esta forma, hasta habría sido más fácil dejar el programa como estaba y poner un aviso en su web.
#44 Y si es sencillamente la NSA? La explicación más sencilla en estos tiempos...
Aunque lo más probable es que la NSA ya tuviera el control desde hace años... a día de hoy no creo que ni ssh, ni gpg ni ningún sistema de encryptado mayoritario sea fiable.... Quizás sean fiable a nivel software, pero no a nivel hardware.
Por cierto, aqui teneis la versión anterior de TrueCrypt, para quien quiera seguir trabajando con ella (aunque solo sea para limpiar volúmenes cifrados)
Descargar TrueCrypt 7.0a - FileHippo.com : http://filehippo.com/es/download_truecrypt/8266/
#53 A mi la teoría que más me suena factible es que los hayan presionado para que incluyan un agujero de seguridad, y en lugar de aceptar hayan decidido cancelar el proyecto. Por eso están ilocalizables y no contestan a ninguna pregunta.
De todas formas era una aplicación libre así que el código fuente está en todas partes y otros podrán continuar desarrollándolo.
#53 Si no sabes del tema, ¿por qué hablas? Eso que pone ahí es completamente falso. Así que ese lo recoges, lo disfrutas solito en casa, y te lo ahorras la próxima vez que hables de algo que no conozcas.
Siguiendo un poco los comentarios en reddit hay cosas interesantes:
Esta nueva versión podría ser una forma de avisar de que posiblemente esté en una situación igual a la de lavabit en la que no puede hacer comentarios sobre algún requerimiento oficial de alguna agencia del gobierno. No olvidemos que allí pueden hacerle requerimientos "secretos" y que sea ilegal que comente nada al respecto. https://en.wikipedia.org/wiki/Warrant%20canary
Comentarios
A ver, si han hackeado su web no tiene mucho sentido haber desarrollado una nueva versión de la app, utilizando el certificado correcto (que también tendrían que haber hackeado) para sacar una versión nueva en la que se bloquea la escritura, y se recomienda no usar la app.
En reddit hay una teoría más plausible: Esto es un Dead_man_switch, del tipo Canario. El gobierno americano suele mandar órdenes mordaza a muchos desarrolladores, en las que se les obliga abrir puertas a su software, o no parchear alguna que estuviera abierta y estén explotando, y a la vez se les impide anunciar tal orden. La solución: Publicar cada mes en algún rincón remoto "a fecha de X no hemos recibido ninguna orden mordaza". Cuando dejan de publicar el aviso en la fecha correspondiente, puedes asumir que sí que han recibido la orden. De esta forma no hacen ningún anuncio, acatan la orden, pero te avisan de que algo va mal.
Concretamente este tipo de aviso parece automatizado y no venir a cuento de nada. Es decir, que si por alguna razón dejan de publicar cambios o dejan de modificar el sistema, el sistema automáticamente lanza una última compilación y aviso de que no se actualiza más y de que no se use. Si les han impedido decir nada, se pueden haber quedado de brazos cruzados esperando a que el script de marras hiciera su labor.
#16 y añado: Es harto improbable que el desarrollador de TrueCrypt se pase por el arco del triunfo toda noción de seguridad y RECOMIENDE EN SU PÁGINA utilizar Bitlocker de Microsoft, del que se tienen sospechas muy sólidas de que está intervenido.
http://boingboing.net/2013/09/11/how-the-feds-asked-microsoft-t.html
#19 tendréis razón y lo habrá dicho como forma de avisar que el código está intervenido.
Si no hace ninguna declaración más, estará claro lo que ha pasado.
#21 Es exactamente a lo que huele, él no haría esa advertencia ni de coña. Pero dado que la app y todo el resto tienen la firma correcta, hay que asumir que es él quien lo ha puesto. O ellos...no se sabe quienes/cuantos son...eran.
Hay dos opciones: Les han mandado una papeleta para que manden los certificados de firmas (de manera que esta última versión sería segura, pero cuidadín con toda próxima versión que saquen). La otra opción es que han descubierto que tenían un bujero made in NSA desde quien sabe cuanto, y que al ir a avisar, han recibido la mordaza. En cualquier caso...cuidadin.
Alternativas en Linux hay varias, creo. En Windows/Mac también las hay, pero son todas de código cerrado, así que no puedes saber si no te la estarán metiendo doblada. Un nuevo aviso a la gente de que migren a Linux.
Ni se os ocurra descargar el nuevo binario.
