Microsoft encerra conta do VeraCrypt e interrompe atualizações do Windows

 (404media.co)
2 pontos por GN⁺ 21 일 전 | 5 comentários | Compartilhar no WhatsApp
  • As atualizações do Windows do software de criptografia open source VeraCrypt foram totalmente bloqueadas após o encerramento repentino de sua conta pela Microsoft, em um caso que expõe a fragilidade da cadeia de suprimentos de software open source que depende de grandes empresas de tecnologia
  • O desenvolvedor do VeraCrypt, Mounir Idrassi, descobriu em meados de janeiro que sua conta de assinatura de drivers e bootloader do Windows havia sido encerrada sem aviso prévio; depois disso, tentou contato, mas recebeu apenas respostas automáticas que pareciam ter sido geradas por IA
  • A única mensagem oficial enviada pela Microsoft informava “não atendimento aos requisitos”, mas a conta foi encerrada sem motivo específico nem processo de contestação, e não houve qualquer explicação sobre qual requisito teria deixado de ser cumprido de repente
  • O desenvolvedor do WireGuard, Jason Donenfeld, também afirmou ter enfrentado o mesmo problema, mostrando que o caso não se limita ao VeraCrypt
  • As atualizações para Linux e macOS ainda podem continuar, mas como a maioria dos usuários está na plataforma Windows, a impossibilidade de distribuição no Windows representa um golpe crítico para todo o projeto

O que é o VeraCrypt

  • Ferramenta open source para proteger arquivos por meio da criação de partições criptografadas em unidades ou em volumes criptografados individuais
  • Foi criada com base no TrueCrypt, seu antecessor, e também oferece o recurso de volume duplo (volume oculto) para situações em que o usuário seja forçado a entregar credenciais

Como o caso aconteceu

  • Idrassi explicou pessoalmente em um fórum do SourceForge por que havia ficado inativo por alguns meses
  • Em meados de janeiro, descobriu que a conta de assinatura de drivers e bootloader do Windows que usava havia anos de repente se tornara inutilizável
  • Não houve nenhum e-mail prévio nem aviso, e a única mensagem recebida da Microsoft dizia apenas que ele “não atende atualmente aos requisitos”
  • A mensagem incluía apenas a informação de que não era possível recorrer e que a solicitação havia sido encerrada
  • Não houve qualquer explicação sobre qual requisito a empresa de Idrassi, a IDRIX, teria deixado de cumprir de repente

Reação e preocupações do desenvolvedor

  • Ele entrou em contato com o suporte da Microsoft, mas recebeu apenas respostas automáticas que pareciam geradas por IA
  • Criticou duramente a falta de comunicação da Microsoft, dizendo que “eles ao menos deveriam ter explicado qual era o problema”
  • Também apontou que “quando não há comunicação ao tomar esse tipo de decisão, a incerteza sobre o futuro aumenta, e respostas automatizadas por IA tornam esse processo desumano”

O WireGuard também enfrenta a mesma situação

  • Jason Donenfeld, desenvolvedor do popular cliente VPN WireGuard, também publicou no Hacker News sobre o mesmo problema
  • Ele afirmou: “sem aviso, sem notificação; um dia fui fazer login para distribuir uma atualização e a conta estava suspensa”

Efeitos em cadeia

  • O Windows é a plataforma usada pela maioria dos usuários do VeraCrypt, então a impossibilidade de distribuir atualizações para o Windows representa um impacto crítico para o projeto
  • As atualizações para Linux e macOS ainda são possíveis, mas o suporte à plataforma principal ficou comprometido
  • O caso destaca o risco de cadeia de suprimentos que pode surgir quando software open source depende, mesmo que parcialmente, da infraestrutura de grandes empresas de tecnologia
  • A Microsoft não respondeu aos pedidos de comentário

Leituras relacionadas

5 comentários

 
ndrgrd 20 일 전

Sempre que vejo algo assim, penso a mesma coisa: verificar assinaturas deve ser responsabilidade do usuário, não da plataforma. O desenvolvedor assina com sua própria chave, e o usuário deve permitir no seu dispositivo a chave de desenvolvedores confiáveis para então usar o software.

Não saber disso e querer que resolvam tudo por você simplesmente não faz sentido. Independentemente de a pessoa se interessar ou não por computadores, se é algo que ela vai usar, isso é um hábito que precisa ter.
Se você usa celular e navega na internet, não deve acreditar cegamente no que uma página, mensagem ou ligação telefônica diz; é uma orientação básica, no nível de ter capacidade de filtrar e escolher.

Com uma interface como a do UAC do Windows, em que dá para confirmar com um único botão se você confia ou não em um determinado desenvolvedor, até quem não conhece os conceitos de assinatura de código e chave conseguiria usar.
 
heal9179 17 일 전

Porque, se não houver certificação oficial, uma certificação maliciosa pode ser explorada..
 
ndrgrd 16 일 전

Não entendi o que você quer dizer.
Você está dizendo que um terceiro pode abusar da autenticação? Isso é igual no sistema atual de certificados. Até malwares saem com certificados que custam centenas de milhares de won por ano.
Você quer dizer que o próprio desenvolvedor pode fazer mau uso disso? Então, desde o começo, nem o código nem o próprio desenvolvedor são confiáveis. Escolher em que confiar é um direito e também uma obrigação do usuário. Seguindo essa lógica, como pessoas com transtorno obsessivo, seria preciso escrever e usar por conta própria todos os programas, do sistema operacional até os aplicativos mais periféricos.
 
picopress 20 일 전

Os drivers do Windows provavelmente são diferentes.
 
