- Tài khoản Microsoft dùng để ký driver Windows của VeraCrypt đã bị chấm dứt mà không báo trước, khiến nhà phát triển Mounir Idrassi rơi vào tình trạng không thể phát hành bản cập nhật cho phiên bản Windows
- Phía Microsoft chỉ để lại thông báo không thể khiếu nại, và dù đã liên hệ nhiều lần thì ngoài phản hồi tự động vẫn không có câu trả lời nào
- Cộng đồng đã đứng ra hỗ trợ bằng cách đề xuất nhiều giải pháp như quy trình khôi phục tài khoản, đăng tải trên mạng xã hội, và phương thức ký thay thế
- Một số người dùng chia sẻ trường hợp tương tự của dự án Rufus, đồng thời nêu khả năng đây là vấn đề hành chính như lỗi xác minh tên miền
- Nhiều nhà phát triển và người dùng đang thử kết nối nội bộ với Microsoft và hỗ trợ công khai, thể hiện ý chí hợp tác để duy trì liên tục và bảo mật cho VeraCrypt
Cập nhật dự án VeraCrypt
-
Việc phát triển bị gián đoạn do tài khoản Microsoft bị chấm dứt
- Nhà phát triển VeraCrypt Mounir Idrassi cho biết sau vài tháng vắng mặt, tài khoản Microsoft dùng để ký driver Windows và bootloader đã bị chấm dứt
- Microsoft đóng tài khoản mà không có cảnh báo trước hay email thông báo, và trong thông báo có ghi là không thể khiếu nại
- Dù đã cố gắng liên hệ với Microsoft qua nhiều kênh, ông chỉ nhận được phản hồi tự động và không thể tiếp cận người phụ trách thực sự
- Vì vậy, không thể phát hành các bản cập nhật cho phiên bản Windows của VeraCrypt, gây gián đoạn lớn cho hoạt động của dự án
- Các phiên bản Linux và macOS vẫn có thể tiếp tục được cập nhật, nhưng do phần lớn người dùng sử dụng Windows nên tác động là rất lớn
-
Phản ứng và đề xuất từ cộng đồng
- Người dùng Marty cho biết phiên bản Windows hiện tại (1.26.24) được ký bằng chứng chỉ từ năm 2011 và sắp hết hạn, đồng thời lo ngại việc dùng bản không có chữ ký trong môi trường Secure Boot sẽ gây ra vấn đề
- AJ B khuyến nghị sử dụng biểu mẫu khôi phục tài khoản và liên kết hỗ trợ khách hàng trên trang hỗ trợ của Microsoft, đồng thời đề xuất công khai vụ việc qua Reddit và X (trước đây là Twitter)
- Alex R đề xuất chia sẻ sự việc này trên các kênh mạng xã hội liên quan đến Microsoft để tăng mức độ chú ý, và Idrassi đã đồng ý tích cực với đề xuất đó
- 风之暇想 đề xuất bổ sung một chương trình mã hóa dạng lưu trữ không phụ thuộc vào chữ ký, đưa ra phương án có thể ứng phó với vấn đề ký số
-
Các lời khuyên bổ sung và nỗ lực hỗ trợ
- Phoenix nhắc đến khả năng tài khoản bị xóa do có báo cáo cho rằng phần mềm có thể bị dùng cho hoạt động bất hợp pháp, đồng thời đề xuất một phiên bản tạm thời bị giới hạn chỉ hỗ trợ phân vùng không phải hệ thống
- Enigma2Illusion đưa ra cách gửi email trực tiếp cho CEO Microsoft Satya Nadella một cách cụ thể
- Cung cấp mẫu thư ví dụ gồm tiêu đề email, nội dung, ảnh chụp màn hình đính kèm và thông tin liên hệ
- Preguntar Jeeves cho rằng tài khoản có thể không bị xóa hoàn toàn mà chỉ ở trạng thái vô hiệu hóa, đồng thời khuyên nên liên hệ các nhân vật trong cộng đồng mã hóa, báo chí và giới chính trị
- Các nhân vật được nhắc đến gồm Bruce Schneier, Chris Titus, Niels Ferguson, Rand Paul, Ron Wyden
-
Trường hợp tương tự và khả năng giải quyết
- Pete Batard cho biết dự án Rufus cũng từng gặp cùng một lỗi Microsoft Partner Center
- Trong trường hợp của ông, việc xác minh tự động bị dừng do xác minh WHOIS từ nhà đăng ký tên miền thất bại, và vấn đề đã được giải quyết sau khi liên hệ trực tiếp với đội hỗ trợ của Microsoft
- Ông giải thích rằng cụm từ lỗi “không thể khiếu nại” nhiều khả năng chỉ là thông báo tự động tách biệt với quy trình xác minh doanh nghiệp thực tế
- Sau khi nộp tài liệu chứng minh đăng ký tên miền, ông đã giải quyết được vấn đề, và cho rằng trường hợp của Idrassi cũng có thể có nguyên nhân tương tự
-
Nỗ lực kết nối nội bộ với Microsoft
- Rafael Rivera cho biết ông có thể chuyển vấn đề qua các mối quan hệ nội bộ tại Microsoft và yêu cầu được chia sẻ email
- Nhiều người dùng trong cộng đồng bày tỏ sự đồng cảm và ủng hộ đối với tình cảnh của Idrassi, đồng thời đề xuất nhiều phương án hỗ trợ kỹ thuật và xã hội để giúp dự án tiếp tục tồn tại
1 bình luận
Ý kiến trên Hacker News
Hiện tại tôi cũng đang gặp đúng vấn đề tương tự liên quan đến WireGuard
