Microsoft, VeraCrypt hesabını kapatarak Windows güncellemelerini durdurdu

 (404media.co)
2 puan yazan GN⁺ 21 일 전 | 5 yorum | WhatsApp'ta paylaş
  • Açık kaynak şifreleme yazılımı VeraCrypt için Windows güncelleme dağıtımı, Microsoft’un hesabı aniden sonlandırması nedeniyle tamamen engellendi; bu durum, büyük teknoloji şirketlerine bağımlı açık kaynak yazılım tedarik zincirinin kırılganlığını ortaya koyan bir örnek oldu
  • VeraCrypt geliştiricisi Mounir Idrassi, ocak ortasında Windows sürücü ve önyükleyici imzalama hesabının önceden uyarı yapılmadan kapatıldığını fark etti; sonrasında iletişime geçmeye çalışsa da yalnızca yapay zeka tarafından üretilmiş gibi görünen otomatik yanıtlar aldı
  • Microsoft’tan gelen tek resmî mesaj, "gereksinimlerin karşılanmadığı" yönündeki bildirimdi; ancak somut bir gerekçe ya da itiraz süreci olmadan hesap kapatıldı ve hangi gereksinimin bir anda karşılanmaz hâle geldiğine dair hiçbir açıklama yapılmadı
  • WireGuard geliştiricisi Jason Donenfeld de aynı sorunla karşılaştığını belirterek bunun yalnızca VeraCrypt’e özgü bir mesele olmadığını gösterdi
  • Linux ve macOS güncellemeleri dağıtılmaya devam edebiliyor, ancak kullanıcıların büyük çoğunluğu Windows platformunu kullandığı için Windows dağıtımının yapılamaması proje genelinde kritik bir darbe anlamına geliyor

VeraCrypt nedir

  • Sürücü içinde şifreli bölümler oluşturmak veya ayrı şifreli birimlerle dosyaları korumak için kullanılan açık kaynak bir araç
  • Önceki sürüm TrueCrypt temel alınarak geliştirildi ve kimlik bilgilerini vermeye zorlanma durumlarına karşı çift birim (gizli birim) özelliği de sunuyor

Olayın gelişimi

  • Idrassi, birkaç aydır neden aktif olmadığını SourceForge forumunda bizzat açıkladı
  • Ocak ortasında, yıllardır kullandığı Windows sürücü ve önyükleyici imzalama hesabının aniden kullanılamaz durumda olduğunu fark etti
  • Önceden gönderilmiş hiçbir e-posta ya da uyarı yoktu ve Microsoft’tan aldığı tek mesaj, "mevcut gereksinimleri karşılamadığı" yönündeydi
  • Söz konusu mesajda yalnızca itiraz edilemeyeceği ve başvurunun sonlandırıldığı bilgisi yer aldı
  • Idrassi’nin şirketi IDRIX’in hangi gereksinimi bir anda karşılayamaz hâle geldiğine dair hiçbir açıklama yapılmadı

Geliştiricinin tepkisi ve endişeleri

  • Microsoft destek ekibiyle iletişime geçti ancak yalnızca yapay zeka tarafından üretilmiş gibi görünen otomatik yanıtlar aldı
  • "En azından sorunun ne olduğunu açıklamaları gerekirdi" diyerek Microsoft’un iletişim eksikliğini sert biçimde eleştirdi
  • "Böyle kararlar alınırken iletişim olmazsa geleceğe dair belirsizlik büyür ve otomatik yapay zeka yanıtları bu süreci insanlıktan uzaklaştırır" değerlendirmesinde bulundu

WireGuard da aynı durumda

  • Popüler VPN istemcisi WireGuard’ın geliştiricisi Jason Donenfeld de Hacker News’te aynı sorunu paylaştı
  • "Uyarı olmadan, bildirim olmadan, bir gün güncelleme dağıtmak için giriş yaptım ve hesabın askıya alındığını gördüm" dedi

Etkileri

  • Windows, VeraCrypt kullanıcılarının büyük çoğunluğunun kullandığı platform olduğundan Windows güncellemelerini dağıtamamak proje için kritik bir darbe
  • Linux ve macOS güncellemeleri hâlâ mümkün olsa da temel platform desteği fiilen kesilmiş durumda
  • Bu olay, açık kaynak yazılımların büyük teknoloji şirketlerinin altyapılarına kısmen bile bağımlı olduğunda ortaya çıkabilecek tedarik zinciri riskini öne çıkardı
  • Microsoft, yorum talebine yanıt vermedi

İlgili okumalar

5 yorum

 
ndrgrd 20 일 전

Böyle şeyleri her gördüğümde düşündüğüm şey şu: imza doğrulama işini platform değil, kullanıcı yapmalıdır. Geliştirici kendi anahtarıyla imzalar; kullanıcı da güvendiği geliştiricinin anahtarına kendi cihazında izin vererek kullanmalıdır.