#16 Dos posibilidades principales:
1. Han encontrado a los desarrolladores, tienen vulnerabilidades detectadas, y les habían obligado a mantener la boca cerrada al estilo Lavabit. Los desarrolladores de alguna forma han montado este pollo para avisar a la gente de que tengan mucho cuidado con el software que están usando.
2. Si la NSA o similar está detrás, y dado que saben que cualquier cambio malicioso introducido actualmente iba a ser detectado inmediatamente por la auditoría, han montado una operación psicológica para hacer que la gente huya como loca de este software. Vamos, FUD elevado a la enésima potencia.
https://es.wikipedia.org/wiki/Fear,_uncertainty_and_doubt
Y aun así queda la posibilidad de hackers, rencillas personales de personas que formen parte del desarrollo y hayan querido boicotear el proyecto...
#33 No enlaces a software en páginas no oficiales. Ahora mismo no es momento de poner en más peligro aun a las personas que puedan necesitar este software. El que lo tenga instalado ya lo tiene instalado, el que no, mejor haría en no tocar nada.
#33 y #34
El enlace de FileHippo ES CORRECTO (joer con los negativos)
A ver, que me lo he descargado y es igual que el que ya tenía descargado hace meses en mi ordenador.
El sha1 de este ejecutable, por si alguien lo quiere comprobar:
sha1sum.exe "c:tempTrueCrypt Setup 7.0a.exe"
9ebe5de6130deae5d361306bf0add7a6789f6fbc *c:tempTrueCrypt Setup 7.0a.exe
De todas formas, como dicen #36 y demás, habría que esperar a ver que pasa con TrueCrypt en general, pero si quereis recuperar datos que tengais por ahí, si no lo teneis ya instalados yo usaba la versión antigua (la de filehippo, o cualquier otro mirror que se pueda comprobar), ante que esta versión nueva.
Por supuesto y dado que esto parece un ataque dirigido a la credibilidad de Truecrypt, yo tendría mucho cuidado con lo que leáis en comunidades de Internet de usuarios desconocidos, no vayan a ser agentes esparciendo más mierda para conseguir su fin, o gente que inconscientemente está esparciendo lo que otros han inventado.
Resumiendo: si no eres un experto, no hagas tonterías ni cambios bruscos basado en lo que leas en la red sin esperar un tiempo a que haya informaciones más asentadas sobre lo que pueda estar pasando.
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues. (nótese el Not Secure As, NSA)
#36 Olvídate de enlazar a nada cuando las claves han sido vulneradas y la infraestructura ha podido ser atacada. Y no sabemos cuando. Repito: los que lo tengan instalado deberían dejarlo quietecito y usarlo lo menos, posible, y los que quieran instalarlo olvidarse de ello por el momento.
#36 Si buscais en google, podreis ver que ese hash corresponde efectivamente a la version 7.0a de TrueCrypt:
https://www.google.es/search?q=9ebe5de6130deae5d361306bf0add7a6789f6fbc&oq=9ebe5de6130deae5d361306bf0add7a6789f6fbc&aqs=chrome..69i57.318j0j1&sourceid=chrome&es_sm=122&ie=UTF-8
#16 segun Wikileaks:
"Truecrypt has released an update saying that it is insecure and development has been terminated. The style of the announcement is very odd; however we believe it is likely to be legitimate and not a simple defacement. The new executable contains the same message and is cryptographically signed. We believe that there is either a power conflict in the dev team or psychological issues, coersion of some form, or a hacker with access to site and keys"
#16 el tema de recomendar un producto de Microsoft es lo que mas llama la atencion, parece puesto a proposito para que nos olamos que algo va mal al instante. Lo de sacar una versión nueva tendría sentido si pretenden ganar acceso o romper la seguridad de otros equipos, pero entonces no habrían puesto el aviso de TRUECRYPT IS NOT SECURE en la web.
Pero los que estaban auditando el código de la 7.1 solo han encontrado bugs pequeños, nada demasiado serio por el momento.
#25, no es código abierto en el sentido mas puro. Su licencia ha sido siempre algo restrictiva, incompatible con la GPL. Curiosamente uno de los cambios de la nueva version es que esta elimina algunas de esas restricciones, pero claro, esto no se aplica a las versiones anteriores y nadie se va a fiar de esta última versión, porque además elimina todo el código para encriptar, solo sirve para desencriptar.
