- Perangkat lunak enkripsi open source VeraCrypt sepenuhnya terblokir dari distribusi pembaruan Windows setelah akun mereka tiba-tiba dihentikan oleh Microsoft, menjadi contoh yang menyoroti kerentanan rantai pasok perangkat lunak open source yang bergantung pada perusahaan teknologi besar
- Pengembang VeraCrypt, Mounir Idrassi, menemukan bahwa pada pertengahan Januari akun penandatanganan driver dan bootloader Windows miliknya telah dihentikan tanpa peringatan sebelumnya, dan setelah itu ia mencoba menghubungi Microsoft namun hanya menerima balasan otomatis yang tampaknya dihasilkan AI
- Satu-satunya pesan resmi yang dikirim Microsoft hanyalah pemberitahuan "tidak memenuhi persyaratan", tetapi akun tersebut ditutup tanpa alasan spesifik maupun prosedur banding, dan tidak ada penjelasan sama sekali tentang persyaratan apa yang tiba-tiba tidak lagi dipenuhi
- Pengembang WireGuard, Jason Donenfeld, juga menyatakan menghadapi masalah yang sama, menunjukkan bahwa ini bukan persoalan yang terbatas pada VeraCrypt saja
- Pembaruan Linux·macOS masih bisa dilanjutkan, tetapi karena mayoritas pengguna berada di platform Windows, ketidakmampuan mendistribusikan versi Windows menjadi pukulan yang sangat serius bagi keseluruhan proyek
Apa itu VeraCrypt
- Alat open source untuk melindungi file dalam bentuk pembuatan partisi terenkripsi di drive atau volume terenkripsi terpisah
- Dibuat berdasarkan pendahulunya, TrueCrypt, dan juga menyediakan fitur volume ganda (hidden volume) untuk situasi ketika pengguna dipaksa menyerahkan kredensial
Kronologi kejadian
- Idrassi menjelaskan langsung di forum SourceForge alasan mengapa tidak ada aktivitas selama beberapa bulan
- Pada pertengahan Januari, ia mendapati akun penandatanganan driver dan bootloader Windows yang telah digunakan selama bertahun-tahun tiba-tiba tidak bisa lagi dipakai
- Tidak ada email maupun peringatan sebelumnya sama sekali, dan satu-satunya pesan yang diterima dari Microsoft hanya menyatakan bahwa ia "saat ini tidak memenuhi persyaratan"
- Pesan tersebut hanya berisi pemberitahuan bahwa banding tidak dimungkinkan dan bahwa pengajuan telah ditutup
- Tidak ada penjelasan sama sekali mengenai persyaratan apa yang mendadak tidak lagi dipenuhi oleh perusahaan Idrassi, IDRIX
Reaksi dan kekhawatiran pengembang
- Ia telah menghubungi tim dukungan Microsoft, tetapi hanya menerima balasan otomatis yang tampaknya dihasilkan AI
- Ia mengkritik keras minimnya komunikasi dari Microsoft, dengan menyatakan bahwa "setidaknya mereka seharusnya menjelaskan apa masalahnya"
- Ia juga menyoroti bahwa "jika tidak ada komunikasi saat keputusan seperti ini diambil, ketidakpastian terhadap masa depan akan membesar, dan balasan AI yang otomatis membuat proses ini terasa tidak manusiawi"
WireGuard juga mengalami hal yang sama
- Jason Donenfeld, pengembang klien VPN populer WireGuard, juga memposting masalah yang sama di Hacker News
- Ia menyebut, "tanpa peringatan, tanpa pemberitahuan, suatu hari saat saya login untuk mendistribusikan pembaruan, akun saya sudah dibekukan"
Dampak lebih luas
- Windows adalah platform yang digunakan mayoritas pengguna VeraCrypt, sehingga ketidakmampuan mendistribusikan pembaruan Windows menjadi pukulan fatal bagi proyek ini
- Pembaruan Linux·macOS masih dimungkinkan, tetapi dukungan untuk platform utama tetap terhenti
- Insiden ini menyoroti risiko rantai pasok yang bisa muncul ketika perangkat lunak open source bergantung, bahkan sebagian, pada infrastruktur perusahaan teknologi besar
- Microsoft tidak menanggapi permintaan komentar
5 komentar
Setiap kali melihat kejadian seperti ini, saya selalu merasa bahwa verifikasi tanda tangan seharusnya dilakukan oleh pengguna, bukan platform. Pengembang menandatangani dengan kunci mereka sendiri, lalu pengguna mengizinkan kunci dari pengembang tepercaya di perangkat mereka untuk digunakan.
Kalau tidak paham soal ini lalu meminta semuanya dibereskan otomatis, itu tidak masuk akal. Terlepas dari apakah seseorang tertarik pada komputer atau tidak, jika itu adalah sesuatu yang akan ia gunakan sendiri, ini adalah kebiasaan yang wajib dimiliki.
Jika memakai ponsel dan menggunakan internet, Anda tidak boleh langsung percaya begitu saja pada apa pun yang dikatakan halaman web, pesan, atau panggilan telepon; ini adalah pedoman dasar setingkat harus punya kemampuan untuk memilah dan memilih.
UI seperti Windows UAC, yang memungkinkan pengguna mengonfirmasi hanya dengan satu tombol apakah akan memercayai pengembang tertentu, mungkin cukup agar orang yang tidak memahami konsep penandatanganan kode dan kunci tetap bisa menggunakannya.
