อัปเดตโครงการ VeraCrypt

 (sourceforge.net)
2 คะแนน โดย GN⁺ 21 일 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • บัญชี Microsoft สำหรับ การเซ็นรับรองไดรเวอร์ Windows ของ VeraCrypt ถูกยกเลิกโดยไม่มีการแจ้งล่วงหน้า ทำให้นักพัฒนา Mounir Idrassi ไม่สามารถเผยแพร่อัปเดตเวอร์ชัน Windows ได้
  • ฝั่ง Microsoft ทิ้งไว้เพียง ข้อความว่าไม่สามารถยื่นอุทธรณ์ได้ และแม้จะติดต่อสอบถามหลายครั้งก็ยัง ไม่ได้รับคำตอบนอกจากข้อความตอบกลับอัตโนมัติ
  • ชุมชนได้เข้ามาช่วยสนับสนุน โดยเสนอแนวทางแก้ไขหลากหลาย เช่น ขั้นตอนกู้คืนบัญชี การแจ้งผ่านโซเชียลมีเดีย และวิธีการเซ็นรับรองทางเลือก
  • ผู้ใช้บางรายแชร์ กรณีคล้ายกันของโครงการ Rufus พร้อมชี้ว่า อาจเป็นปัญหาด้านธุรการ เช่น ข้อผิดพลาดในการยืนยันโดเมน
  • นักพัฒนาและผู้ใช้หลายคนพยายาม ประสานงานผ่านเครือข่ายภายใน Microsoft และการสนับสนุนสาธารณะ แสดงให้เห็นถึงความร่วมมือเพื่อ การดูแลรักษาและความปลอดภัยของ VeraCrypt อย่างต่อเนื่อง

อัปเดตโครงการ VeraCrypt

  • การพัฒนาหยุดชะงักจากการยกเลิกบัญชี Microsoft

    • นักพัฒนา VeraCrypt Mounir Idrassi เปิดเผยหลังหายไปหลายเดือนว่า บัญชี Microsoft ที่ใช้สำหรับเซ็นรับรองไดรเวอร์ Windows และบูตโหลดเดอร์ถูกยกเลิกแล้ว
    • Microsoft ยกเลิกบัญชีโดยไม่มีคำเตือนล่วงหน้าหรืออีเมลแจ้งเตือน และในข้อความยังระบุว่า ไม่สามารถยื่นอุทธรณ์ได้
    • เขาพยายามติดต่อ Microsoft ผ่านหลายช่องทางแต่ ได้รับเพียงข้อความตอบกลับอัตโนมัติ และยังไม่สามารถติดต่อผู้รับผิดชอบตัวจริงได้
    • ส่งผลให้ ไม่สามารถเผยแพร่อัปเดตเวอร์ชัน Windows ของ VeraCrypt ได้ และสร้างผลกระทบอย่างมากต่อการดำเนินโครงการ
    • แม้จะยังอัปเดตเวอร์ชัน Linux และ macOS ต่อไปได้ แต่ผลกระทบก็สูงมากเพราะ ผู้ใช้ส่วนใหญ่ใช้งาน Windows

  • การตอบสนองและข้อเสนอจากชุมชน

    • ผู้ใช้ Marty ระบุว่า Windows เวอร์ชันปัจจุบัน (1.26.24) ถูกเซ็นด้วยใบรับรองจากปี 2011 และกำลังจะหมดอายุในไม่ช้า พร้อมกังวลถึงปัญหา เมื่อใช้เวอร์ชันที่ไม่ได้เซ็นในสภาพแวดล้อม Secure Boot
    • AJ B แนะนำให้ใช้ แบบฟอร์มกู้คืนบัญชีและลิงก์ฝ่ายสนับสนุนลูกค้า บนหน้าสนับสนุนของ Microsoft รวมถึงแนะนำให้แจ้งเรื่องนี้ต่อสาธารณะผ่าน Reddit และ X (เดิมคือ Twitter)
    • Alex R เสนอว่าจะ แชร์ประเด็นนี้ผ่านช่องทางโซเชียลที่เกี่ยวข้องกับ Microsoft เพื่อเพิ่มการรับรู้ และ Idrassi ก็ ตอบรับข้อเสนอนี้ในเชิงบวก
    • 风之暇想 เสนอให้เพิ่ม โปรแกรมเข้ารหัสแบบ archive ที่ไม่ต้องพึ่งการเซ็นรับรอง เพื่อเป็นแนวทางรับมือกับปัญหาการเซ็นรับรอง

