Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon TrueCrypt ya no es seguro




El extraño caso de TrueCrypt que dice que ya "no es seguro", recomienda usar Bitlocker (Herramienta de Microsoft) y argumenta que los motivos de su "cambio" son el fin del soporte de Windows XP.... no hacen más que avivar la sospecha de la teoría del "warrant canary". ¿La NSA pretende añadir una puerta trasera? ¿Estaremos delante de otro caso como el del correo Lavabit?





Después de haber sido durante de 10 años la herramienta de código abierto preferida para el cifrado de archivos el proyecto TrueCrypt ha sido descontinuado, sin que las explicaciones dadas por sus creadores anónimos sean suficientes, o creíbles.

La noticia no es que TrueCrypt sea inseguro, sino que sus desarrolladores lo hayan abandonado, según ellos de forma definitiva...

Legalmente no se puede hacer un fork de TrueCrypt, porque  la licencia de truecrypt no es exactamente del todo libre.

El nivel de seguridad de TrueCrypt


El  hasta ahora software de cifrado libre y gratuito TrueCrypt  se mostró realmente seguro en un caso investigado por las autoridades brasileñas que pidieron ayuda al FBI para descifrar la información contenida en unos discos duros.

El sistema TrueCrypt 256 bits AES ha superado con nota -durante 12 meses- los intentos de la agencia estadounidense que, según parece, estaban intentando métodos de asalto por fuerza bruta que resultaron completamente infructuosos. Si bien ya os informamos de la existencia de TrueCrypt como software libre y gratuito capaz de realizar cifrado de unidades al vuelo sobre distintos sistemas operativos, hoy toca informaros de que la seguridad ofrecida por el mismo es digna de mención.

Una investigación brasileña sobre una defraudación fiscal dio con varios discos duros en los que se contenía información del caso, pero estaba cifrada utilizando el protocolo 256 bits AES a través de TrueCrypt. Brasil pidió ayuda a la agencia estadounidense FBI para que descifraran la información utilizando sus medios informáticos, pero,tras un año de pruebas se han dado por vencidos.

TrueCrypt se ha mostrado seguro como para hacer imposible que incluso el FBI y sus recursos puedan descifrarlo sin disponer de la clave original.

La auditoría de seguriad de  TrueCrypt


TrueCrypt es una de las herramientas criptográficas más potentes y utilizadas en todo tipo de entornos para cifrar archivos y carpetas. Esta herramienta permite crear una especie de disco duro cifrado en el que los usuarios pueden copiar sus archivos y llevarlos a cualquier sitio con la garantía de que, aunque se pierda dicho archivo, nadie podrá acceder a los ficheros almacenados en él.

TrueCrypt ha sido sometiendo, a una serie de auditorías para comprobar su fiabilidad y su seguridad real. Durante la primera etapa de esta auditoría se han encontrado un total de 11 vulnerabilidades pero ninguna de ellas de una importancia grave para la herramienta de cifrado que puedan comprometer los datos de los usuarios. Varias de ellas son métodos en desuso o vulnerabilidades debidas a los algoritmos que podrían llegar a comprometer la seguridad si no se aplican contraseñas y claves de cifrado complejas.

Tras varios análisis, iSEC ha confirmado que no existe puerta trasera alguna en TrueCrypt y que se trata de una aplicación segura

¿ Los motivos reales ?

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

"Not Secure As” se puede leer NSA.

Obligarles a introducir agujeros de seguridad para interés de alguna agencia de seguridad.



Una de las teorías es que el anuncio de Truecrypt es un tipo de "warrant canary" (http://en.wikipedia.org/wiki/Warrant_canary): es decir, digo regularmente que no he recibido ninguna carta de las autoridades para dar acceso a mis datos (National Security Letter). Esto es el "canario", como en la mina para asegurar la "respirabilidad" del aire En el momento en que deje de decirlo, aunque no pueda decir positivamente que la he recibido (lo prohíbe explícitamente ley estadounidense), puedes asumir que la he recibido (como el canario que se muere en la mina). duress canary = "canario bajo coacción"

Parece  un Dead_man_switch, del tipo Canario. El gobierno americano puede mandar órdenes mordaza a muchos desarrolladores, en las que se les obliga abrir puertas a su software, o no parchear alguna que estuviera abierta y estén explotando, y a la vez se les impide anunciar tal orden. La solución: Publicar cada mes en algún rincón remoto "a fecha de X no hemos recibido ninguna orden mordaza". Cuando dejan de publicar el aviso en la fecha correspondiente, puedes asumir que sí que han recibido la orden. De esta forma no hacen ningún anuncio, acatan la orden, pero te avisan de que algo va mal.

Concretamente este tipo de aviso parece automatizado y no venir a cuento de nada. Es decir, que si por alguna razón dejan de publicar cambios o dejan de modificar el sistema, el sistema automáticamente lanza una última compilación y aviso de que no se actualiza más y que no se use. Si les han impedido decir nada, se pueden haber quedado de brazos cruzados esperando a que el script hiciera su labor


El caso Lavabit

Lavabit era un servicio de correo seguro (cifrado), que ya había respondido a varias ordenes judiciales válidas para entregar datos de usuarios concretos. Pero de pronto surgió el tema de Snowden, Snowden usaba Lavabit, y el FBI le mandó una FISA warrant para instalar equipamiento en su servidor para poder acceder a todo, y más tarde ceder la clave ssl privada de todo el servicio. Ladar Levison cerró la web sin ninguna explicación, y un tiempo después sacó un comunicado diciendo lo siguiente:


"Se me ha obligado a tomar una decisión dificil: ser cómplice en crímenes contra los americanos, o marcharme y acabar con 10 años de duro trabajo cerrando Lavabit. Tras pensarmelo bastante tiempo, he decidido cerrar. Me gustaría poder compartir legalmente con vosotros los eventos que me han llevado a tomar esta decisión. No puedo. Mereceis saber que es lo que está pasando, la primera enmienda supuestamente garantiza mi derecho a la libertad de expresión en situaciones como esta. Desafortunadamente el congreso ha introducido leyes que dicen lo contrario. Tal como están las cosas no puedo compartir nada de lo que ha ocurrido las últimas 6 semanas, pese a haber hecho ya dos solicitudes al respecto."

Por "delitos" de una persona particular, lo que solicitaban permitía acceder al contenido de 410.000 usuarios. Y no se le permitía ni avisar. Hasta por cerrar se le quería acusar de desacato. Luego cuando agotó todos los recursos legales, entregó la clave SSL... y recibió otro cargo de desacato, porque lo hizo en papel: www.fayerwayer.com/2014/04/lavabit-acusado-de-desacato-por-entregar-cl

Todo este tema de Truecrypt suena a algo muy parecido. Primero Identifican a los programadores, les entregan una orden obligándoles a dejar abierta alguna vulnerabilidad encontrada, o añadir una backdoor, y la prohibición de divulgarlo... y ellos cierran con la excusa mas peregrina pero a la vez sospechosa que se les ocurre, para dar una pista.

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.