Bunu bilmiyorum, benim yerime halledin demek mantıklı değil. İster bilgisayara ilgili olsun ister olmasın, kişi onu kullanacaksa mutlaka edinmesi gereken bir alışkanlıktır.
Cep telefonu kullanıyor ve internete giriyorsanız, web sayfasında, mesajlarda ya da telefonda söylenenlere koşulsuz inanmamanız ve seçip değerlendirebilme becerisine sahip olmanız gerekir; bu da o düzeyde temel bir kuraldır.

Windows UAC gibi, belirli bir geliştiriciye güvenip güvenmeyeceğinizi tek bir düğmeyle onaylayabildiğiniz bir arayüz düzeyi olursa, kod imzası ve anahtar kavramını bilmeyen kişiler bile kullanabilir.
 
heal9179 17 일 전

Resmî sertifikasyon olmazsa kötü niyetli sertifikalar suistimal edilebilir de ondan..
 
ndrgrd 16 일 전

Ne demek istediğinizi anlamıyorum.
Üçüncü bir tarafın kimlik doğrulamayı kötüye kullanabileceğini mi söylüyorsunuz? Bu, mevcut sertifika sistemi için de aynı. Zararlı yazılımlar da yılda yüz binlerce won tutan sertifikalarla geliyor.
Geliştiricinin kendisinin bunu kötüye kullanabileceğini mi kastediyorsunuz? O zaman zaten kodun ve geliştiricinin kendisinin güvenilir olmadığı anlamına gelir. Neye güveneceğini seçmek kullanıcının hem hakkı hem de sorumluluğudur. Bu mantığa göre, obsesif kompulsif bozukluğu olan insanlar gibi, işletim sisteminden en uçtaki uygulamaya kadar tüm programları kendiniz yazıp kullanmanız gerekir.
 
picopress 20 일 전

Windows sürücüsü farklıdır sanırım.
 
GN⁺ 21 일 전
Hacker News yorumları

  • 1 yıl önce Windows için FOSS yazılım dağıtmak amacıyla Azure Trusted Signing kullanmıştım
    O zamanlar ücretsiz yazılım dağıtmanın en ucuz yoluydu
    Ancak birkaç ay önce sertifika yenileme sırasında doğrulama başarısızlığı sorunu yüzünden tüm belgelerim reddedildi ve ücretli kullanıcı olmama rağmen bir insanla doğrudan iletişim kuramadım
    Sonunda SignPath.org üzerinden sertifika aldım ve o zamandan beri çok memnunum

    • Son 1 yılda Trusted Signing'in doğrulama politikası sürekli değişiyordu
      Önce bireylere açıldı, sonra yalnızca DUNS numarası olan ABD şirketlerine izin verildi, ardından yeniden bazı bireylere açıldı
      Muhtemelen birileri Trusted Signing sertifikalarını kötüye kullandığı bir olaya karıştı
      Bu sabah VeraCrypt olayını görünce aklıma “Bu, geliştiricileri zorla Trusted Signing'e itmek için mi yapılıyor?” düşüncesi geldi
    • Açık kaynak için merkezi bir imzalama otoritesi fikri hoşuma gidiyor
      Bu, açık kaynak ruhuyla biraz çelişebilir ama Microsoft ya da Google bir oyun çevirirse topluluk çok sert tepki verir
      FDroid gibi denetlenebilir derlemeler sunan bir kurum olsaydı, tedarik zinciri saldırılarında daha güvenilir dağıtım mümkün olurdu
      Yine de böyle bir kurumun yönetişim ve finansmanının yeterince güvence altına alınması gerekir

