Tra gli avvisi di Google Alert che ricevo settimanalmente ce n’è uno dedicato a TrueCrypt. Nell’email di oggi c’era un titolo davvero interessante: “Disco Cifrato? Recupero password garantito”. TrueCrypt, che appunto serve a cifrare interi dispositivi o a creare porzioni di disco cifrate, sembrerebbe essere arrivato al suo capolinea. L’articolo di Punto informatico mi ha dato a questa impressione: leggendolo sembra che non ci sia niente da fare e ottenere la passphrase di un disco cifrato con un programma di casa Passware parrebbe un gioco da ragazzi.
Se però si dà una lettura alla pagina dedicata a TrueCrypt di Passware Kit Forensic (il “super programma” che «decrypts TrueCrypt and FileVault volumes in minutes», sic!), ci si accorge dove sta la sua forza: o nell’impreparazione di chi usa TrueCrypt (e qui si può intervenire solo chiedendo/obbligando gli utenti a leggere i manuali) o in fattori esterni a TrueCrypt (crash del sistema operativo, riavvio forzato, spegnimento non corretto del PC). Infatti la pagina di Passware Kit Forensic dice esattamente:
NOTE: If the target computer is turned off and the TrueCrypt/BitLocker volume was dismounted during the last hibernation, neither the memory image nor the hiberfil.sys file will contain the encryption keys. Therefore, instant decryption of the volume is impossible. In this case, Passware Kit assigns Brute-force attacks to recover the original password for the volume.
Smontare, quindi, correttamente un disco cifrato porta l’utilità di quel software prossima allo zero. È necessario quindi smontare sempre il disco cifrato quando non lo si usa. E in ogni caso, vanno sempre lette e comprese le istruzioni all’uso, nella consapevolezza che anche un buon software come TrueCrypt ha i suoi limiti.