Tài khoản đã bị đình chỉ mà không có bất kỳ cảnh báo hay thông báo nào, và hiện tôi đang trong quy trình khiếu nại kéo dài 60 ngày
Nếu thực sự đã xảy ra lỗ hổng RCE và cần phát hành bản vá ngay lập tức, Microsoft đã hoàn toàn trói tay tôi
Nếu có ai bên trong Microsoft có thể giúp, xin hãy liên hệ (jason at zx2c4 dot com)
Việc các công ty này từ chối cung cấp dịch vụ cho người dùng hợp pháp nên là bất hợp pháp
Ở Mỹ thì điều đó sẽ khó về mặt chính trị, nhưng ở EU thì có khả năng
Những người ngoài EU cũng có thể nhận được sự bảo vệ của quy định EU thông qua e-Residency của Estonia
Có cảm giác như Microsoft đang cố ngăn người dùng dùng mã hóa mạng hay mã hóa ổ đĩa
Trong khi Microsoft còn hỗ trợ WireGuard trong Azure Kubernetes Service
Mốc 60 ngày này vừa kỳ lạ là quá dài, vừa kỳ lạ là quá ngắn
Nó đủ để chính phủ Mỹ có thời gian khai thác lỗ hổng bảo mật, và sau đó Microsoft vẫn có thể khôi phục rồi nói rằng “đó là nhầm lẫn”
Cuối cùng trông nó giống như một chiến lược tạm thời trói tay phần mềm bảo mật
Có thể tham khảo tweet cập nhật do một phó chủ tịch Microsoft đăng
Ban đầu tôi đã ngạc nhiên khi các nhà phát triển Veracrypt rơi vào tình huống này, giờ lại đến cả nhà phát triển WireGuard
Liệu Microsoft có đang triển khai một chính sách mới để kiềm chế các dự án mã nguồn mở và đẩy mạnh giải pháp của riêng họ không?
Dạo này các công ty đang siết những biện pháp như vậy để ngăn ứng dụng lừa đảo nhắm vào người dùng không chuyên
Nó cũng cùng bối cảnh với lý do Google chặn sideloading
Những vấn đề kiểu này chỉ được giải quyết khi có báo chí đưa tin
Giống như trước đây khi neocities không thể liên lạc với Bing, cần những cơ quan như Ars Technica đưa tin
Đã đến lúc cần có biện pháp quản lý
Cấu trúc phân phối ứng dụng hiện nay đã không còn là mô hình “người dùng lựa chọn”, mà đã biến thành một hệ thống whitelist do doanh nghiệp kiểm soát
Các nhà phát triển cá nhân hay mã nguồn mở trong quá trình này phải chịu đựng thủ tục kiểu Kafka, chi phí phi lý và tiêu chí thiếu minh bạch
Chính tôi cũng đã bị chặn 6 tháng trong việc gia hạn chữ ký mã Digicert cho ứng dụng Payload của mình
Đây không đơn thuần là vấn đề kỹ thuật, mà là vấn đề của một hệ thống xác thực mang tính độc quyền
Nó còn đắt đỏ, rắc rối và mơ hồ hơn cả thời SSL trước Let’s Encrypt
Chuyện này giống như tái hiện lại vụ LibreOffice
Bài viết liên quan cho thấy Microsoft từng chặn bản phát triển của LibreOffice
Cấu trúc như vậy rất nguy hiểm, và lại thêm một lý do để rời bỏ Windows
Hệ thống phát hiện lạm dụng tự động của Microsoft vốn rất tệ, nên thường có những trường hợp tài khoản bị khóa vô lý
Nếu có thể, đừng dùng tài khoản MS cho việc quan trọng, và hãy dùng CA bên thứ ba để ký
Vẫn còn là một điều khó hiểu vì sao nhà phát triển TrueCrypt đột ngột dừng dự án và đề xuất BitLocker như giải pháp thay thế
Xem trang wiki về Paul Le Roux
Liên kết lưu trữ
Nhìn tình hình hiện tại thì có cảm giác chỉ còn Linux là hy vọng duy nhất
Windows hay macOS đều quá rủi ro và kém hiệu quả để dùng cho công việc kinh doanh
Dự đoán của tôi là Microsoft đang thử phản ứng dư luận
Nếu phản ứng mạnh, họ sẽ khôi phục tài khoản rồi nói là “nhầm lẫn”, còn nếu phản ứng yếu thì họ sẽ dần dần chặn khóa ký của những phần mềm như VPN, torrent, trình chặn quảng cáo
Sự tham gia mã nguồn mở của họ không phải vì mục đích trong sáng mà là toan tính kinh doanh
Giờ họ đang cố khóa chặt Windows hoàn toàn, và GitHub cùng VSCode cũng có khả năng đi theo con đường đó
Một số tính năng của Veracrypt chỉ khả dụng trên Windows
Ví dụ, mã hóa toàn bộ phân vùng hệ thống hay cài Hidden OS chỉ hoạt động trên Windows nền MBR
Tôi từng hy vọng những công nghệ plausible deniability như thế sẽ phát triển hơn ở cấp hệ điều hành, nhưng giờ chúng gần như biến mất
Tài liệu trình bày tại BlackHat cũng có thử nghiệm tương tự
Microsoft đã vô hiệu hóa chứng chỉ ký của nhà phát triển, khiến họ không thể phát hành bản phát hành cho Windows
Tại sao lại phải thu hồi chứng chỉ của một nhà phát triển đã được xác minh danh tính?
Tôi cũng muốn biết liệu có cách nào ứng phó bằng pháp lý với quyết định như vậy không?