Segurança da Informação

Ξ 1 comentário

O mistério do TrueCrypt

publicado por Marcos Machado

O mistério do TrueCryptO TrueCrypt foi, durante muito anos, o principal software opensource de criptografia de discos, recomendado por diversos especialistas e presente na mídia. Ele foi protagonista na saga dos HDs encriptados do Daniel Dantas, que foram enviados para o FBI e voltaram do mesmo jeito, inviolados.

Pois esta semana toda a comunidade de segurança foi supreendida com a notícia de que o produto estava descontinuado. Seu site (truecrypt.org) passou a exibir a informação de que o produto não devia mais ser usado e a instruir que seus usuários migrassem para outras soluções de criptografia, pois o TrueCrypt poderia estar vulnerável a problemas e falhas de segurança.

Muitas teorias têm surgido a respeito desse episódio. Entre elas podemos destacar:

Obsolescência: esta é a explicação oficial, limitada a uma linha de texto, no site do projeto. Com o fim do suporte ao Windows XP, o TrueCrypt também deixaria de ser suportado, uma vez que sistemas mais modernos tem ferramentas de criptografia embutidas e tornaria a desnecessária uma ferramenta externa.

Invasão: O projeto teria sido alvo de invasores e seus sistemas estariam comprometidos. Essa teoria não explica o motivo de uma retirada tão abrupta, pois apesar de uma mancha na reputação, seria possível recuperar a credibilidade e consertar os problemas.

Auditoria: O projeto TrueCrypt vinha sendo auditado por empresas independentes para a verificação do código a procura de vulnerabilidades e backdoors que poderiam ter sido inseridas (de propósito ou não) ao longo dos anos.

Segundo essa teoria, a auditoria teria encontrado evidências de falhas ou códigos maliciosos no sistema. No entanto, a primeira fase  desse trabalho não encontrou nenhuma evidência de problemas e o projeto estaria arrecadando fundos para iniciar a segunda fase.  A própria empresa contratada para auditar o TrueCrypt foi pega de surpresa com a notícia do seu encerramento.

NSA: Assim como a agência de segurança americana fez com outros projetos (como oLavabit), aventa-se a possibilidade de que o projeto TrueCrypt tenha sido forçado a implementar backdoors que permitissem a espionagem dos seus usuários. A única saída seria a retirada do produto do mercado para que menos usuários fossem afetados.

A trama complica ainda mais pois os autores e mantenedores do projeto são anônimos. Tudo o que temos para confiar são as declarações contidas no site oficial, e até agora as explicações são mínimas e bem pouco convincentes.

No momento, a melhor estratégia é estudar a migração dos seus dados para outras plataformas de criptografia e ficar de olho nas notícias sobre este estranho caso no panorama mundial de segurança de dados.

[Crédito da Imagem: TrueCrypt – ShutterStock]

Autor

Marcos Machado é gestor na PKI Tecnologia, especializado em projetos de segurança da dados, infraestrutura de missão crítica e alta disponibilidade de sistemas. Possui 15 anos de experiência em projetos de TI, pós-graduação em Tecnologias de Redes e MBA em Gestão Estratégica da Informação pela UFRJ. Contatos: Site | E-mail | LinkedIn

Marcos Machado

Comentários

1 Comment

  • Que pena, a opção de 2 partições (1 oculta) era tão funcional. E o boot criptografado que só aparece uma tela preta com msg personalizada tbm era muito interessante.
    Ainda vou continuar usando no meu notebook (uso pessoal), pois em caso de roubo, meus dados não ficam expostos. Mas se alguém quer usar para fugir da PF, pode procurar outro.

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade



Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.

Artigos Recentes