Karena jika bukan sertifikasi resmi, sertifikasi jahat bisa disalahgunakan..
Saya kurang paham maksud Anda.
Apakah maksud Anda pihak ketiga bisa menyalahgunakan otentikasi? Itu juga sama saja dengan sistem sertifikat saat ini. Malware pun datang dengan sertifikat yang biayanya ratusan ribu won per tahun.
Apakah maksudnya pengembangnya sendiri bisa menyalahgunakannya? Kalau begitu, sejak awal kode dan pengembangnya sendiri memang tidak dapat dipercaya. Memilih apa yang akan dipercaya adalah hak sekaligus kewajiban pengguna. Dengan logika seperti itu, seperti orang yang punya gangguan obsesif, dari OS sampai aplikasi paling ujung pun semuanya harus ditulis sendiri lalu dipakai sendiri.
Driver Windows sepertinya berbeda deh.
Komentar Hacker News
Setahun lalu saya menggunakan Azure Trusted Signing untuk mendistribusikan perangkat lunak FOSS untuk Windows
Saat itu, itu adalah cara termurah untuk mendistribusikan perangkat lunak gratis
Namun beberapa bulan lalu, saat memperbarui sertifikat, semua dokumen saya ditolak karena masalah verifikasi gagal, dan meskipun saya pengguna berbayar, saya tidak bisa berkomunikasi langsung dengan manusia
Pada akhirnya saya mendapatkan sertifikat dari SignPath.org, dan sejak itu saya sangat puas
Sempat dibuka untuk individu, lalu diubah menjadi hanya untuk perusahaan AS dengan nomor DUNS, lalu dibuka lagi untuk sebagian individu
Mungkin pernah ada insiden seseorang menyalahgunakan sertifikat Trusted Signing
Pagi ini, setelah melihat kasus VeraCrypt, saya jadi berpikir, “Apakah ini cara memaksa para pengembang masuk ke Trusted Signing?”
Ini mungkin agak bertentangan dengan semangat open source, tetapi jika Microsoft atau Google bertindak macam-macam, komunitas pasti akan bereaksi keras
Jika ada lembaga seperti FDroid yang menyediakan build yang dapat diaudit, distribusi bisa menjadi lebih tepercaya saat terjadi serangan rantai pasok
Namun lembaga seperti ini harus punya tata kelola dan pendanaan yang memadai
Saya rasa pemilik platform tidak boleh menentukan perangkat lunak apa yang boleh dijalankan
Penandatanganan perangkat lunak seharusnya didelegasikan ke pihak ketiga yang independen dan tidak memiliki konflik kepentingan
Inilah alasan Digital Markets Act ingin melindungi pengembang
Saya juga penasaran apakah masih ada kabar soal penyelidikan EU terhadap Apple
Hanya saja biayanya mahal, dan tidak perlu memakai alat milik Microsoft
Masalah ini bukan hanya menimpa VeraCrypt
Sejumlah pengembang driver Windows juga dipaksa keluar dari Partner Center tanpa penjelasan apa pun
Kasus terkait juga bisa dilihat di forum komunitas OSR
Windscribe juga menjadi kasus ketiga akun yang ditutup oleh Microsoft
Tweet terkait
Sisi gelap dari “Security as a Service” mulai terlihat
Microsoft menyederhanakan proses penandatanganan lewat Trusted Signing, tetapi sekaligus menciptakan single point of failure
Proyek FOSS penting seperti VeraCrypt diblokir oleh penandaan otomatis, tanpa jalur intervensi manusia sama sekali, adalah struktur yang rapuh
Secure Boot adalah fitur keamanan yang baik, tetapi tidak boleh berubah menjadi alat vendor lock-in akibat ketidakmampuan administratif
Di postingan sebelumnya, ada pendapat bahwa judul “Veracrypt project update” terlewat
Saya masih berharap suatu hari orang-orang menyadari bahwa penandatanganan executable dan Secure Boot bukanlah keamanan yang sesungguhnya, melainkan perangkat untuk mengontrol apa yang boleh dijalankan pengguna
Saya rasa asumsi mitigasi semacam ini tidak masuk akal pada komputer pribadi
Ini mempersulit penyalahgunaan driver berbahaya dan mengurangi infeksi bootkit
Pengguna juga bisa mendaftarkan kunci mereka sendiri
Memang benar Microsoft menggunakannya sebagai alat kontrol, tetapi itu bukan berarti fitur keamanannya sendiri bisa disangkal
Ini menjamin pencegahan modifikasi firmware dalam rantai pasok
Dua puluh tahun lalu sistem seperti ini tampak distopis, tetapi sekarang dianggap wajar
“Tivoization” yang diperingatkan Stallman pada akhirnya menjadi kenyataan
Ironis bahwa perusahaan yang mengendalikan rantai Secure Boot memblokir akun penandatanganan alat enkripsi disk
Seperti ungkapan “platform memberi, platform mengambil kembali”, jika distribusi bergantung pada itikad baik satu perusahaan, itu bukan distribusi yang sesungguhnya
Microsoft seharusnya sudah menyadari bahwa akun pengembang WireGuard juga ditutup
Ada kalimat, “Klien VPN populer WireGuard juga mengalami masalah yang sama”
Saya tidak paham kenapa mereka tidak просто membuat kunci penandatanganan sendiri lalu menyertakannya dalam installer
Memakai platform perantara seperti ini terasa seperti menjebak diri sendiri
Dari kasus Notepad++, kita bisa melihat seperti apa hasilnya