VeraCrypt projesi güncellemesi

 (sourceforge.net)
2 puan yazan GN⁺ 21 일 전 | 1 yorum | WhatsApp'ta paylaş
  • VeraCrypt’in Windows sürücüsü imzalamak için kullandığı Microsoft hesabı önceden bildirim yapılmadan kapatıldı; bu nedenle geliştirici Mounir Idrassi Windows sürüm güncellemelerini dağıtamaz hale geldi
  • Microsoft tarafı yalnızca itiraz edilemez mesajı bıraktı ve yapılan çok sayıdaki başvuruya rağmen otomatik yanıtlar dışında bir cevap verilmedi
  • Topluluk, hesap kurtarma süreci, sosyal medyada görünürlük sağlama, alternatif imzalama yöntemleri gibi çeşitli çözümler önererek destek veriyor
  • Bazı kullanıcılar Rufus projesindeki benzer bir vakayı paylaşarak, alan adı doğrulama hatası gibi idari bir sorun olasılığını gündeme getiriyor
  • Birden fazla geliştirici ve kullanıcı, Microsoft içindeki bağlantılarını ve kamuya açık destek kanallarını devreye sokmaya çalışırken, VeraCrypt’in sürdürülebilir bakımı ve güvenliği için iş birliği iradesi gösteriyor

VeraCrypt projesi güncellemesi

  • Microsoft hesabının kapatılması nedeniyle geliştirme kesintisi

    • VeraCrypt geliştiricisi Mounir Idrassi, aylar süren sessizliğin ardından Windows sürücüsü ve önyükleyici imzalamada kullandığı Microsoft hesabının kapatıldığını açıkladı
    • Microsoft, önceden uyarı ya da e-posta bildirimi olmadan hesabı sonlandırdı ve mesajda itiraz edilemez ifadesi yer alıyordu
    • Microsoft ile farklı kanallar üzerinden iletişim kurmaya çalışsa da yalnızca otomatik yanıtlar aldı ve gerçek bir yetkiliye ulaşamadı
    • Bunun sonucunda VeraCrypt’in Windows sürüm güncellemelerini dağıtmak imkansız hale geldi ve proje yönetiminde ciddi aksamalar yaşandı
    • Linux ve macOS sürümleri güncellenmeye devam edebiliyor, ancak kullanıcıların büyük çoğunluğu Windows kullandığı için etki büyük

  • Topluluğun tepkisi ve önerileri

    • Kullanıcı Marty, mevcut Windows sürümünün (1.26.24) 2011 sertifikasıyla imzalandığını ve yakında süresinin dolacağını belirterek, Secure Boot ortamında imzasız sürüm kullanımının sorun çıkarabileceği endişesini dile getirdi
    • AJ B, Microsoft destek sayfasındaki hesap kurtarma formu ve müşteri destek bağlantılarının kullanılmasını ve Reddit ile X (eski Twitter) üzerinden kamuya açık bildirim yapılmasını önerdi
    • Alex R, konuyu Microsoft ile ilgili sosyal medya kanallarında paylaşarak görünürlüğü artırmayı teklif etti; Idrassi de bunu olumlu karşıladı
    • 风之暇想, imzaya bağımlı olmayan arşiv tipi bir şifreleme programının eklenmesini önererek, imzalama sorununa karşı bir seçenek sundu

  • Ek tavsiyeler ve destek girişimleri

    • Phoenix, yazılımın yasa dışı faaliyetlerde kullanılabileceğine dair bir ihbar nedeniyle hesabın silinmiş olabileceğini öne sürerek, yalnızca sistem dışı bölümleri destekleyen geçici olarak kısıtlı bir sürüm önerdi
    • Enigma2Illusion, Microsoft CEO’su Satya Nadella’ya doğrudan e-posta gönderme yöntemini ayrıntılı biçimde anlattı
      • E-posta konusu, gövdesi, ek ekran görüntüleri ve iletişim bilgilerini içeren örnek bir mektup taslağı paylaştı
    • Preguntar Jeeves, hesabın tamamen silinmiş olmayıp devre dışı bırakılmış olabileceğini belirterek, şifreleme topluluğundaki isimlere, basına ve siyasetçilere ulaşılmasını tavsiye etti
      • Adı geçen kişiler arasında Bruce Schneier, Chris Titus, Niels Ferguson, Rand Paul, Ron Wyden yer alıyor

