TrueCrypt, brace sotto le ceneri

Il progetto di verifica del codice del fu software di cifratura non è stato abbandonato: al via la seconda fase dell'analisi che potrebbe gettare le basi per fork che sappiano metterne a frutto l'eredità

Roma – Lo sviluppo era stato interrotto nel mese di maggio dello scorso anno, con un messaggio confusionario: TrueCrypt, popolare software open source dedicato alla cifratura, non si riteneva abbastanza sicuro per continuare a servire i propri utenti. Se i tentativi di interpretare il misterioso messaggio sono stati ormai accantonati da tempo, a non essere stato completamente abbandonato è il processo di revisione del codice, avviato nel 2013 in epoca di Datagate con il progetto OpenCryptoAudit , e potenzialmente in grado di dare vita a fork che discendano dal patrimonio di TrueCrypt.

La prima fase dell’audit si era conclusa nel mese di aprile 2014: qualche bug affliggeva il software, ma non era stata individuata alcuna backdoor. Pochi giorni dopo, nonostante i risultati positivi, la community annunciava l’interruzione dello sviluppo. La revisione del codice, si assicurava però a giugno, sarebbe continuata con il supporto della Linux Foundation e delle donazioni degli utenti, che avevano raggiunto i 70mila dollari.
Il silenzio era poi calato sull’Open Crypto Audit Project.

Uno dei responsabili, Matthew Green, annuncia ora l’avvio di un piano B: se il lavoro di analisi è continuato su alcune porzioni del codice nel tempo libero ad opera degli indefessi responsabili dell’iniziativa, il team Cryptography Services di NCC Group, formato da consulenti di SEC Partners, Matasano, Intrepidus Group e dello stesso NCC Group, è stato incaricato di portare avanti il nucleo della seconda fase dell’audit, quella che si concentrerà più specificamente sulle funzioni crittografiche e sulle sue implementazioni.

Green, dopo aver ringraziato i donatori per i loro contributi e la loro pazienza, auspica che i risultati dell’audit si rivelino estremamente noiosi, così da gettare le basi per lo sviluppo di fork capaci di raccogliere l’eredità di TrueCrypt.

Gaia Bottà

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Craphunter scrive:
    Crapware of crapfirm in crapstate
    "... studiare a fondo la questione ".Capperi, degli studiosi davvero!Forse devono studiare quanto sono (poco) furbi e quanto sono succubi dei loro simpatici governanti, una bella associazione di tagliagole.
  • eheheh scrive:
    si sa che il pesce puzza sempre
    dalla testacomunque tutti pc con i preinstallati contengono crapwaredovrebbero vietare alle case o prevedere un ballout in cui è l'utente ad autorizzare l'installazione dei software aggiuntivi
    • Funz scrive:
      Re: si sa che il pesce puzza sempre
      - Scritto da: eheheh
      dalla testa

      comunque tutti pc con i preinstallati contengono
      crapware

      dovrebbero vietare alle case o prevedere un
      ballout in cui è l'utente ad autorizzare
      l'installazione dei software
      aggiuntivino, dovrebbero obbligare a separare il SW dall'HW. Ogni PC sullo scaffale deve avere due cartellini: PC nudo (con freeDOS o SO free di tua scelta)preinstallazione Windows / iOS / immondizia di contorno a tua scelta
    • Ordinalfabe tix scrive:
      Re: si sa che il pesce puzza sempre
      Come ti permetti? Il MIO pesce non puzza!
  • bubba scrive:
    aggiornamenti (for fun & profit )
    1) l'SDK di komodia, usato da svariate aziende (caprone suppongo), contiene la root private key passwordata nello stesso modo (aka sono tutti screwed) : https://gist.github.com/Wack0/17c56b77a90073be81d32) (in sintesi) il proxy mitm di komodia e' malfatto, e accetta come buoni i certificati invalid/untrusted/self-signed che il browser va a visitare [o meglio, un warn c'e' xche fa mangling del fqdn, MA se nel cert viene usato, malevolmente, il campo Alternative names, cio' NON accade] https://blog.filippo.io/komodia-superfish-ssl-validation-is-broken/
    • Scettico scrive:
      Re: aggiornamenti (for fun & profit )
      certo che quando si fa scrivere software di sicurezza a dei dilettanti che non sanno neppure dove sta di casa le conseguenze sono inevitabili.A prescindere poi dalla liceità degli scopi....
  • 766857 scrive:
    Solito
    Dalla cina con furore...E naturalmente la cosiddetta "giustizia" sta a guardare...
  • Ordinalfabe tix scrive:
    Superfish non puzza!
    È freschissimo, non puzza!CAAAPITOOO!?!??
  • prova123 scrive:
    Lenovo come Sony
    C'è poco da studiare ...
    • prova123 scrive:
      Re: Lenovo come Sony
      Questo ricercatore ha studiato bene e prima di loro:http://blog.erratasec.com/2015/02/extracting-superfish-certificate.html
  • ... scrive:
    si ripromette di studiare????
    Anche l'ultima receptionist appena assunta sa che non puoi cambiare la sicurezza delle transazioni HTTPS in cambio di unpresunto 'servizio' di pubblicità personalizzata.Che diavolo vogliono sutdiare?Chiedano scusa, facciano ritirare dagli intermediari gli esemplari marci non ancora venduti, li portino nel deserto dell'arizona e li sotterrino insieme alla cartucce di E.T.!
  • 170 grammi di bonta scrive:
    Superfish
    Superfish[img]http://2.media.collegehumor.cvcdn.com/82/88/fb2334aaeaae63f6f449b0d9e6243e3b.jpg[/img]
  • bubba scrive:
    goto 1
    http://punto-informatico.it//4226585/PI/News/lenovo-bloatware-vulnerabilita.aspx?ct=0&c=1&o=0&th=0#p4226666
Chiudi i commenti