La web oficial de TrueCrypt dice que el desarrollo de la popular herramienta terminó y advierte a los usuarios que la herramienta, de diez años de antigüedad ya no es segura y, como si fuera poco, recomienda el uso de Bitlocker.
Hasta ahora no se ha podido confirmar que el mensaje sea auténtico y esto desencadenó un tsunami de comentarios en Twitter y otras redes sociales. Matthew Green, un profesor especializado en criptografía en Johns Hopkins University y una de las personas que encabezó la auditoría TrueCrypt, dijo que el anuncio parece ser auténtico. Hasta ahora los intentos de contacto con los desarrolladores de TrueCrypt (hasta ayer desconocidos) no han dado resultado y el chat oficial aparece desactivado.
Por ahora también ha desaparecido el sitio oficial y la página de histórica de Webarchive. La página de SourceForge contiene una nueva versión TrueCrypt 7.2 del programa que, de acuerdo con este análisis "diff", sólo parece contener cambios advirtiendo que el programa no es seguro de usar. Curiosamente, la nueva versión solo permite a los usuarios cifrar y descifrar datos pero no crear nuevos volúmenes.
Algunas teorías que se manejan hasta ahora son:
El sitio web ha sufrido un deface o una modificación de DNS y las claves se presumen comprometidas. En este caso se recomienda no descargar ni ejecutar nada... ni cambiar a Bitlocker. La versión válida es la 7.1a. y la versión 7.2 es un engaño.
Algo malo le pasó a los desarrolladores de TrueCrypt (fueron comprometidos o amenazados) o a TrueCrypt en sí mismo
realmente se encontro la vulnerabilidad. Así que la nueva versión 7.2 es legítima.
Los autores de TrueCrypt fueron presionados legalmente como le sucedio a Lavabit.
La clave privada que certifica la autenticidad de la aplicación fue comprometida y ya no está bajo el control exclusivo de los desarrolladores oficiales de TrueCrypt y, por lo tanto, la nueva versión es un engaño.
Es es un efecto secundario sobre el reciente pedido de cambios de contraseña de SourceForge.
Es una campaña publicitaria para lograr más relevancia.
Los desarrolladores dicen la verdad y TrueCrypt murió tal y como lo conocemos.
El código fuente de la nueva versión parece no contener código dañino: 43 archivos cambiados, 1760 añadidos, 4112 borrados.
Parece que ha llegado el momento de comenzar a evaluar otras alternativas libres como TcPlay, Luksus, Cryptonite (para Android), RealCrypt (un spin-off de TrueCrypt), FreeOTFE, AxCrypt, AESCrypt, etc.
En cualquier caso, por ahora recomendamos NO descargar nuevas versiones y esperar las próximas horas para ver como se desarrollan los eventos.
Actualización 22:00 hs: aquí hay un repositorio de todas las versiones de TrueCrypt anteriores. Ante cualquier descarga se recomienda verificar la integridad de los archivos.
Actualización 23:00 hs: los certificados digitales de las versiones 7.1a y 7.2 parecen ser correctos.
Actualización 29/05 09:00: todo apunta a que efectivamente TrueCrypt no seguiría siendo mantenido por sus desarrolladores actuales y comienzan los interrogantes sobre si es posible crear un fork basado en que su licencia actual no parece ser realmente Open Source.
Actualización 29/05: 10:00: OpenCryptoAudit acaba de anunciar que por la tarde brindará detalles de su análisis sobre la herramienta.
http://blog.segu-info.com.ar/2014/0...tm_campaign=0&utm_content=32516#axzz3389Q5NMi
Mods