#46, el FBI en concreto ha sido incapaz de romper truecrypt. Claro que si la NSA pudiera, probablemente no lo compartirían con el FBI.
#47 el FBI en concreto ha sido incapaz de romper truecrypt. Claro que si la NSA pudiera, probablemente no lo compartirían con el FBI.
Si pudiera seguramente les interesaría mantener la credibilidad en truecrypt, y está claro que si tuvieran un 0-day o un backdoor ultrasecreto tampoco lo utilizarían con cualquiera. Es lo que más bien me hace sospechar que molesta que cualquier persona pueda poner persianas a sus ventanas.
#51 obviamente, como mucho se usaría con alguien que haya recibido una "FISA warrant", que es una orden que es ilegal decir que la has recibido. Algunos se han quejado de que se les ha negado hasta divulgar el contenido de la orden con sus abogados, que solo abogados del estado están autorizados a tratar con ese tipo de ordenes. Si está comprometido, interesa que no se sepa y se siga usando.
#53, Truecrypt no tiene nada que ver con XP. Truecrypt es para usuarios paranoicos, y un usuario paranoico no estaría usando XP para empezar. Precísamente señalar lo del XP en la página parece mas la pista de que algo va mal. Igual una FISA warrant de esas, que no pueden divulgar, pero nada les impide chapar por completo.
No se si conocerás el caso de Lavabit. Lavabit era un servicio de correo encriptado, que ya había respondido a varias ordenes judiciales válidas para entregar datos de usuarios concretos. Pero de pronto surgió el tema de Snowden, Snowden usaba Lavabit, y el FBI le mandó una FISA warrant para instalar equipamiento en su servidor para poder acceder a todo, y más tarde ceder la clave ssl privada de todo el servicio. El tío chapó la web sin ninguna explicación, y una o dos semanas mas tarde sacó un comunicado diciendo lo siguiente:
"Se me ha obligado a tomar una decisión dificil: ser cómplice en crímenes contra los americanos, o marcharme y acabar con 10 años de duro trabajo cerrando Lavabit. Tras pensarmelo bastante tiempo, he decidido cerrar. Me gustaría poder compartir legalmente con vosotros los eventos que me han llevado a tomar esta decisión. No puedo. Mereceis saber que es lo que está pasando, la primera enmienda supuestamente garantiza mi derecho a la libertad de expresión en situaciones como esta. Desafortunadamente el congreso ha introducido leyes que dicen lo contrario. Tal como están las cosas no puedo compartir nada de lo que ha ocurrido las últimas 6 semanas, pese a haber hecho ya dos solicitudes al respecto."
Por "delitos" de una persona particular, lo que solicitaban permitía acceder al contenido de 400.000 usuarios. Y no se le permitía ni avisar. Creo que hasta por chapar se le acusó de desacato. Luego cuando agotó todos los recursos legales, entregó la clave SSL... y recibió otro cargo de desacato, porque lo hizo en papel: http://www.fayerwayer.com/2014/04/lavabit-acusado-de-desacato-por-entregar-clave-ssl-impresa-en-11-hojas-con-letra-pequena/
Y a mi todo este tema de Truecrypt me suena a algo parecido. Identifican a los programadores, les entregan una orden obligándoles a dejar abierta alguna vulnerabilidad encontrada, o añadir una backdoor, y la prohibición de divulgarlo... y ellos chapan con la excusa mas peregrina pero a la vez sospechosa que se les ocurre, para dar una pista.
#61, bueno, eso no es realmente descartarlo, es no ver indicios. No es lo mismo.
#16 "haber desarrollado una nueva versión de la app, utilizando el certificado correcto"
Han subido certificados nuevos apenas 3 horas antes de subir la última compilación:
http://sourceforge.net/p/truecrypt/activity/?page=0&limit=100#5386267c34309d5eeee49ec1
¿Alguien tenía el certificado viejo y ha comprobado si el nuevo coincide?
Ya hay desmentida:
#5 Realmente crees a la NSA como fuente fiable?
#11 ¿Realmente te has creído que esa cuenta es oficial?
#11 venga hombre, que es una cuenta de "broma"... un tweet de ellos: "We're launching a new program to locate Edward Snowden's testicles"
#11@NSA_PR es una cuenta de parodia de la NSA, la real y que ya te sigue es@NSA_PAO
#5 #11 #12 lol es un twitter falso. Si mirais su twitter hay perlas como "We're launching a new program to locate Edward Snowden's testicles" entre otras
#5 Si la National Sodomy Agency dice que es seguro, entonces no es seguro.
