TrueCrypt aparentemente morreu e de maneira bastante misteriosa
Todo software é sujeito a falhas, mas com as denúncias de espionagem da NSA e o gravíssimo problema do Heartbleed, parece que estamos enfrentando uma crise de segurança digital. O clássico programa de criptografia TrueCrypt acaba de contribuir para esta sensação: seu site oficial exibe um estranho aviso de que o software não é seguro e o projeto, aparentemente, foi descontinuado.
Com versões para Windows, OS X e Linux, o TrueCrypt é um software de código-fonte aberto que permite a criação de volumes criptografados que podem ser montados como unidades virtuais. Dá para proteger uma partição no HD ou um pendrive inteiro, por exemplo.
Por ser gratuito, eficiente (pelo menos na aparência), multiplataforma e relativamente fácil de usar, o TrueCrypt é bastante popular. Não é à toa que o aviso publicado nas últimas horas no site oficial do projeto – que, na verdade, direciona para a sua página no SourceForge – causou grande preocupação: a mensagem diz que o TrueCrypt não é seguro por conter vulnerabilidades não corrigidas.
O alerta diz ainda que o desenvolvimento do TrueCrypt foi encerrado neste mês por conta do fim do suporte ao Windows XP pela Microsoft. As versões atuais do sistema já contam com ferramentas para criptografia e criação de volumes virtuais, não havendo, portanto, motivo para continuar o projeto.
O mesmo vale para outras plataformas, razão pela qual o aviso recomenda a migração dos dados criptografados via TrueCrypt para as opções disponíveis para cada sistema operacional.
Fora isso, não há nenhuma outra explicação. Até o momento, o que aconteceu nos bastidores do projeto é um mistério! Há quem especule que os avisos são fruto de uma invasão ou que o certificado do TrueCrypt tenha sido “quebrado”, por exemplo.
Ainda que colocado de maneira bizarra, há indícios de que o aviso seja mesmo legítimo. Desenvolvedores analisaram a última versão do programa (7.2) – disponibilizada apenas para auxiliar na migração para outro sistema de criptografia, segundo o alerta – e encontraram alguns problemas, como funções removidas e várias referências “INSECURE_APP” no código-fonte.
Diante de tanta incerteza, não resta dúvida: é recomendável aos usuários do TrueCrypt procurarem uma alternativa o quanto antes. É a velha máxima de que prevenir é melhor do que remediar.
O fato é que o universo do TrueCrypt sempre foi uma incógnita. Mesmo tendo mais de 10 anos de existência, até hoje não se sabe ao certo quem são seus desenvolvedores, por exemplo. Além disso, mais de uma vez houve divergências quanto às suas licenças. Levando estes aspectos em conta, parece mesmo ser hora de abandonar o barco.
Com informações: Ars Technica
