Por Lucas Teixeira

Na última quarta-feira, dia 28, a comunidade de segurança recebeu, estupefata, a notícia: “usar o TrueCrypt não é seguro já que ele pode conter falhas de segurança que não foram consertadas”.

Esse aviso, junto com uma explicação mais longa no site oficial do projeto, é pra muitos só mais um capítulo do conto de mistério que é o desenvolvimento do TrueCrypt.

História
A ferramenta, criada em 2004, permite criar um “disco virtual encriptado” dentro de um arquivo ou então encriptar partições ou HD’s inteiros.

O fato de ser multiplataforma – funciona em Windows, GNU/Linux e MacOS X – e ter uma interface fácil de usar fizeram do TrueCrypt o software preferido de muitas pessoas.

Ainda assim, o TrueCrypt sempre teve suas contradições. Apesar de ter seu código-fonte publicado, os termos legais de sua licença não o fazem ser considerado software livre. Seus desenvolvedores são desconhecidos, e trabalham por trás do nome “TrueCrypt Foundation”.

Além disso, o software nunca foi auditado por uma equipe competente de experts de segurança.

Ainda assim, o TrueCrypt sempre tem um bom histórico a seu favor: um disco do banqueiro Daniel Dantas resistiu(EN) às investidas do FBI, e os pendrives que David Miranda, parceiro de Glenn Greenwald, carregava de Berlim pro Rio de Janeiro e foram apreendidos em Londres, supostamente contendo parte dos documentos vazados por Snowden, também não foram quebrados (EN).

Edward Snowden, durante a cryptoparty que deu no Havaí um ano antes de ganhar fama mundial por seu vazamento, ensinou o TrueCrypt pros interessados em proteger seus arquivos privados.

O Tails, o “sistema amnésico incognito” que pode ser carregado em um pendrive pra garantir anonimato e segurança, vinha com o TrueCrypt instalado (como reação à essa notícia, os desenvolvedores planejam (EN) remover o Tails, e estudam alternativas).

Até agora, nenhuma das revelações de espionagem baseadas nos documentos Snowden mostrou que a NSA ou outra agências de inteligência explore alguma vulnerabilidade do TrueCrypt.

As dúvidas à respeito da integridade do software levaram Matthew Green a conduzir uma auditoria pública de seu código-fonte. Green, que é professor de ciência da computação da Universidade John Hopkins (Maryland, EUA) e respeitado no meio acadêmico da segurança, se uniu a outros profissionais da área e, através de financiamento colaborativo, conseguiu recursos pra revisar os aspectos legais da licença do software, procurar bugs de segurança e analisar a parte puramente matemática da criptografia usada pra encriptar os dados.

A primeira fase da auditoria foi concluída recentemente, sem encontrar nenhuma falha grave de segurança

Confusão
Ninguém parece ter certeza do que aconteceu.

O Wikileaks declarou no Twitter: “acreditamos que houve um conflito de poder no time de desenvolvimento, problemas psicológicos, coerção de alguma forma, ou um hacker com acesso ao site e às chaves”.

A mensagem presente no site do TrueCrypt diz que “seu desenvolvimento parou em maio de 2014 depois que a Microsoft encerrou o suporte ao Windows XP”. As versões posteriores do Windows oferecem suporte integrado pra discos encriptados, então o desenvolvimento do TrueCrypt não é mais necessário.

A curta explicação do que aconteceu dá a entender que o TrueCrypt foi feito com o Windows XP em mente:

O desenvolvimetno do TrueCrypt terminou em 5/2014 após a Microsoft suspender o suporte ao Windows XP. Windows 8/7/Vista e posteriores oferecem suporte integrado pra discos encriptados e imagem virtuais de disco. Esse suporte integrado também está disponível em outras plataformas. Você deve migrar quaisquer dados encriptados por TrueCrypt pra discos encriptados ou imagens virtuais de disco que sua plataforma suporta. (tradução nossa)

Essa narrativa está sendo apoiada pela Global Research Corporation, uma empresa que trabalha com recuperação de dados em disco. Em uma página de seu site, é sugerido que “os desenvolvedores do TrueCrypt escolheram não ceder sua criação para a comunidade mais ampla de desenvolvimento da Internet”. O artigo lembra que a auditoria do TrueCrypt vai prosseguir, diz que o desenvolvimento vai continuar em outras mãos, e afirma: “Aqueles que acreditam que há algo subitamente ‘errado’ com o TrueCrypt porque seus criadores decidiram que ele não tem muito mais pra contribuir estão enganados”,

O desenvolvedor Steven Barnhart reportou no Twitter que recebeu e-mails de um e-mail já usado antes por “David”, com supostos esclarecimentos internos do time de desenvolvimento.

Em uma conversa com Matthew Green, Barnhart colou alguns trechos – um dos tweets foi removido por receio de expôr a identidade de David.

David diz que “está feliz com a auditoria”, e que “não há mais interesse [em continuar o desenvolvimento]”. Sobre a recomendação do Bitlocker, solução da Microsoft, diz que o software “é ‘bom o suficiente’, e o Windows era a plataforma-alvo inicial do projeto”.

Futuro do TrueCrypt e alternativas

A comunidade do Tails, ao decidir tirar o TrueCrypt do sistema, contempla alternativas disponíveis nos sistemas GNU/Linux: o tc-play, o Cryptsetup são softwares que conseguem criar/ver volumes TrueCrypt, mantidos por outras equipes, e o zuluCrypt fornece uma interface gráfica (janelas e botões) pra ambos os projetos.

As ferramentas integradas aos sistemas operacionais atuais – LUKS nos sistemas GNU/Linux, Bitlocker no Windows, FileVault no Mac OS X – são realmente simples de usar.

As ferramentas da Microsoft e da Apple, no entanto, despertam desconfiança quanto à real segurança que oferecem: além de não terem o código-fonte publicado, um requisito fundamental pra confiabilidade de um software de segurança, ambas as empresas têm conhecidos laços com a NSA, como o PRISM A Microsoft, em particular,forneceu (EN) à agência mensagens supostamente encriptadas. A agência de inteligência passou a conseguir interceptar vídeos do Skype nove meses após ele ser vendido pra Microsoft.

A criptografia OpenPGP também pode ser usada, em todas as plataformas, pra proteger O GnuPG, ou GPG, é um software livre que faz esse tipo de criptografia. Ele possui versões pra Windows e Mac OS X – e pra quem sua GNU/Linux, certamente está presente no repositório de software da sua distribuição.

Já há pelo menos uma tentativa de reviver o TrueCrypt: Thomas Bruderer e Joseph Doekbrijder publicaram um site,TrueCrypt.ch, com o objetivo de “reunir todas as informações atualizadas”. A dupla disponibilizou pra download a versão anterior, 7.1a, está documentando o desenrolar dos acontecimentos e tentando construir uma comunidade pra continuar o desenvolvimento da ferramenta.

Acesse outros conteúdos publicados no “Edição9 do boletim Antivigilância” acessando a tag “boletim9” abaixo.