compilar e instalar zuluCrypt en ARCH, UBUNTU, DEBIAN y OpenSuse (y en Linux Mint, Elemetary, etc)

zulucrypt2

(este artículo ha sido actualizado en abril de 2015 a Zulucrypt 4.7.5 y compilado e instalado en Debian 8)

zuluCrypt es, simplemente, la mejor alternativa a Truecrypt para GNU/Linux. Se puede usar en consola/terminal, pero también mediante una interfaz gráfica muy fácil de usar. Los usuarios de ARCH e hijas (Manjaro, Antergos, etc) lo tienen muy fácil, pues está en AUR.

yaourt zulucrypt

y solucionado.

En Debian, hay algún paquete en el repositorio Siduction Experimental/Unstable pero no está actualizado a la última versión, por lo tanto es mejor bajarla desde la web oficial y compilarla e instalarla.

Yo he compilado e instalado con éxito zuluCrypt en UBUNTU 14.04 y Debian 8.

Bajamos el paquete comprimido desde aquí: http://mhogomchungu.github.io/zuluCrypt/

en mi caso he descargado la última versión que había: zuluCrypt-4.7.5.tar.bz2

Descomprimimos en un directorio.

Entramos en el directorio en el que hemos descomprimido y abrimos dentro una terminal.

Hay que instalar primero las dependencias que se necesitan.

En el documento del paquete comprimido BUILD_INSTRUCTIONS se citan los paquetes de dependencias generales. Como los nombres de paquetes cambian entre distros, yo me he encargado de buscar los nombres concretos de esos paquetes en Debian, de manera que un apt install los instalará todos con sus correspondientes dependencias:

sudo apt install libpwquality-dev libblkid-dev libqt4-dev gcc g++ libcryptsetup-dev cmake libtcplay-dev libgcrypt11-dev libsecret-1-dev pkg-config libdevmapper-dev uuid-dev libudev-dev chrpath bzip2 debhelper

creamos un directorio “buils” y entramos en él:

mkdir build

cd build

compilamos:

cmake -DCMAKE_INSTALL_PREFIX=/usr/ -DCMAKE_BUILD_TYPE=RELEASE . ..

make

e instalamos:

sudo make install

Y ya está, si todo ha ido bien (como en mi caso) y no hemos tenido errores de compilación, ya tenemos instalado zuluCrypt (y zuluMount).

Este mismo procedimiento, adaptando los nombres de los paquetes, debe de funcionar en otras distros. Especialmente similar será en la distros hijas de Ubuntu, como Linux Mint o Elemetary. Si lo intentas en otras distros (Mageia, Fedora, CentOS, etc) agradecería mucho que lo compartieses en los comentarios.

En OpenSuse es muy fácil pues hay paquetes de instalación automática en un clic aquí:

http://software.opensuse.org/package/zuluCrypt

Anuncios

zuluCrypt, la alternativa a Truecrypt

zuluDiez días después de que estallara el asunto Truecrypt seguimos sin saber nada seguro. Todo son rumores e hipótesis:
¿Se ha constatado la no fiabilidad del proyecto y por eso se abandona?
¿Es un asunto del tipo Lavabit y la NSA obliga a abandonarlo con amenazas y chantaje?. Lo que supondría que no lo controlaba.
¿Se descubrió que contenía puertas traseras y por eso se abandona?. Lo que supondría que lo controlaban.
¿Todo es un operación de las agencias de seguridad gubernamentales para desprestigiar y hundir un proyecto que no podían controlar?

Nadie sabe nada. Lo que es seguro es que la confianza en el proyecto se ha dinamitado y, hasta que no se audite competamente el código y se continúe mediante un fork transparente controlado por la comunidad, no podemos confiar en la seguridad de los datos en Truecrypt.

Pase lo que pase finalmente, zuluCrypt es una excelente opción para los usuarios de GNU/Linux. Porque permite abrir contenedores o dispositivos que fueron creados con Truecrypt, y además permite crear nuevos contenedores cifrados LUKS, si queremos volcar los datos de los “presuntamente inseguros” contenedores Truecrypt.

Podemos descargar zuluCrypt aquí: https://code.google.com/p/zulucrypt/ (instalador para DEBIAN, UBUNTU y otras distros)
En ARCH (Manjaro, Antergos) es mucho más fácil, está en AUR: https://aur.archlinux.org/packages/zulucrypt/
Supongo que habrá por ahí paquetes deb. y rpm. para Debian, Ubuntu, LinuxMint, OpenSuse, Fedora, etc.

zuluCrypt es un “front end” para cyptsetup y tcplay y permite crear, abrir y montar volúmenes LUKS, loop-AES, Plain y Truecrypt. Tanto en forma de archivos-contenedores encriptados como dispositivos completos (un disco duro, una partición, una llave USB, etc).

cryptsetup, el programa que funciona “por debajo” de zuluCrypt, utiliza las capacidades del módulo del kernel Linux dm-crypt para manejar volúmenes encriptados.

tcplay, permite por su parte manejar volúmenes Truecrypt. Si lo instalamos podremos manejar volúmenes truecrypt, si no, no.

