Actualización del proyecto VeraCrypt

 (sourceforge.net)
2 puntos por GN⁺ 21 일 전 | 1 comentarios | Compartir por WhatsApp
  • La cuenta de Microsoft para firmar los controladores de Windows de VeraCrypt fue cerrada sin previo aviso, lo que dejó al desarrollador Mounir Idrassi en una situación en la que no puede distribuir actualizaciones de la versión para Windows
  • Del lado de Microsoft solo quedó un mensaje de que no se puede apelar, y pese a múltiples consultas no ha habido respuesta más allá de mensajes automáticos
  • La comunidad comenzó a apoyar proponiendo diversas soluciones, como procedimientos de recuperación de cuenta, reportes en redes sociales y métodos alternativos de firma
  • Algunos usuarios compartieron un caso similar del proyecto Rufus y plantearon la posibilidad de problemas administrativos como errores en la validación del dominio
  • Varios desarrolladores y usuarios están intentando conseguir contactos dentro de Microsoft y apoyo público, mostrando su disposición a colaborar para el mantenimiento continuo y la seguridad de VeraCrypt

Actualización del proyecto VeraCrypt

  • Interrupción del desarrollo por el cierre de la cuenta de Microsoft

    • El desarrollador de VeraCrypt, Mounir Idrassi, informó tras varios meses de ausencia que la cuenta de Microsoft que usaba para firmar los controladores y el bootloader de Windows fue cerrada
    • Microsoft canceló la cuenta sin advertencia previa ni notificación por correo electrónico, y en el mensaje se indica que no se puede apelar
    • Intentó contactar a Microsoft por varias vías, pero solo recibió respuestas automáticas y no logró comunicarse con una persona responsable
    • Como resultado, no es posible distribuir actualizaciones de la versión de VeraCrypt para Windows, lo que ha provocado una gran interrupción en la operación del proyecto
    • Las versiones para Linux y macOS pueden seguir actualizándose, pero como la mayoría de los usuarios usa Windows, el impacto es grande

  • Respuesta y propuestas de la comunidad

    • El usuario Marty señaló que la versión actual de Windows (1.26.24) está firmada con un certificado de 2011 que pronto vencerá, y expresó preocupación por los problemas que puede causar el uso de una versión sin firma en entornos con Secure Boot
    • AJ B recomendó usar el formulario de recuperación de cuenta y los enlaces de soporte al cliente de la página de soporte de Microsoft, además de hacer reportes públicos a través de Reddit y X (antes Twitter)
    • Alex R propuso compartir este asunto en canales sociales relacionados con Microsoft para aumentar su visibilidad, e Idrassi aceptó positivamente la idea
    • 风之暇想 propuso añadir un programa de cifrado de tipo archivo que no dependa de firmas, planteando una forma de responder al problema de la firma

  • Consejos adicionales e intentos de apoyo

    • Phoenix mencionó la posibilidad de que la cuenta haya sido eliminada por un reporte de que el software podría usarse en actividades ilegales, y propuso una versión temporal limitada que solo admita particiones que no sean del sistema
    • Enigma2Illusion presentó una forma concreta de enviar un correo directamente al CEO de Microsoft, Satya Nadella
      • Proporcionó un modelo de carta de ejemplo con asunto, cuerpo del mensaje, capturas de pantalla adjuntas e información de contacto
    • Preguntar Jeeves comentó que quizá la cuenta no fue eliminada por completo, sino que podría estar desactivada, y aconsejó contactar a figuras de la comunidad de criptografía, medios de comunicación y políticos
      • Entre las personas mencionadas están Bruce Schneier, Chris Titus, Niels Ferguson, Rand Paul y Ron Wyden