  • Benzer vakalar ve çözüm olasılığı

    • Pete Batard, Rufus projesinde aynı Microsoft Partner Center hatasını yaşadığını söyledi
      • Kendi durumunda, alan adı kayıt kuruluşundaki WHOIS doğrulama başarısızlığı nedeniyle otomatik doğrulama durmuştu ve sorun Microsoft destek ekibiyle doğrudan iletişim kurulduktan sonra çözüldü
      • Hata mesajındaki “itiraz edilemez” ifadesinin, gerçekte iş doğrulama sürecinden ayrı bir otomatik metin olmasının daha olası olduğunu açıkladı
      • Alan adı kayıt kanıtlarını sunduktan sonra sorunu çözdüğünü ve Idrassi’nin durumunda da benzer bir neden olabileceğini belirtti

  • Microsoft içi bağlantıları devreye sokma girişimleri

    • Rafael Rivera, Microsoft içindeki bağlantıları aracılığıyla sorunu iletebileceğini söyleyerek e-posta paylaşılmasını istedi
    • Topluluktaki birçok kullanıcı, Idrassi’nin durumuna empati ve destek gösterirken, projenin devamına yardımcı olmak için çeşitli teknik ve sosyal destek yolları önerdi

İlgili okumalar

1 yorum

 
GN⁺ 21 일 전
Hacker News görüşleri

  • Şu anda ben de WireGuard ile ilgili aynı sorunu yaşıyorum
    Hiçbir uyarı veya bildirim olmadan hesabım askıya alındı ve şu anda 60 günlük itiraz sürecinden geçiyorum
    Eğer gerçekten bir RCE açığı ortaya çıkmış ve acilen yama dağıtmam gerekseydi, Microsoft ellerimi tamamen bağlamış olurdu
    Microsoft içinde yardımcı olabilecek biri varsa lütfen iletişime geçsin (jason at zx2c4 dot com)

    • Böyle durumları görünce Microsoft, Google, Apple, Visa, Mastercard ve yakında OpenAI, Anthropic gibi şirketlerin kamusal hizmet gibi düzenlenmesi gerektiğini düşünüyorum
      Bu şirketlerin normal kullanıcılara hizmet vermeyi reddetmesi yasa dışı olmalı
      ABD'de siyasi nedenlerle zor olabilir ama AB'de bir ihtimal var
      AB dışındaki kişiler de Estonya e-Residency üzerinden AB düzenlemelerinin korumasından yararlanabilir
    • WireGuard'ın kurucusunun Microsoft hesabının askıya alınmış olması gerçekten şok edici
      Microsoft sanki kullanıcıların ağ şifrelemesini veya disk şifrelemesini engellemeye çalışıyor gibi görünüyor
    • WireGuard geliştiricisinin böyle bir duruma düşmüş olması inanılmaz
      Oysa Microsoft Azure Kubernetes Service üzerinde de WireGuard desteği sunuyor
    • /tinfoil time
      60 günlük süre tuhaf biçimde hem uzun hem kısa
      ABD hükümetinin güvenlik açıklarını istismar edecek zaman kazanması için yeterli, sonrasında da Microsoft "yanlışlıktı" diyerek geri açabilir
      Sonuçta bu, güvenlik yazılımlarını geçici olarak kilitleme stratejisi gibi görünüyor
    • Bu başlık sayesinde ben de ilgili konuyu tweet olarak paylaştım

  • Microsoft başkan yardımcısının paylaştığı güncelleme tweeti dikkate değer

  • İlk başta Veracrypt geliştiricilerinin böyle bir duruma düşmesi şaşırtıcıydı, şimdi WireGuard geliştiricisinin de aynı şeyi yaşaması öyle
    Acaba Microsoft açık kaynak projeleri bastırıp kendi çözümlerini öne çıkarmak için yeni bir politika mı uyguluyor?

    • Büyük olasılıkla ani indirme artışı nedeniyle devreye giren otomatik engelleme sistemi yüzündendir
      Şirketler bugünlerde teknik bilgisi az kullanıcıları hedef alan dolandırıcı uygulama dağıtımını önlemek için bu tür önlemleri artırıyor
      Google'ın sideloading'i engellemesinin mantığına benzer
    • Evet

  • Bu tür sorunlar ancak basında yer alınca çözülen bir yapıya sahip
    Geçmişte neocities'in Bing ile iletişim kuramadığı olayda olduğu gibi, Ars Technica gibi yayınların bunu ele alması gerekiyor