Se recomienda no descargar la versión 7.2 que está disponible en la web de TrueCrypt, al menos hasta saber si el mensaje es cierto o no. Hay varias teorías danzando ahora mismo.
#1 "Significantly, TrueCrypt version 7.2 was certified with the official TrueCrypt private signing key, suggesting that the page warning that TrueCrypt isn't safe wasn't a hoax posted by hackers who managed to gain unauthorized access. After all, someone with the ability to sign new TrueCrypt releases probably wouldn't squander that hack with a prank..." Pero.... Quien sabe
#3 No se sabe nada, es muy extraño
El enlace de #7 tiene mucha información (o muchas teorías).
¿Dejar TrueCrypt y pasar a una herramienta de Microsoft? No, gracias. No espero desmentidos ni nada.
Teoría de alguien en reddit sobre posible hackeo http://www.reddit.com/r/netsec/comments/26pz9b/truecrypt_development_has_ended_052814/chtf998
Castellano truecrypt-desaparece-fallos-seguridad/
TrueCrypt desaparece por fallos de seguridad
genbeta.comAlternativa libre para Linux: https://code.google.com/p/cryptsetup/
Alguna alternativa para linux? #24 como no te había visto, gracias! lo miro
#24 #28 Para contenedores cifrados yo estoy usando Tomb y muy contento con él la verdad. Por si queréis echarle un vistazo http://www.dyne.org/software/tomb/
#30 Qué es un "contenedor" en "contenedores cifrados"?
Gracias
Edito, qué tal Tomb y cryptsetup? Són "fáciles" de usar?
#42 A ver quizá la palabra "contenedor" no es la más correcta tecnológicamente hablando pero la define bastante bien a mi parecer, digamos que es un "fichero" cifrado el cuál abres para introducir o ver los archivos y luego lo cierras. Vamos que no es un cifrado a nivel de disco duro, cosa que Tomb no permite si no me equivoco (cryptsetup creo que sí).
Tomb es muy fácil de usar, cryptsetup no lo he probado por lo que no puedo decirte.
#45 No entiendo lo que me quieres decir.
#30 El mundo de la informática siempre ha tenido una serie de términos con una connotación un tanto violenta (ejecutar, cortar, pegar, matar, colgar) y esto no ayuda...
#40 Al final la seguridad siempre depende hasta donde quieras llegar, y en ese sentido tienes razón. Si alguien quiere acceder a datos encriptados es simplemente una cuestión de cuantos recursos quieran invertir o cuanto tiempo te vayan a torturar.
Si es para un uso más o menos personal, realmente no ha cambiado nada.
#24 parece que ya lo tenía instalado en ubuntu pero no tiene interfaz gráfica, correcto?
Qué raro huele...
Por cierto, LUKS es una de las opciones más destacadas para sustitutir a TrueCrypt. Entonces, ¿no os mosquea que la página de http://www.freeotfe.org/ (la aplicación para usar LURKS en windows) este en blanco?
¿Otro warrant canary?
#38: quita el adblock y veras que no está en blanco.
Sólo hay propaganda. Parece que alguien ha comprado el dominio para poner publicidad.
Pequeño apaño que podeis hacer para cifrar ficheros (siempre y cuando tengais una versión de openssl actualizada):
Cifrar:
openssl enc aes256-cbc -e -in file.zip -out file.zip.aes256 -pass pass:**************
Descifrar:
openssl enc aes256-cbc -d -in file.zip.aes256 -out file.zip
[[ LUKS ]]
Jajaja LUKS, de nada.
La licencia de truecrypt no es libre. Estaban estudiando la opción de hacerlo completamente libre, pero no habían llegado ahí todavía.
Y existe alguno fiable?
seguro que en todos los sistemas de encriptacion tienen a un amiguete de la NSA que se encarga de dejar un backdoor.
¡¡¡Pues se pone EncFS como capa adicional de refuerzo de seguridad y LISTO!!!!
Yo lo uso con DropBox, CopyCom y similares y funciona genial.
#49 Y con esto https://code.google.com/p/cryptonite/ en android perfecto
La gente de sourceforge descarta el "hackeo"
Reposting this from Hacker News, not sure if legit:
"Providing some details from SourceForge:
1. We have had no contact with the TrueCrypt project team (and thus no complaints).
2. We see no indicator of account compromise; current usage is consistent with past usage.
3. Our recent SourceForge forced password change was triggered by infrastructure improvements not a compromise. FMI see http://sourceforge.net/blog/forced-password-change/
Thank you,
The SourceForge Team communityteam@sourceforge.net"
tiene toda la pinta de ser un hackeo de su web.. no tiene sentido si no.
