Il mistero di Truecrypt

Un mistero avvolge Truecrypt, il noto tool open source di crittografia, usato da milioni di utenti in tutto il mondo per tenere i propri dati al riparo da occhi indiscreti. Dalla giornata di ieri, mercoledì 28 maggio, la home page http://truecrypt.org rimanda alla corrispondente pagina del sito che ospita(va) il codice  da scaricare, ed i file binari, cioè il noto http://truecrypt.sourceforge.net/.

Un inquietante messaggio campeggia in alto, affermando che il software non è sicuro, in quanto potrebbe (notate l'uso del condizionale) contenere bug di sicurezza non corretti. Viene poi aggiunto che il suo sviluppo è cessato a maggio 2014, dopo la fine del supporto di Microsof a Windows XP. Gli utenti vengono quindi invitati ad utilizzare altri tool crittografici per proteggere i propri dati, e tra questi viene indicato Bitlocker, prodotto clesd source di Microsoft, per gli utenti di Windows.
Le stranezze non finiscono qui. L'ultima versione disponibile per il download, la 7.2, è stata firmata con le stesse chiavi utilizzate negli ultimi due anni, e pertanto sembrerebbe autentica.

Il software era stato sottoposto ad una prima fase di auditing nei mesi scorsi, alla caccia di possibili falle di sicurezza, ma non era stato rilevato alcunché di importante. tempo dopo avrebbe dovuto essere avviata una seconda fase il cui scopo era quello di verificare la robustezza degli algoritmi di cifratura utilizzati, i generatori di numeri casuali ed altro.

La situazione ha lasciato gli utenti esterrefatti. Non appena saputa la notizia, social network e siti specializzati si sono lanciati in speculazioni più o meno attendibili. La prima è stata che si trattasse di una bufala, che il sito di Sourceforge fosse stato defacciato e che la pagina con l'avviso di Truecrypt fosse falsa. Tuttavia gli hacker avrebbero dovuto aver accesso anche al sito http://truecrypt.org, perché è da lì che si viene reindirizzati.
Seconda possibilità, è che si tratti di un'improvvisa ritirata degli sviluppatori, in gran parte anonimi, che forse avrebbero subito indebite pressioni allo scopo di includere una backdoor nel proprio software. Potrebbe darsi che siano stati costretti ad includerla nell'ultima versione, ma che furbescamente abbiano avvisato gli utenti mediante l'annuncio sul sito.
Un'altra possibilità è che gli sviluppatori si siano accorti di una backdoor inserita da qualcuno nelle precedenti versioni, oppure semplicemente di una falla non correggibile, ed abbiano quindi deciso di terminare lo sviluppo e la diffusione del programma, che in ogni caso avrebbe a questo punto perso in credibilità.
Al momento in cui scriviamo, nessuno sviluppatore (o presunto tale) di truecrypt si è fatto sentire. Soltanto un tweet di Matthew Green, docente universitario che ha partecipato alla fase di audit, ha ammesso di ritenere che non si tratti di una bufala, ma di non essere ancora riuscito ad avvicinare alcuno dei suoi contatti.

L'opinione che noi personalmente ci siamo fatti è che in qualche modo dietro a tutto ciò vi sia l'NSA, la nota agenzia di ficcanaso americani dediti a rovistare i computer altrui in cerca di pornografia amatoriale con la scusa del terrorismo. Truecrypt infatti era, a detta di molti esperti, il software più affidabile per nascondere dati riservati, inviso alle agenzie federali statunitensi così come a quelle dei governi di mezzo mondo, ma utilizzato da dissidenti ed attivisti di tutto il pianeta per sfuggire con efficacia (almeno sino ad ora) alla censura. Non sarei nemmeno così scettico sul fatto che i Feds siano riusciti ad individuare gli sviluppatori e che stiano tentando di convincerli con la forza a passare dalla loro parte. Certo, sono solo speculazioni, ma tutti ormai sappiamo che razza di gente ci sia nell'NSA e come giochino sporco. Speriamo almeno che siano ancora vivi.