Atualização do projeto VeraCrypt

 (sourceforge.net)
2 pontos por GN⁺ 21 일 전 | 1 comentários | Compartilhar no WhatsApp
  • A conta Microsoft usada para assinar drivers do Windows do VeraCrypt foi encerrada sem aviso prévio, deixando o desenvolvedor Mounir Idrassi em uma situação em que não consegue distribuir atualizações da versão para Windows
  • Do lado da Microsoft, ficou apenas uma mensagem indicando que não é possível recorrer, e mesmo após várias tentativas de contato não houve resposta além de mensagens automáticas
  • A comunidade passou a apoiar com várias sugestões de solução, como procedimentos de recuperação de conta, divulgação em redes sociais e métodos alternativos de assinatura
  • Alguns usuários compartilharam um caso semelhante no projeto Rufus e levantaram a possibilidade de problemas administrativos, como erro na validação de domínio
  • Vários desenvolvedores e usuários estão tentando obter ajuda por contatos internos na Microsoft e por apoio público, demonstrando disposição para colaborar com a manutenção contínua e a segurança do VeraCrypt

Atualização do projeto VeraCrypt

  • Interrupção do desenvolvimento causada pelo encerramento da conta Microsoft

    • O desenvolvedor do VeraCrypt, Mounir Idrassi, informou, após vários meses de ausência, que a conta Microsoft usada para assinar os drivers e o bootloader do Windows foi encerrada
    • A Microsoft encerrou a conta sem aviso prévio nem notificação por e-mail, e a mensagem exibida indica que não é possível recorrer
    • Foram feitas tentativas de contato com a Microsoft por vários canais, mas apenas respostas automáticas foram recebidas, sem qualquer contato com um responsável real
    • Com isso, tornou-se impossível distribuir atualizações da versão para Windows do VeraCrypt, causando grande impacto na operação do projeto
    • As versões para Linux e macOS ainda podem ser atualizadas, mas como a maioria dos usuários utiliza Windows, o impacto é grande

  • Resposta e propostas da comunidade

    • O usuário Marty afirmou que a versão atual para Windows (1.26.24) está assinada com um certificado de 2011 e deve expirar em breve, expressando preocupação com problemas no uso de versões não assinadas em ambientes com Secure Boot
    • AJ B recomendou usar o formulário de recuperação de conta e os links de suporte ao cliente da página de suporte da Microsoft, além de fazer divulgação pública via Reddit e X (antigo Twitter)
    • Alex R propôs compartilhar o caso em canais sociais relacionados à Microsoft para aumentar a visibilidade, e Idrassi aceitou positivamente a ideia
    • 风之暇想 sugeriu adicionar um programa de criptografia em formato de arquivo que não dependa de assinatura, apresentando uma alternativa para lidar com o problema de assinatura

  • Conselhos adicionais e tentativas de apoio

    • Phoenix mencionou a possibilidade de a conta ter sido removida por denúncias de que o software poderia ser usado em atividades ilegais, e sugeriu uma versão temporária limitada que suporte apenas partições que não sejam do sistema
    • Enigma2Illusion apresentou de forma detalhada um método para enviar e-mail diretamente ao CEO da Microsoft, Satya Nadella
      • Foi fornecido um modelo de carta de exemplo incluindo assunto do e-mail, corpo da mensagem, capturas de tela anexadas e informações de contato
    • Preguntar Jeeves observou que a conta talvez não tenha sido completamente excluída, mas apenas desativada, e aconselhou entrar em contato com figuras da comunidade de criptografia, imprensa e políticos
      • Entre os nomes citados estão Bruce Schneier, Chris Titus, Niels Ferguson, Rand Paul e Ron Wyden

