Microsoft zablokovala open-source vývojářské účty: rizika pro VeraCrypt a WireGuard na Windows
Microsoft náhle zablokoval účty vývojářů klíčových open-source nástrojů — VeraCrypt, WireGuard, MemTest86 a Windscribe — v programu Windows Hardware Program. Bez digitálního podepsání ovladačů jsou aktualizace pro Windows nemožné, což hrozí bezpečnosti milionů uživatelů. Zvláště zranitelný je VeraCrypt kvůli blížícímu se zrušení certifikátu z roku 2011.
Chronologie incidentu
- března 2026 objevil tvůrce VeraCrypt Munir Idressi blokaci svého účtu v Microsoft Partner Center. Systém odmítl apelaci bez jakéhokoli vysvětlení. Podobně vývojář WireGuard Jason Donenfeld nemohl publikovat aktualizaci: účet byl zablokován a spuštěn 60denní proces odvolání.
Vývojáři zdůrazňují, že nebyli upozorněni. Microsoft zavedl povinnou verifikaci partnerů od 16. října 2025 — 30 dní na dokončení, poté automatická blokace. Písemná upozornění se podle zpráv posílala, ale příjemci je neviděli.
Viceprezident Microsoftu Scott Hanselman přes média kontaktoval postižené a slíbil řešení. Účty k datu události stále nebyly obnoveny.
Technické důsledky pro projekty
VeraCrypt: Aktuální verze 1.26.24 používá kořenový certifikát Microsoft Root Certificate Authority 2011, který bude zrušen v roce 2026. Bez nově podepsaného načítače nebude systémové šifrování (plné šifrování disku) fungovat s SecureBoot. Nesystémové svazky (kontejnery, oddíly) jsou ovlivněny méně.
WireGuard a Windscribe: Blokace zabraňuje vydání patchů pro Windows — hlavní platformy uživatelů. Kritická RCE-vulnerabilita vyžaduje 60 dní na opravu; aktualizace pro Linux/macOS jsou k dispozici.
MemTest86: Diagnostika RAM je ohrožena — bez podepsání nástroj se nepustí na systémech s SecureBoot.
- *Klíčová rizika:
- Zpoždění bezpečnostních patchů o více než 60 dní
- Selhání systémového šifrování VeraCrypt
- Závislost open-source na monopole Microsoftu při podepisování ovladačů
- Chybějící upozornění na verifikaci
Proč je SecureBoot a podepisování kritické
Program Windows Hardware Program vydává EV Code Signing Certificate pro ovladače a načítače. Bez něj programy neprojdou ověřením SecureBoot — standard na všech moderních počítačích. Microsoft ovládá kořenové klíče, čímž otevírá open-source projekty riziku administrativních chyb.
Kompromis: pohodlnost SecureBoot proti flexibilitě. Kompromis: bezpečnost dodávky proti rychlosti aktualizací.
Pro senior vývojáře: toto zdůrazňuje nutnost multiplatformní strategie. Testujte ovladače na WSL2 nebo virtuálních strojích, sledujte zrušení CA prostřednictvím dokumentace Microsoftu.
Doporučení pro uživatele a DevOps
- Zkontrolujte stav: VeraCrypt:
veracrypt --version. Pokud je 1.26.24 — poslední podepsaná verze. - Monitorujte: Sledujte repozitáře na SourceForge a GitHub.
- Alternativy: Pro systémové šifrování na Windows — BitLocker (nativní). VPN: OpenVPN s vlastním podepsáním (rizikové).
- Vývojářská strategie: Používejte CI/CD s fallback na nepodepsané ovladače pro testování; migrujte kritické úlohy na Linux.
- Dlouhodobý plán: Zvažte hardware bez SecureBoot nebo custom UEFI pro produkční prostředí.
Nainstalované verze fungují, ale bez patchů roste riziko. Pro VeraCrypt s systémovým šifrováním — priorita monitorování.
Co je důležité
- Automatická blokace účtů bez upozornění porušila řetězec aktualizací pro více než 4 projekty.
- VeraCrypt je ohrožen: zrušení CA-2011 způsobí selhání šifrování SecureBoot bez rychlé opravy.
- Závislost open-source na Microsoftu při podepisování je systémovým rizikem pro Windows ekosystém.
- Média urychlila reakci, ale procesy verifikace vyžadují vylepšení.
- Praxe: diverzifikujte platformy, sledujte zrušení certifikátů.
Globální lekce pro IT průmysl
Incident odhaluje kompromisy monopole v podepisování kódu: bezpečnost proti dostupnosti. Open-source s miliony uživatelů (VeraCrypt >10M stažení) nemůže záviset na propadnutých procesech jednoho dodavatele. Podobná rizika existují i u Apple notarization a Google Play politik.
Pro střední/senior vývojáře: implementujte upozorňování na seznamy zrušených certifikátů (CRL/OCSP). V produkci — dual-boot nastavení nebo kontejnerové alternativy.
— Editorial Team
Zatím žádné komentáře.