  • Casos similares y posibilidades de resolución

    • Pete Batard contó que en el proyecto Rufus también experimentó el mismo error de Microsoft Partner Center
      • En su caso, la validación automática se detuvo debido a una falla en la verificación WHOIS del registrador del dominio, y se resolvió tras contacto directo con el equipo de soporte de Microsoft
      • Explicó que la frase de error “no se puede apelar” probablemente sea un mensaje automático aparte del proceso real de validación empresarial
      • Resolvió el problema tras presentar documentación que demostraba el registro del dominio, y mencionó que en el caso de Idrassi podría tratarse de una causa similar

  • Intentos de conseguir contactos dentro de Microsoft

    • Rafael Rivera dijo que podría hacer llegar el problema a través de contactos internos en Microsoft y pidió que le compartieran un correo electrónico
    • Varios usuarios de la comunidad expresaron empatía y apoyo por la situación de Idrassi y propusieron distintas formas de apoyo técnico y social para ayudar a que el proyecto continúe

Lecturas relacionadas

1 comentarios

 
GN⁺ 21 일 전
Comentarios en Hacker News

  • Ahora mismo yo también estoy pasando por el mismo problema relacionado con WireGuard
    Me suspendieron la cuenta sin ninguna advertencia ni notificación, y ahora estoy en medio de un proceso de apelación de 60 días
    Si de verdad hubiera surgido una vulnerabilidad RCE y hubiera sido necesario distribuir un parche de inmediato, Microsoft me habría atado completamente las manos
    Si hay alguien dentro de Microsoft que pueda ayudar, por favor contáctenme (jason at zx2c4 dot com)

    • Viendo este tipo de situaciones, creo que empresas como Microsoft, Google, Apple, Visa, Mastercard, y pronto OpenAI y Anthropic, deberían estar reguladas como servicios públicos
      Debería ser ilegal que estas empresas les nieguen el servicio a usuarios legítimos
      En Estados Unidos sería difícil por razones políticas, pero en la UE sí hay posibilidades
      Las personas fuera de la UE también podrían acogerse a la protección regulatoria europea mediante la e-Residency de Estonia
    • Que hayan suspendido la cuenta de Microsoft del creador de WireGuard es algo realmente impactante
      Parece como si Microsoft estuviera intentando impedir el uso de cifrado de red o cifrado de discos por parte de los usuarios
    • No puedo creer que el desarrollador de WireGuard esté en una situación así
      Sobre todo cuando Microsoft incluso ofrece soporte para WireGuard en Azure Kubernetes Service
    • /tinfoil time
      Ese plazo de 60 días es extrañamente largo y corto a la vez
      Es tiempo suficiente para que el gobierno de EE. UU. aproveche vulnerabilidades de seguridad, y luego Microsoft podría restaurarlo diciendo que “fue un error”
      Al final, parece una estrategia para inmovilizar temporalmente software de seguridad
    • Gracias a este hilo, yo también compartí el tema en un tuit

  • Vale la pena revisar el tuit de actualización publicado por un vicepresidente de Microsoft

  • Al principio me sorprendió que los desarrolladores de Veracrypt estuvieran en esta situación, y ahora resulta que también los de WireGuard
    ¿Será que Microsoft está aplicando una nueva política para frenar proyectos open source y empujar sus propias soluciones?

    • Lo más probable es que se deba a un sistema automático de bloqueo por un aumento repentino en las descargas
      Últimamente las empresas están reforzando estas medidas para impedir la distribución de apps fraudulentas dirigidas a usuarios no técnicos
      Va en una línea parecida a por qué Google bloquea el sideloading

  • Este tipo de problemas solo se resuelven cuando hay cobertura mediática
    Como pasó antes con neocities cuando no lograban comunicarse con Bing, hace falta que lo cubra un medio como Ars Technica