LUKS (Linux Unified Key Setup) es el estándar de cifrado de datos en disco para Linux, lo que garantiza la compatibilidad entre distibuciones. Permite la creación y gestión de contraseñas múltiples para múltiples usuarios.

zuluCrypt puede ser manejado de dos formas, en consola/terminal zuluCrypt-cli y en modo gráfico zuluCrypt-gui (una interfaz gráfica muy parecida a la de Truecrypt y muy fácil de usar).

Además, zuluCrypt incorpora zuluMount, una herramienta que permite fácilmente el montado y desmontado de volúmenes (tanto cifrados como no), para no depender del gestor de archivos si así lo deseamos.

Resumiendo; zuluCrypt es la solución natural, fácil y perfecta para la gente linuxera que quiera darle puerta a Truecryt. Te permitirá hacer todo lo que hacías con Truecrypt, leer los viejos volúmenes hasta que te deshagas de ellos, crear nuevos contenedores encriptados que ya no dependan de Truecrypt, permite cifrar particiones enteras, incluso incluirlas en el fstab y que sean montadas (previa petición de contraseña) en el arranque.

Truecrypt ha muerto, viva ZuluCrypt !!!

posdata.- los usuarios de Windows y Apple (pobres infelices) que se conformen con usar‬ BitLocker y la herramienta de encriptación de Mac OS X. ¿Si su sistema operativo es EN SÍ una puerta trasera a la NSA, ¿para qué coño quieren encriptar datos?  😉

 

zuluCrypt

hackear un pc con Linux

hackearUso la palabra “hackear” de manera jocosa. Tan sólo pretendo hacer una pequeña reflexión sobre la importancia de la seguridad física de una máquina.

Quiero entrar en un ordenador con linux que tengo delante de mí, pero no tengo usurario, ni contraseña, y mucho menos conozco la contraseña de root.

No problemo (Terminator T-800 dixit):

Supongamos que el equipo está apagado (si no es así, apretar el botón de on/off durante 5 segundos solucionará el problema).

1. Arrancamos y esperamos que aparezca el menú de GRUB (ahora ya casi siempre será GRUB2).

2. En la entrada que queramos arrancar, normalmente será la entrada marcada por defecto, pulsamos la tecla “e”, de esa manera entramos en el modo de edición de GRUB.

3. buscamos la línea de arranque del kernel. Suele ser la penúltima y comienza por “linux /boot/…”

4. en esa línea hay que hacer dos cosas, la primera ver si arranca el kernel en modo “rw” (lectura/escritura), si está así no hay problema. Si vemos que está en modo “ro”, sólo lectura (o no aparece nada) lo cambiamos a “rw”.

5. y lo segundo y más importante, al final de esa línea añadimos “init=/bin/sh” (sin las comilla, claro). Hay que tener en cuenta, que el teclado por defecto es el qwerty americano, por lo que por ejemplo en mi caso, que tengo de qwerty de España (es_ES), el signo “=” está en mi tecla “¡” (arriba a la derecha) y el signo “/” sale pulsando mi tecla “-” (guión), abajo a la derecha. Agregando este parámetro init, lo que hago es decirle al kernel que no arranque la imagen por defecto, sino un shell (que normalmente será bash, por lo que /bin/sh será un enlace simbólico a /bin/bash).

6. ahora tan sólo tenemos que presionar Control+X o F10 para arrancar con nuestros cambios.
y… eureka !!! ya estamos en una shell como ROOT y somos los putos amos 😉

Lo más lógico es que la partición /home no esté montada, por lo que en principio no vemos los archivos de usuarios, no problemo:

mount /dev/sda2 /home (suponiendo que sda2 sea la partición de la “home”) y ya tenemos acceso a todos lo archivos de todos los usuarios.

Puedo comenzar por cambiar la contraseña de root, así:

passwd

te pide dos veces la nueva contraseña y ya tienes la contraseña de root.

Lógicamente puedes crear cuentas, asignar contraseña, etc, etc, etc, todo lo que puede hacer root (o sea TODO).

Para salir de este shell escribe “exit”. Si la máquina no se apaga físicamente, pulsa 5 segundos el botón de apagado. Ahora ya puedes arrancar normalmente, y ya podrás entrar como root, o como un usuario de los que has creado, y con el famoso “su” podrás hacerte root, pues tú mismo cambiaste su contraseña que ahora es tuya 🙂

Esto nos debe hacer reflexionar sobre la seguridad “física” de una máquina. Un sistema linux bien actualizado y configurado, y con una buena contraseña de root, no es fácilmente hackeable. Pero si tenemos acceso físico a la máquina, ya se ve lo fácil que es invadirla y controlarla. Se puede poner una contraseña para impedir la edición del GRUB, pero siempre se podrá hacer lo mismo arrancando desde una unidad externa (por ejemplo un USB con una ISO booteable). Se puede poner una contraseña en la BIOS, pero también es relativamente fácil resetear la BIOS abriendo el ordenador y accediendo a la placa. Por eso, los servidores, no deben tener teclado ni monitor, y es mejor controlarlos en remoto por accesos SSH, y siempre deben estar físicamente protegidos.

Conclusión, si te roban el ordenador y quieren acceder a tus datos, lo tendrán muy fácil, por lo que toda información crítica debe estar encriptada (por ejemplo en contenedores Truecrypt), pues como ves, ni la mejor contraseña de root defenderá tu acceso en una máquina que caiga en malas manos.