BR-Linux.org

O Truecrypt é um popular utilitário gratuito de criptografia de disco multiplataforma e com código-fonte disponível, mas a confiança (ao menos de parte dos usuários bem informados) nele vem sofrendo alguns abalos recentemente, como vimos em “Truecrypt: muita gente usa, ninguém sabe quem criou, e o código-fonte disponível não basta para garantir contra a NSA”.

A afirmação mais recente (mas ainda não auditada por fonte independente) é que o pesquisador Michael Ligh expôs duas ferramentas que aplicam à busca na memória os mesmos métodos que o TrueCrypt usa para localizar as suas chaves, e assim conseguem identificar a chave completa de qualquer volume montado com o TrueCrypt, além de identificar qual o arquivo que corresponde à imagem de disco criptografada, quando estiver em uso o recurso de ofuscação do TrueCrypt.

Nos casos em que o TrueCrypt estiver sendo usado em computadores com Windows, o documento publicado por Michael expõe ainda um método que permite obter o conteúdo decodificado dos componentes de sistema do TrueCrypt e de arquivos criptografados que tenham sido abertos, por meio de uma busca no cache do próprio Windows: segundo ele, como a criptografia do TrueCrypt é transparente para o sistema operacional, seu conteúdo pode ser colocado no cache como qualquer outro arquivo.

A possibilidade desse tipo de ataque às chaves na RAM não é novidade: consta na documentação oficial e até já existiam ferramentas capazes de encontrar alguns dos tipos de chave suportados.

Mas dispor de uma ferramenta em Python que faz a busca completa e mostra todos os dados que permitem o acesso ao conteúdo criptografado é uma razão forte para ter bem mais atenção à segurança do acesso ao sistema que estiver rodando o TrueCrypt. E o autor diz que ela será disponibilizada ao público em geral em breve. (via volatility-labs.blogspot.com.br - “Volatility Labs: TrueCrypt Master Key Extraction And Volume Identification”)

O trecho que eu mais gostei: "Ele complementa dizendo que espera que os usuários aprendam que podem confiar novamente em sua tecnologia. “Seguimos a filosofia Open Source e somos usuários construindo coisas para os usuários. É fácil ver o que estamos fazendo. Atualmente ninguém tem nenhuma idéia do que está acontecendo por trás dos panos em seus aparelhos. Ter a capacidade de manter o controle sobre seus dados é algo libertador”."

O longo artigo na PC World começa assim:

Via pcworld.uol.com.br:

Quando a Cyanogen, desenvolvedora de versões customizadas do Android, anunciou seus planos para se tornar uma empresa, o anúncio foi uma grande notícia para os fãs de seu sistema operacional Open Source, o CyanogenMod. O unido grupo de 10 desenvolvedores que trabalhou arduamente na criação de sua própria versão de um “Android melhor” finalmente teria a chance de cumprir sua promessa em grande escala. 

A princípio a história da Cyanogen parece uma típica fábula do vale do silício: uma pequena equipe de hackers e programadores trabalhando apaixonadamente por dias e noites em sua popular variante do Android, quando de repente alguns gentis investidores aparecem do nada e colocam US$ 7 milhões sobre a mesa.

Mas mesmo com o dinheiro, a Cyanogen tem um longo caminho a percorrer antes que possa ser considerada como uma das grandes plataformas móveis. Por enquanto a empresa está focando seus esforços em pontos chave, como colocar um smartphone com seu software pré-instalado nas mãos dos consumidores, mas espera que seu objetivo de tornar o Android mais adaptável e útil desperte o interesse dos usuários.