  • คำแนะนำเพิ่มเติมและความพยายามในการช่วยเหลือ

    • Phoenix กล่าวถึงความเป็นไปได้ที่บัญชีอาจถูกลบจาก การถูกรายงานว่าซอฟต์แวร์อาจถูกใช้ในกิจกรรมผิดกฎหมาย และเสนอ เวอร์ชันจำกัดชั่วคราวที่รองรับเฉพาะพาร์ทิชันที่ไม่ใช่ระบบ
    • Enigma2Illusion เสนอวิธี ส่งอีเมลถึง Satya Nadella ซีอีโอของ Microsoft โดยตรง อย่างเป็นรูปธรรม
      • พร้อมยก ตัวอย่างแบบฟอร์มจดหมาย ที่มีหัวข้ออีเมล เนื้อหา ภาพหน้าจอแนบ และข้อมูลติดต่อ
    • Preguntar Jeeves มองว่าบัญชีอาจไม่ได้ถูกลบถาวร แต่ อาจอยู่ในสถานะปิดใช้งาน และแนะนำให้ ติดต่อบุคคลในชุมชนสายเข้ารหัส สื่อมวลชน และนักการเมือง
      • บุคคลที่ถูกกล่าวถึง ได้แก่ Bruce Schneier, Chris Titus, Niels Ferguson, Rand Paul, Ron Wyden

  • กรณีคล้ายกันและความเป็นไปได้ในการแก้ไข

    • Pete Batard เปิดเผยว่าโครงการ Rufus ก็ เคยพบข้อผิดพลาดเดียวกันใน Microsoft Partner Center
      • ในกรณีของเขา การยืนยันอัตโนมัติหยุดทำงานเพราะการตรวจสอบ WHOIS ของผู้รับจดทะเบียนโดเมนล้มเหลว และ ปัญหาได้รับการแก้ไขหลังติดต่อทีมสนับสนุนของ Microsoft โดยตรง
      • เขาอธิบายว่าข้อความ “ไม่สามารถยื่นอุทธรณ์ได้” น่าจะเป็นข้อความอัตโนมัติที่แยกจากกระบวนการยืนยันธุรกิจจริง
      • เขา แก้ปัญหาได้หลังส่งเอกสารยืนยันการจดทะเบียนโดเมน และระบุว่ากรณีของ Idrassi ก็อาจมีสาเหตุคล้ายกัน

  • ความพยายามประสานงานผ่านเครือข่ายภายใน Microsoft

    • Rafael Rivera ระบุว่าสามารถ ช่วยส่งต่อปัญหานี้ผ่านเครือข่ายภายใน Microsoft ได้ และขอให้ส่งอีเมลมาแบ่งปันรายละเอียด
    • ผู้ใช้หลายคนในชุมชนต่าง แสดงความเห็นใจและสนับสนุนสถานการณ์ของ Idrassi พร้อมเสนอแนวทางช่วยเหลือทั้งด้าน เทคนิคและการขับเคลื่อนทางสังคม เพื่อช่วยให้โครงการเดินหน้าต่อไป

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 21 일 전
ความคิดเห็นจาก Hacker News

  • ตอนนี้ผมก็เจอปัญหาเดียวกันเกี่ยวกับ WireGuard อยู่
    บัญชีถูกระงับโดยไม่มีคำเตือนหรือการแจ้งเตือนใดๆ และตอนนี้กำลังอยู่ในขั้นตอน อุทธรณ์ ที่ใช้เวลา 60 วัน
    ถ้าเกิดมีช่องโหว่ RCE ขึ้นมาจริงและต้องปล่อยแพตช์ด่วนทันที Microsoft ก็คงมัดมือผมไว้หมดแล้ว
    ถ้ามีใครใน Microsoft ที่ช่วยได้ กรุณาติดต่อมา (jason at zx2c4 dot com)

    • พอเห็นสถานการณ์แบบนี้ ก็คิดว่าบริษัทอย่าง Microsoft, Google, Apple, Visa, Mastercard และอีกไม่นานก็คงรวมถึง OpenAI, Anthropic ควรถูก กำกับดูแลเหมือนสาธารณูปโภค
      การที่บริษัทเหล่านี้ปฏิเสธการให้บริการกับผู้ใช้ปกติน่าจะต้องเป็นเรื่องผิดกฎหมาย
      ในสหรัฐฯ อาจยากเพราะเหตุผลทางการเมือง แต่ใน EU ยังพอมีความเป็นไปได้
      คนนอก EU ก็อาจได้รับความคุ้มครองจากกฎระเบียบของ EU ผ่าน e-Residency ของเอสโตเนีย
    • ที่บัญชี Microsoft ของผู้สร้าง WireGuard ถูกระงับนี่เป็นเรื่องที่ น่าตกใจมาก
      มันดูเหมือน Microsoft กำลังพยายามขัดขวาง การเข้ารหัสเครือข่าย หรือ การเข้ารหัสดิสก์ ของผู้ใช้
    • ไม่อยากเชื่อว่านักพัฒนา WireGuard จะเจอสถานการณ์แบบนี้
      ทั้งที่ Microsoft ก็รองรับ WireGuard บน Azure Kubernetes Service อยู่แล้ว
    • /tinfoil time
      ระยะเวลา 60 วันนี้ทั้งยาวและสั้นอย่างประหลาด
      มันนานพอให้รัฐบาลสหรัฐฯ มีเวลาใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัย และหลังจากนั้น Microsoft ก็อาจกู้คืนให้พร้อมบอกว่า “เป็นความผิดพลาด”
      สุดท้ายมันเลยดูเหมือน กลยุทธ์ในการล็อกซอฟต์แวร์ความปลอดภัยไว้ชั่วคราว
    • เพราะกระทู้นี้ ผมก็เลยแชร์เรื่องที่เกี่ยวข้องไว้เป็น ทวีต ด้วย

