TrueCrypt waarschuwt gebruikers dat software onveilig is
De waarschuwing als een grote verrassing. Onlangs werd er nog een via crowdfunding gefinancierd onderzoek naar TrueCrypt verricht om te kijken of de software geen backdoors bevatte. Hoewel er verschillende beveiligingsproblemen werden vastgesteld troffen de onderzoekers geen backdoors aan.
Opmerkelijk aan de situatie is dat de website TrueCrypt.org naar de SourceForge-pagina van TrueCrypt doorverwijst. SourceForge is een website voor programmeurs en softwareontwikkelaars. Deze pagina biedt een nieuwe versie van TrueCrypt aan, die volgens deze analyse veranderingen bevat waarin wordt gewaarschuwd dat de software onveilig is. Ook laat het programma gebruikers hun data ontsleutelen, maar niet versleutelen. De software is wel met de officiele TrueCrypt-sleutel gesigneerd.
Reactie
De makers van TrueCrypt zelf, waarvan het onbekend is wie het zijn, hebben nog niet gereageerd. Volgens IT-professor Matthew Green, die het crowdfunding-iniatief startte om TrueCrypt te laten onderzoeken, is het onwaarschijnlijk dat aanvallers erin zijn geslaagd om de signeer-sleutel van de TrueCrypt-ontwikkelaars te stelen en de website te hacken. Hij vermoedt dan ook niet dat het om een hoax gaat, maar het valt op dit moment ook niet uit te sluiten.
Ook wordt er met een scenario rekening gehouden waarbij de TrueCrypt-ontwikkelaars op zo'n manier zijn gecompromitteerd dat ze niet in staat zijn om gebruikers te waarschuwen dat het geen officiële waarschuwing betreft. Als de waarschuwing legitiem blijkt te zijn hoopt Green dat anderen het TrueCrypt-project zullen oppakken en een zogeheten 'fork' zullen maken, een afsplitsing van het programma die dezelfde functionaliteit biedt, maar nog wel wordt ondersteund.