GN⁺ 21 일 전
Comentários do Hacker News

  • Há 1 ano, usei o Azure Trusted Signing para distribuir software FOSS para Windows
    Na época, era a forma mais barata de distribuir software livre
    Mas, há alguns meses, ao renovar o certificado, todos os meus documentos foram rejeitados por um problema de falha na verificação, e eu não conseguia falar diretamente com uma pessoa, apesar de ser cliente pagante
    No fim, obtive um certificado pela SignPath.org e, desde então, estou muito satisfeito

    • Ao longo do último ano, a política de verificação do Trusted Signing ficou mudando o tempo todo
      Primeiro abriu para pessoas físicas, depois mudou para permitir apenas empresas americanas com número DUNS, e depois voltou a abrir para algumas pessoas físicas
      Parece que provavelmente houve algum caso de abuso de certificados do Trusted Signing
      Ao ver o caso da VeraCrypt esta manhã, pensei: “será que isso é uma forma de empurrar os desenvolvedores à força para o Trusted Signing?”
    • Gosto da ideia de uma autoridade central de assinatura para open source
      Isso pode ir um pouco contra o espírito do open source, mas, se a Microsoft ou o Google fizerem besteira, a reação da comunidade será enorme
      Se existisse uma entidade como o FDroid oferecendo builds auditáveis, seria possível ter uma distribuição mais confiável em caso de ataques à cadeia de suprimentos
      Só que uma entidade assim precisaria de governança e financiamento suficientes

  • Acho que não se deve permitir que o dono da plataforma decida qual software pode ser executado
    A assinatura de software deveria ser delegada a um terceiro independente, sem conflito de interesses
    É exatamente por isso que o Digital Markets Act busca proteger os desenvolvedores
    Fico curioso se ainda há novidades sobre a investigação da Apple pela UE

    • Na verdade, é possível assinar binários do Windows com certificados de terceiros
      Só que custa caro, e nem é necessário usar as ferramentas da Microsoft

  • Este problema não é exclusivo da VeraCrypt
    Vários desenvolvedores de drivers para Windows foram expulsos à força do Partner Center sem qualquer explicação
    Casos relacionados também podem ser vistos no fórum da comunidade OSR

  • Windscribe é o terceiro caso de conta encerrada pela Microsoft
    Tweet relacionado

  • O lado sombrio de “Security as a Service” está aparecendo
    Ao simplificar o processo de assinatura com o Trusted Signing, a Microsoft acabou criando um ponto único de falha
    O fato de um projeto FOSS essencial como o VeraCrypt ser bloqueado por um flag automático, sem qualquer caminho para intervenção humana, é uma estrutura frágil
    O Secure Boot é um bom recurso de segurança, mas não deveria virar um instrumento de dependência do fornecedor por incompetência administrativa

  • No post anterior, houve quem dissesse que deixou passar o título “Veracrypt project update”

  • Ainda espero que, algum dia, as pessoas percebam que assinatura de executáveis e Secure Boot não são segurança de verdade, mas mecanismos para controlar o que o usuário pode executar
    Acho que a premissa dessas mitigação não faz sentido em computadores pessoais

    • O Secure Boot é necessário para a segurança prática de criptografia de disco completo (FDE)
      Ele dificulta o abuso de drivers maliciosos e reduz infecções por bootkits
      O próprio usuário também pode registrar suas chaves
      A Microsoft realmente o usa como mecanismo de controle, mas isso não significa que o recurso de segurança em si possa ser negado
    • Em ambientes embarcados, o Secure Boot é usado para proteger o cliente
      Ele garante proteção contra adulteração de firmware na cadeia de suprimentos
    • Para uso doméstico ou usuários em geral, pode ser um mecanismo de controle, mas, em sistemas embarcados ou financeiros, é uma tecnologia vital
    • A Apple normalizou essa cultura de bootloader fechado ao introduzir o iOS
      Há 20 anos, um sistema assim pareceria distópico, mas agora é visto como algo natural
      É como se o “tivoization” sobre o qual Stallman alertava tivesse se tornado realidade
    • Isso me faz lembrar da época em que as pessoas enchiam o computador de barras de ferramentas do Ask Jeeves e depois pediam para o neto consertar a máquina

  • É irônico que a empresa que controla a cadeia do Secure Boot tenha bloqueado a conta de assinatura de uma ferramenta de criptografia de disco

    • Esse é um padrão que se repete em todas as plataformas
      Como diz o ditado, “a plataforma dá e a plataforma tira”; se a distribuição depende da boa vontade de uma empresa, então não é distribuição de verdade

  • A Microsoft deveria saber que a conta de desenvolvedor do WireGuard também foi encerrada

    • Na verdade, isso é mencionado no fim da matéria
      Há uma frase dizendo: “o popular cliente de VPN WireGuard também está enfrentando o mesmo problema”

  • Não entendo por que simplesmente não geram sua própria chave de assinatura e a incluem no instalador
    Usar esse tipo de plataforma intermediária parece um jeito de sabotar a si mesmo

    • Mas pessoas mal-intencionadas também podem gerar suas próprias chaves e distribuir software do mesmo jeito
      O caso do Notepad++ mostra qual é o resultado disso