  • ทวีตอัปเดต จากรองประธานของ Microsoft ก็น่าติดตาม

  • ตอนแรกก็แปลกใจแล้วที่นักพัฒนา Veracrypt เจอสถานการณ์แบบนี้ แต่ตอนนี้แม้แต่นักพัฒนา WireGuard ก็ยังโดน
    หรือ Microsoft กำลังใช้นโยบายใหม่เพื่อ กดโครงการโอเพนซอร์ส แล้วดันโซลูชันของตัวเองกันแน่?

    • น่าจะเป็นไปได้มากกว่าว่าเป็นผลจาก ระบบบล็อกอัตโนมัติ เพราะยอดดาวน์โหลดเพิ่มขึ้นอย่างกะทันหัน
      ช่วงนี้หลายบริษัทกำลังเข้มงวดเรื่องนี้เพื่อป้องกัน การกระจายแอปหลอกลวง ที่มุ่งเป้าไปยังผู้ใช้ที่ไม่เชี่ยวชาญ
      บริบทคล้ายกับเหตุผลที่ Google พยายามปิดกั้น sideloading
    • ใช่

  • ปัญหาแบบนี้ดูเหมือนต้องมี การรายงานของสื่อ ถึงจะถูกแก้ไข
    เหมือนตอนก่อนหน้านี้ที่ neocities ติดต่อ Bing ไม่ได้ ต้องให้สื่ออย่าง Ars Technica มาทำข่าว

    • ดูเหมือน Microsoft กำลังใช้อำนาจจาก สถานะกึ่งผูกขาด ในตลาด OS สำหรับผู้บริโภคในทางที่ผิด
      ถึงเวลาต้องมีมาตรการกำกับดูแลแล้ว
    • การแก้ได้เพราะสื่อรายงานเป็นแค่ ทางออกชั่วคราว เท่านั้น
      โครงสร้างการแจกจ่ายแอปทุกวันนี้ไม่ได้เป็นโมเดล “ผู้ใช้เลือก” อีกแล้ว แต่กลายเป็น ระบบ whitelist ที่บริษัทควบคุม
      นักพัฒนาเดี่ยวหรือนักพัฒนาโอเพนซอร์สต้องเผชิญกับ กระบวนการแบบ Kafkaesque, ค่าใช้จ่ายที่ไม่สมเหตุสมผล และเกณฑ์ที่ไม่โปร่งใส
      ตัวผมเองก็ถูกบล็อกการ ต่ออายุลายเซ็นโค้ด Digicert ของแอป Payload มาแล้ว 6 เดือน
      นี่ไม่ใช่แค่ปัญหาทางเทคนิค แต่เป็นปัญหาของ ระบบยืนยันตัวตนแบบผูกขาด
      มันแพงกว่า ยุ่งยากกว่า และคลุมเครือกว่ายุคก่อน Let’s Encrypt ของใบรับรอง SSL เสียอีก
    • วันนี้ผมก็ โพสต์เรื่องนี้บน X แบบเปิดเผย แล้ว

  • เรื่องนี้เหมือน กรณี LibreOffice ฉายซ้ำเลย
    บทความที่เกี่ยวข้อง ระบุว่า Microsoft เคยบล็อกเวอร์ชันพัฒนาของ LibreOffice

    • พอบังคับให้ผู้ใช้ต้องสร้างบัญชี Microsoft แล้วถ้าบัญชีนั้นถูกบล็อก ผู้ใช้ก็จะสูญเสีย สิทธิ์ในการเข้าถึงข้อมูลของตัวเอง ไปด้วย
      โครงสร้างแบบนี้อันตราย และเป็นอีกหนึ่ง เหตุผลให้ทิ้ง Windows
    • มันอาจไม่เกี่ยวกับกรณี LibreOffice โดยตรงก็ได้
      ระบบตรวจจับการใช้งานในทางที่ผิดแบบอัตโนมัติ ของ Microsoft ค่อนข้างเละเทะ เลยมีหลายกรณีที่บัญชีถูกล็อกโดยไม่มีเหตุผล
      ถ้าเป็นไปได้ อย่าใช้บัญชี MS กับงานสำคัญ และสำหรับ การเซ็น ก็ควรใช้ CA ภายนอกจะดีกว่า