  • Platform sahibinin hangi yazılımların çalıştırılabileceğine karar vermesine izin verilmemeli diye düşünüyorum
    Yazılım imzalama bağımsız bir üçüncü tarafa devredilmeli ve çıkar çatışması olmamalı
    Digital Markets Act'in geliştiricileri korumaya çalışmasının nedeni de tam olarak bu
    Apple hakkındaki AB soruşturmasıyla ilgili yeni bir gelişme olup olmadığını merak ediyorum

    • Aslında Windows ikili dosyalarını üçüncü taraf sertifikalarla imzalamak mümkün
      Sadece pahalı, ayrıca Microsoft araçlarını kullanmak da gerekmiyor

  • Bu sorun yalnızca VeraCrypt'e özgü değil
    Birçok Windows sürücü geliştiricisi hiçbir açıklama yapılmadan Partner Center'dan zorla çıkarıldı
    İlgili örnekler OSR Community forumunda da görülebilir

  • Windscribe da Microsoft tarafından hesabı kapatılan üçüncü örnek
    İlgili tweet

  • “Security as a Service” modelinin karanlık yüzü ortaya çıkıyor
    Microsoft, Trusted Signing ile imzalama sürecini basitleştirirken tek bir arıza noktası yaratmış oldu
    VeraCrypt gibi kritik FOSS projelerinin otomatik işaretleme ile engellenmesi ve insan müdahalesi için hiçbir kanalın olmaması kırılgan bir yapı
    Secure Boot iyi bir güvenlik özelliği ama idari beceriksizlik yüzünden satıcıya bağımlılık aracı haline gelmemeli

  • Önceki gönderide “Veracrypt project update” başlığını kaçırdığını söyleyen bir yorum vardı

  • Hâlâ insanların bir gün çalıştırılabilir dosya imzalama ve Secure Boot'un gerçek güvenlik değil, kullanıcının ne çalıştırabileceğini kontrol etmeye yönelik araçlar olduğunu fark etmesini umuyorum
    Kişisel bilgisayarlarda bu tür önlemlerin dayandığı varsayımın anlamsız olduğunu düşünüyorum

    • Secure Boot, tam disk şifreleme (FDE) için gerçek güvenlik sağlamak adına gerekli
      Kötü amaçlı sürücülerin kötüye kullanılmasını zorlaştırır ve bootkit bulaşmalarını azaltır
      Kullanıcılar anahtarları kendileri de kaydedebilir
      Microsoft'un bunu bir kontrol aracı olarak kullanması doğru ama bu, güvenlik özelliğinin kendisini geçersiz kılmaz
    • Gömülü ortamlarda Secure Boot, müşteriyi korumak için kullanılan bir mekanizma
      Tedarik zincirinde firmware kurcalanmasına karşı koruma sağlar
    • Ev kullanıcıları ya da genel kullanıcılar için bir kontrol aracı olabilir ama gömülü veya finansal sistemlerde can damarı niteliğinde bir teknoloji
    • Apple, iOS'u piyasaya sürerek bu tür kapalı bootloader kültürünü normalleştirdi
      20 yıl önce böyle sistemler distopik görünürdü, şimdi ise olağan kabul ediliyor
      Stallman'ın uyardığı “tivoization” fiilen gerçeğe dönüşmüş oldu
    • Bilgisayara bir sürü “Ask Jeeves toolbar” kurup sonra torunundan bilgisayarı düzeltmesini isteyen günleri hatırlatıyor

  • Secure Boot zincirini kontrol eden şirketin disk şifreleme aracının imza hesabını kapatmış olması ironik

    • Bu, her platformda tekrar eden bir örüntü
      “Platform verir, platform geri alır” denildiği gibi, dağıtım bir şirketin iyi niyetine bağlıysa bu gerçek bir dağıtım değildir

  • Microsoft'un WireGuard geliştirici hesabının da kapatıldığını fark etmiş olması gerekirdi

    • Aslında makalenin sonlarına doğru bundan bahsediliyor
      “Popüler VPN istemcisi WireGuard da aynı sorunu yaşıyor” ifadesi yer alıyor

  • Neden kendi imzalama anahtarlarını oluşturup bunu kurulum paketine eklemiyorlar, anlamıyorum
    Böyle aracı platformları kullanmak insanın kendi ayağına sıkması gibi geliyor

    • Ama kötü niyetli kişiler de aynı şekilde kendi anahtarlarını üretip dağıtabilir
      Notepad++ vakası bunun sonucunun ne olabileceğini gösteriyor