    • Microsoft'un tüketici işletim sistemi pazarındaki yarı tekel konumunu kötüye kullanıyor gibi görünüyor
      Düzenleyici müdahale gerektiren bir noktadayız
    • Basında yer alınca çözülmesi sadece geçici bir yara bandı
      Bugünkü uygulama dağıtım yapısı artık "kullanıcı seçimi" modeli değil, şirketlerin yönettiği bir beyaz liste sistemi haline geldi
      Bireysel geliştiriciler ve açık kaynak geliştiricileri bu süreçte Kafkaesk prosedürler, mantıksız maliyetler ve belirsiz ölçütlerle uğraşıyor
      Benim de Payload uygulamamın Digicert kod imzası yenilemesi 6 aydır bloke durumda
      Bu sadece teknik bir sorun değil, tekelci doğrulama sistemi sorunu
      SSL sertifikalarının Let’s Encrypt öncesi döneminden bile daha pahalı, daha zahmetli ve daha muğlak
    • Bugün ilgili konuyu X'te paylaştım

  • Bu, adeta LibreOffice olayının yeniden yaşanması gibi
    İlgili habere bakılırsa Microsoft, LibreOffice'in geliştirme sürümünü engellemişti

    • Microsoft hesabı açmayı zorunlu kılıp sonra o hesabı engellerse kullanıcı kendi verilerine erişim hakkını da kaybeder
      Bu yapı tehlikeli ve Windows'tan ayrılmak için bir sebep daha
    • LibreOffice olayıyla doğrudan bağlantılı olmayabilir
      Microsoft'un otomatik kötüye kullanım tespit sistemi çok kötü olduğu için hesaplar sık sık sebepsiz yere kilitleniyor
      Mümkünse önemli işler için MS hesabı kullanmayın ve imza için üçüncü taraf bir CA kullanın

  • TrueCrypt geliştiricisinin projeyi aniden durdurup BitLocker'ı alternatif olarak önermesinin nedeni hâlâ soru işareti

    • Genel olarak bilinen şey, geliştiricinin silah kaçakçılığı suçlamasıyla hapse atıldığı
      Paul Le Roux wiki maddesine bakın
    • TrueCrypt'in neden Archive.org dışında bırakıldığını da merak ediyorum
      Arşiv bağlantısı
    • Muhtemelen Lavabit örneğinde olduğu gibi devlet taleplerine boyun eğmemek için kendini kapattı
    • Ben de o olayı şüpheli bulduğum için hâlâ TrueCrypt kullanıyorum

  • Mevcut tabloya bakınca tek umut Linux gibi hissettiriyor
    Windows veya macOS iş amaçlı kullanım için fazla riskli ve verimsiz

    • ABD'deki bazı eyaletlerde işletim sistemi düzeyinde yaş doğrulama zorunluluğu getirilerek Linux kullanımını zorlaştırma yönünde adımlar var
    • Valve'in sadece oyunla sınırlı kalmayıp Linux ekosistemini büyütmeye de yönelebileceğini umuyorum
    • Ama yine de çoğu sıradan kullanıcı için kullanılabilirliği düşük

  • Benim tahminim Microsoft'un kamuoyu tepkisini test ettiği yönünde
    Tepki büyük olursa "yanlışlıktı" deyip hesabı geri açacak, tepki zayıf kalırsa VPN, torrent, reklam engelleyici gibi yazılımların imza anahtarlarını giderek daha fazla engelleyecek

    • Sonuçta Microsoft'un 'enshittification' stratejisi tam anlamıyla başlamış oldu
      Açık kaynağa katılımları saf niyetle değil, ticari hesaplarla yapılıyordu
      Şimdi Windows'u tamamen kilitlemeye çalışıyorlar ve GitHub ile VSCode da aynı yola girebilir

  • Veracrypt'in bazı özellikleri yalnızca Windows'ta mümkün
    Örneğin tam sistem bölümü şifrelemesi ya da Hidden OS kurulumu sadece MBR tabanlı Windows'ta çalışıyor
    Bu tür plausible deniability tekniklerinin işletim sistemi düzeyinde daha da gelişmesini umuyordum ama artık neredeyse yok oldular
    BlackHat sunum materyalinde de benzer bir deneme vardı

    • Ama Windows'u bırakırsanız en başta Veracrypt'e de ihtiyaç kalmaz

  • Microsoft geliştiricinin imza sertifikasını devre dışı bırakarak Windows sürümlerini dağıtamaz hale getirdi

    • Yine de kurulum yapılabilir, sadece uyarı mesajı çıkar
    • Windows için imzalama yazılımı hazırlayan biri olarak bu tür örnekler çok tedirgin edici
      Kimliği zaten doğrulanmış bir geliştiricinin sertifikasını iptal etmek için ne gerekçe olabilir?
      Böyle bir karara karşı hukuki yola başvurmanın mümkün olup olmadığını da merak ediyorum