  • ยังน่าสงสัยอยู่ดีว่าทำไมนักพัฒนา TrueCrypt ถึงหยุดโครงการกะทันหันและ แนะนำ BitLocker เป็นตัวแทน

    • เรื่องที่คนทั่วไปรู้กันคือ นักพัฒนาถูก จำคุกในข้อหาค้าอาวุธ
      ดู บทความวิกิของ Paul Le Roux
    • ผมก็สงสัยเหมือนกันว่าทำไม TrueCrypt ถึงถูก ตัดออกจาก Archive.org
      ลิงก์ archive
    • เป็นไปได้มากว่าเขา ปิดโครงการเองเพื่อไม่ยอมตามข้อเรียกร้องของรัฐบาล เหมือนกรณี Lavabit
    • เพราะผมมองว่าเรื่องนั้นมีพิรุธเหมือนกัน ทุกวันนี้เลยยัง ใช้ TrueCrypt อยู่

  • ดูจากสถานการณ์ตอนนี้แล้ว รู้สึกเหมือน Linux คือความหวังเดียว
    Windows หรือ macOS เสี่ยงและไม่มีประสิทธิภาพเกินไปสำหรับการใช้งานทางธุรกิจ

    • ในบางรัฐของสหรัฐฯ มีความเคลื่อนไหวที่จะใส่ ข้อกำหนดการยืนยันอายุ ในระดับ OS เพื่อทำให้การใช้ Linux ยากขึ้น
    • ก็หวังว่า Valve อาจจะไม่ได้หยุดแค่เกม แต่จะช่วย ขยายระบบนิเวศ Linux ด้วย
    • แต่ถึงอย่างนั้น สำหรับผู้ใช้ทั่วไปส่วนใหญ่ มันก็ยัง ใช้งานยาก อยู่ดี

  • ผมเดาว่า Microsoft กำลัง ทดสอบปฏิกิริยาของสาธารณชน
    ถ้ากระแสตีกลับแรง ก็จะบอกว่า “เป็นความผิดพลาด” แล้วคืนบัญชีให้ แต่ถ้ากระแสเบา ก็คงจะเริ่มบล็อกคีย์เซ็นของซอฟต์แวร์อย่าง VPN, torrent, ad blocker มากขึ้นเรื่อยๆ

    • สุดท้ายนี่ก็คือการเริ่มต้นอย่างจริงจังของกลยุทธ์ ‘enshittification’ ของ Microsoft
      การมีส่วนร่วมกับโอเพนซอร์สของพวกเขาไม่เคยมีเจตนาบริสุทธิ์ แต่เป็น การคำนวณทางธุรกิจ
      ตอนนี้พวกเขากำลังจะล็อก Windows ให้ปิดตายทั้งหมด และ GitHub กับ VSCode ก็อาจเดินไปในทางเดียวกัน

  • ฟีเจอร์บางอย่างของ Veracrypt ทำได้บน Windows เท่านั้น
    อย่างเช่น การเข้ารหัสพาร์ทิชันระบบทั้งหมด หรือ การติดตั้ง Hidden OS จะทำงานได้เฉพาะบน Windows แบบ MBR
    เคยหวังว่าเทคโนโลยี plausible deniability แบบนี้จะพัฒนาไปไกลกว่านี้ในระดับ OS แต่ตอนนี้แทบหายไปแล้ว
    สไลด์นำเสนอ BlackHat ก็มีความพยายามคล้ายกัน

    • แต่ถ้าทิ้ง Windows ไปตั้งแต่แรก ก็แทบไม่จำเป็นต้องใช้ Veracrypt แล้ว

  • Microsoft ปิดใช้งาน ใบรับรองการเซ็น ของนักพัฒนา ทำให้ไม่สามารถปล่อยรีลีสสำหรับ Windows ได้

    • แต่ก็ยังติดตั้งได้อยู่ แค่จะมี ข้อความเตือน ขึ้นมาเท่านั้น
    • ในฐานะคนที่กำลังเตรียมซอฟต์แวร์สำหรับเซ็นบน Windows กรณีแบบนี้ทำให้กังวลมาก
      ทำไมถึงต้องเพิกถอนใบรับรองของนักพัฒนาที่ผ่านการยืนยันตัวตนแล้ว?
      และก็สงสัยด้วยว่ามีวิธี ดำเนินการทางกฎหมาย กับการตัดสินใจแบบนี้หรือไม่?