    • Parece un abuso de la posición cuasi monopólica que Microsoft tiene en el mercado de sistemas operativos para consumidores
      Ya va siendo hora de una intervención regulatoria
    • Que se resuelva por cobertura mediática no deja de ser un parche temporal
      La estructura actual de distribución de apps ya no responde a un modelo de “el usuario decide”, sino a un sistema de lista blanca administrado por corporaciones
      Los desarrolladores individuales y los de open source terminan atrapados en procesos kafkianos, costos absurdos y criterios opacos
      Yo mismo llevo 6 meses bloqueado intentando renovar la firma de código de Digicert de mi app Payload
      Esto no es solo un problema técnico, sino un problema de un sistema de validación monopólico
      Es más caro, más engorroso y más ambiguo que la era previa a Let’s Encrypt para los certificados SSL
    • Hoy publiqué el tema abiertamente en X

  • Esto se siente como una repetición del caso de LibreOffice
    Según este artículo relacionado, Microsoft había bloqueado la versión de desarrollo de LibreOffice

    • Si te obligan a crear una cuenta de Microsoft y luego te la bloquean, el usuario termina perdiendo incluso el derecho de acceso a sus propios datos
      Es una estructura peligrosa y una razón más para dejar Windows
    • Puede que no esté directamente relacionado con el caso de LibreOffice
      El sistema automático de detección de abuso de Microsoft es tan malo que muchas cuentas quedan bloqueadas sin motivo
      Si es posible, conviene no usar cuentas de MS para cosas importantes, y usar una CA de terceros para las firmas

  • Sigue siendo un misterio por qué el desarrollador de TrueCrypt interrumpió de repente el proyecto y recomendó BitLocker como reemplazo

    • Lo que normalmente se comenta es que el desarrollador fue encarcelado por tráfico de armas
      Véase la página de Paul Le Roux en Wikipedia
    • También me pregunto por qué TrueCrypt fue excluido de Archive.org
      Enlace del archivo
    • Lo más probable es que, como Lavabit, hayan cerrado voluntariamente para no ceder ante exigencias del gobierno
    • A mí también me pareció sospechoso ese caso, así que todavía uso TrueCrypt

  • Viendo la situación actual, Linux parece la única esperanza
    Windows y macOS son demasiado riesgosos e ineficientes para usarlos en negocios

    • En algunos estados de EE. UU. hay movimientos para meter requisitos de verificación de edad a nivel del sistema operativo y dificultar el uso de Linux
    • Tengo la esperanza de que Valve no se quede solo en los juegos y también impulse la expansión del ecosistema Linux
    • Pero aun así, para la mayoría de los usuarios comunes sigue teniendo baja usabilidad

  • Mi predicción es que Microsoft está probando la reacción pública
    Si hay mucha oposición, restaurarán la cuenta diciendo que “fue un error”; si la reacción es débil, empezarán a bloquear cada vez más las claves de firma de software como VPN, torrents y bloqueadores de anuncios

    • Al final, esto marca el inicio pleno de la estrategia de enshittification de Microsoft
      Su participación en open source no era por buenas intenciones, sino por cálculo comercial
      Ahora quieren cerrar Windows por completo, y es muy probable que GitHub y VSCode sigan el mismo camino

  • Algunas funciones de Veracrypt solo son posibles en Windows
    Por ejemplo, el cifrado de la partición completa del sistema o la instalación de Hidden OS solo funcionan en Windows basado en MBR
    Esperaba que este tipo de tecnologías de negación plausible avanzaran más a nivel del sistema operativo, pero ahora casi han desaparecido
    En esta presentación de BlackHat también había un intento parecido

    • Pero si dejas Windows, en primer lugar ya no necesitas Veracrypt

  • Microsoft desactivó el certificado de firma del desarrollador, así que ya no puede distribuir lanzamientos para Windows

    • Aun así se puede instalar, solo que aparece un mensaje de advertencia
    • Como alguien que está preparando software firmado para Windows, este tipo de casos me pone muy nervioso
      ¿Cuál sería la razón para revocar el certificado de un desarrollador cuya identidad ya fue verificada?
      También me pregunto si hay alguna forma de responder legalmente a este tipo de decisiones