No entiendo, al ser código abierto ¿no se podría hacer un fork?
El código fuente está disponible aquí: http://www.liberkey.com/apps/src/?app=TrueCrypt
El comunicado de la NSA viene a decir: sigue sigue que yo te aviso...
Suena muy feo... pero lo peor es que te recomienden usar un programa de cifrado de Microsoft o Apple... aqui huele a caca
Para uso personal, domestico o pequeña empresa, truecrypt es igual de seguro que era antes.
#40 Bueno, siempre y cuando no se descargue la nueva versión, y las anteriores no tengan una vulnerabilidad gravísima que se haya detectado justo antes de lanzar esta bomba. Lo suyo sería tener mucha precaución.
https://www.grc.com/misc/truecrypt/truecrypt.htm
Enlaces para descargar versiones anteriores de truecrypt (antes de usar los binarios proporcionados en esa pagina verifique las sumas hash con datos obtenidos de otras fuentes)
Que raro suena todo, no actualizar a la 7.2 y quedarse en la 7.1a de momento a ver que pasa.
A migrar el porno
Esto me parece extrañísimo por todas partes...
Se habla de fallos de seguridad ¿cuáles?. Luego se habla (casi como si fuera consecuencia) de que su desarrollo se detuvo después de que microsoft diera soporte a discos encriptados. Y luego, casualmente se recomienda pasar a esa alternativa.
En mi opinión prácticamente parece que lo que quieres es que no se use este programa simplemente porque sí funciona. Si se trata de que es inseguro se podrían corregir los fallos, si no se quiere seguir con el programa se podría dejar que alguien siga el proyecto. Me parece que nunca había visto un "suicidio" de esta forma, hasta habría sido más fácil dejar el programa como estaba y poner un aviso en su web.
#44 Y si es sencillamente la NSA? La explicación más sencilla en estos tiempos...
Aunque lo más probable es que la NSA ya tuviera el control desde hace años... a día de hoy no creo que ni ssh, ni gpg ni ningún sistema de encryptado mayoritario sea fiable.... Quizás sean fiable a nivel software, pero no a nivel hardware.
Por fin... a ver si puedo recuperar lo que perdi por olvidar la contraseña. ..
me la pela que la NSA y el FBI vean mis archivos, a mi quien me preocupa es mi Ex-mujer..
#48 Y qué crees que hará la NSA? Enviarlos a tu ex!!!
Por cierto, aqui teneis la versión anterior de TrueCrypt, para quien quiera seguir trabajando con ella (aunque solo sea para limpiar volúmenes cifrados)
Descargar TrueCrypt 7.0a - FileHippo.com : http://filehippo.com/es/download_truecrypt/8266/
El motivo por el que TrueCrypt no es seguro lo pone en la segunda línea.
The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP.
Cuanta paranoia... Conspiraciones ocultas. NSA, amenazas, el FBI...
Cuando una aplicación de seguridad no tiene soporte se la considera automáticamente insegura.
#53 A mi la teoría que más me suena factible es que los hayan presionado para que incluyan un agujero de seguridad, y en lugar de aceptar hayan decidido cancelar el proyecto. Por eso están ilocalizables y no contestan a ninguna pregunta.
De todas formas era una aplicación libre así que el código fuente está en todas partes y otros podrán continuar desarrollándolo.
#54 Eran ilocalizables ya desde antes. Los desarrolladores de TrueCrypt nunca se ha sabido quiénes eran.
#53 Si no sabes del tema, ¿por qué hablas? Eso que pone ahí es completamente falso. Así que ese lo recoges, lo disfrutas solito en casa, y te lo ahorras la próxima vez que hables de algo que no conozcas.
Siguiendo un poco los comentarios en reddit hay cosas interesantes:
Esta nueva versión podría ser una forma de avisar de que posiblemente esté en una situación igual a la de lavabit en la que no puede hacer comentarios sobre algún requerimiento oficial de alguna agencia del gobierno. No olvidemos que allí pueden hacerle requerimientos "secretos" y que sea ilegal que comente nada al respecto.
https://en.wikipedia.org/wiki/Warrant%20canary
#53 Me parece que te has quedado mirando al dedo.