  • Casos semelhantes e possibilidade de solução

    • Pete Batard afirmou ter passado pelo mesmo erro no Microsoft Partner Center no projeto Rufus
      • No caso dele, a falha na verificação WHOIS do registrador de domínio interrompeu a validação automática, e o problema foi resolvido após contato direto com a equipe de suporte da Microsoft
      • Ele explicou que a frase “não é possível recorrer” na mensagem de erro provavelmente é um texto automático separado do processo real de validação comercial
      • O problema foi resolvido após o envio de documentos comprovando o registro do domínio, e ele mencionou que a situação de Idrassi pode ter uma causa semelhante

  • Tentativas de contato interno na Microsoft

    • Rafael Rivera disse que pode encaminhar o problema por meio de contatos internos na Microsoft e pediu o compartilhamento de um e-mail
    • Vários usuários da comunidade demonstraram empatia e apoio à situação de Idrassi e sugeriram diversas formas de apoio técnico e social para ajudar a continuidade do projeto

Leituras relacionadas

1 comentários

 
GN⁺ 21 일 전
Comentários do Hacker News

  • No momento eu também estou passando pelo mesmo problema relacionado ao WireGuard
    Minha conta foi suspensa sem qualquer aviso ou notificação, e agora estou no meio de um processo de recurso de 60 dias
    Se tivesse realmente surgido uma vulnerabilidade de RCE e fosse necessário distribuir um patch imediatamente, a Microsoft teria me deixado completamente de mãos atadas
    Se alguém dentro da Microsoft puder ajudar, por favor entre em contato (jason at zx2c4 dot com)

    • Situações assim me fazem pensar que empresas como Microsoft, Google, Apple, Visa, Mastercard e, em breve, OpenAI e Anthropic deveriam ser reguladas como utilidades públicas
      Deveria ser ilegal essas empresas recusarem serviço a usuários legítimos
      Nos EUA isso seria difícil por motivos políticos, mas na UE há possibilidade
      Pessoas fora da UE talvez também possam receber a proteção regulatória europeia por meio da e-Residency da Estônia
    • É realmente chocante que a conta Microsoft do criador do WireGuard tenha sido suspensa
      Parece que a Microsoft está tentando impedir a criptografia de rede ou a criptografia de disco dos usuários
    • É difícil acreditar que o desenvolvedor do WireGuard tenha acabado nessa situação
      Ainda mais considerando que a Microsoft dá suporte ao WireGuard no Azure Kubernetes Service
    • /tinfoil time
      Esses 60 dias são estranhamente longos e curtos ao mesmo tempo
      É tempo suficiente para o governo dos EUA explorar uma falha de segurança, e depois a Microsoft ainda poderia restaurar tudo dizendo que “foi um erro”
      No fim, isso parece uma estratégia para imobilizar temporariamente software de segurança
    • Graças a esta thread, eu também compartilhei o assunto em um tweet

  • Vale a pena ver o tweet de atualização publicado por um vice-presidente da Microsoft

  • No começo eu fiquei surpreso que os desenvolvedores do Veracrypt estivessem passando por isso, e agora também os do WireGuard
    Será que a Microsoft está implementando uma nova política para conter projetos open source e empurrar suas próprias soluções?

    • Provavelmente é mais um caso do sistema automático de bloqueio reagindo a um aumento repentino de downloads
      Hoje em dia as empresas estão reforçando esse tipo de medida para impedir a distribuição de apps fraudulentos voltados a usuários não técnicos
      É uma lógica parecida com a razão pela qual o Google bloqueia o sideloading
    • Sim

  • Esse tipo de problema só parece ser resolvido quando há cobertura da imprensa
    Como aconteceu antes quando o neocities não conseguia contato com o Bing, algum veículo como o Ars Technica precisa cobrir isso

