TrueCrypt non è sicuro, si legge sulla home del progetto

TrueCrypt è uno dei software più apprezzati ed utilizzati al mondo. Il programma permette di crittografare l’intero disco fisso o creare “contenitori virtuali”, anch’essi cifrati, nei quali salvare dati personali evitandone l’accesso da parte di persone non autorizzate.
Nelle scorse settimane, sull’onda dello scandalo NSA, due noti ricercatori avevano pubblicato i risultati delle prime approfondite analisi sul codice sorgente di TrueCrypt spiegando come il programma non contenga backdoor o codice sospetto, utilizzabile per “forzare” le unità crittografate da altri utenti: TrueCrypt è sicuro, non contiene alcuna backdoor. Ma le indagini continuano.

Un aggiornamento pubblicato su quello che è il sito ufficiale di TrueCrypt sta però gettando nel panico migliaia di utenti in tutto il mondo: “TrueCrypt non è sicuro dal momento che può contenere problemi di sicurezza irrisolti” è quanto si legge, in rosso, sulla home page del programma. Nella stessa pagina si spiega che il supporto di TrueCrypt è da considerare terminato (a partire dal mese di maggio 2014) e viene suggerito di migrare prima possibile ad altre soluzioni. Viene poi presentata una sorta di guida passo-passo per attivare e configurare Microsoft BitLocker a protezione del contenuto di intere unità disco o di volumi virtuali (in formato VHD).

Sui social network si è scatenato, come prevedibile, uno tsunami di commenti. La domanda che ci si pone riguarda, in primis, l’effettiva legittimità delle informazioni pubblicate sulla home del progetto TrueCrypt. È tutto vero oppure si tratta di un attacco, di un ottimo esempio di “defacement”?

L’ago della bilancia sembrerebbe pendere più dalla parte del reale. In calce alla pagine di TrueCrypt, infatti, viene presentata una presunta nuova versione dell’applicazione che paragonata con la release immediatamente precedente (analisi delle differenze; diff analysis) differisce per l’inserimento di un messaggio che informa gli utenti sull’insicurezza del programma consentendo la decodifica dei volumi cifrati ma non permettendone la creazione.
La stessa versione di TrueCrypt (la 7.2) contiene poi la firma digitale abitualmente utilizzata dallo sviluppatore del programma.

Lo stesso Matthew Green, docente di crittografia presso la Johns Hopkins University che ha curato l’analisi sul funzionamento del software, ha commentato su Twitter che il messaggio apparso sul sito di TrueCrypt sembrerebbe legittimo e non, quindi, frutto di un attacco. Stessa valutazione anche per Brian Krebs.
Green precisa di aver anche provato a contattare l’autore di TrueCrypt (anonimo), già sentito più volte in passato, senza al momento aver ottenuto alcuna risposta.

Nuovi dettagli sulla vicenda arriveranno certamente nel corso delle prossime ore.