    • Parece um abuso da posição quase monopolista da Microsoft no mercado de sistemas operacionais para consumidores
      Já passou da hora de uma ação regulatória
    • Resolver isso via cobertura da imprensa é apenas uma solução improvisada temporária
      A estrutura atual de distribuição de apps já deixou de ser um modelo de “escolha do usuário” e virou um sistema de whitelist controlado por empresas
      Desenvolvedores independentes e de open source sofrem nesse processo com procedimentos kafkianos, custos irracionais e critérios opacos
      Eu mesmo estou há 6 meses impedido de renovar a assinatura de código da Digicert do meu app Payload
      Isso não é um simples problema técnico, e sim um problema de um sistema de validação monopolista
      Ficou mais caro, mais difícil e mais nebuloso do que na era pré-Let’s Encrypt dos certificados SSL
    • Hoje eu também tornei isso público no X

  • Isso parece uma repetição do caso do LibreOffice
    Este artigo relacionado mostra que a Microsoft já tinha bloqueado a versão de desenvolvimento do LibreOffice

    • Se obrigam você a criar uma conta Microsoft e depois bloqueiam essa conta, o usuário perde até mesmo o direito de acessar os próprios dados
      Essa estrutura é perigosa e é mais um motivo para abandonar o Windows
    • Talvez isso não tenha relação direta com o caso do LibreOffice
      O sistema automático de detecção de abuso da Microsoft é tão ruim que muitas contas acabam sendo bloqueadas sem motivo
      Se possível, é melhor não usar conta da MS para nada importante e usar assinatura com uma CA terceirizada

  • Ainda é um mistério por que o desenvolvedor do TrueCrypt encerrou o projeto de repente e recomendou o BitLocker como substituto

    • O que normalmente se diz é que o desenvolvedor foi preso por tráfico de armas
      Veja o artigo da Wikipédia sobre Paul Le Roux
    • Também me pergunto por que o TrueCrypt foi excluído do Archive.org
      Link do arquivo
    • Provavelmente foi um caso de encerramento voluntário para não ceder a exigências do governo, como aconteceu com o Lavabit
    • Como eu também achei aquele caso suspeito, ainda uso o TrueCrypt

  • Diante da situação atual, parece que só o Linux é a esperança
    Windows e macOS são arriscados e ineficientes demais para uso profissional

    • Em alguns estados dos EUA há movimentos para dificultar o uso de Linux ao impor exigências de verificação de idade no nível do sistema operacional
    • Tenho esperança de que a Valve, indo além dos games, possa ajudar a expandir o ecossistema Linux
    • Mas ainda assim, para a grande maioria dos usuários comuns, a usabilidade continua baixa

  • Minha previsão é que a Microsoft esteja testando a reação do público
    Se houver grande rejeição, ela restaurará a conta dizendo que “foi um erro”; se a reação for fraca, começará a bloquear cada vez mais as chaves de assinatura de softwares como VPNs, torrents e bloqueadores de anúncios

    • No fim, isso é a estratégia de enshittification da Microsoft entrando de vez em ação
      A participação dela em open source nunca teve uma motivação pura, e sim cálculo comercial
      Agora ela quer fechar completamente o Windows, e GitHub e VSCode podem seguir o mesmo caminho

  • Alguns recursos do Veracrypt só são possíveis no Windows
    Por exemplo, criptografia da partição completa do sistema e instalação de Hidden OS funcionam apenas em Windows baseado em MBR
    Eu esperava que esse tipo de tecnologia de negação plausível evoluísse mais no nível do sistema operacional, mas agora praticamente desapareceu
    Havia uma tentativa parecida até nos materiais de apresentação da BlackHat

    • Mas se você abandonar o Windows, no fim nem precisa mais do Veracrypt

  • A Microsoft desativou o certificado de assinatura do desenvolvedor, impedindo a distribuição de releases para Windows

    • Ainda assim dá para instalar, só que com uma mensagem de aviso
    • Como alguém que está preparando software de assinatura para Windows, esse tipo de caso é muito preocupante
      Qual seria o motivo para revogar o certificado de um desenvolvedor cuja identidade já foi verificada?
      Também fico curioso se existe alguma forma de reagir judicialmente a esse tipo de decisão