Powrót do strony głównej

Blokada kont VeraCrypt WireGuard Microsoft

Microsoft zablokowała konta deweloperów VeraCrypt, WireGuard i innych w Windows Hardware Program z powodu nieweryfikowanych profili. To sparaliżowało aktualizacje sterowników, szczególnie krytyczne dla szyfrowania systemowego VeraCrypt przed wycofaniem CA-2011. Analiza ryzyk, trade-offs i rekomendacji dla deweloperów.

Microsoft zamroziła VeraCrypt i WireGuard: co czeka Windows
Advertisement 728x90

Microsoft zablokował konta open-source: zagrożenie dla VeraCrypt i WireGuard na Windows

Microsoft nagłym ruchem zablokował konta twórców kluczowych narzędzi open-source — VeraCrypt, WireGuard, MemTest86 oraz Windscribe — w programie Windows Hardware Program. Bez cyfrowego podpisu driverów aktualizacje dla systemu Windows są niemożliwe, co stanowi poważne zagrożenie dla bezpieczeństwa milionów użytkowników. Szczególnie narażony jest VeraCrypt ze względu na zbliżający się wycofanie certyfikatu z 2011 roku.

Chronologia incydentu

30 marca 2026 roku twórca VeraCrypt, Munir Idrassi, odkrył blokadę konta w Microsoft Partner Center. System automatycznie odrzucił apelację bez podania przyczyny. Podobnie maintainer WireGuard, Jason Donenfeld, nie mógł opublikować aktualizacji — konto było zablokowane, a rozpoczęto 60-dniowy proces odwołania.

Deweloperzy podkreślają brak jakiejkolwiek informacji. Od 16 października 2025 roku Microsoft wprowadził obowiązkową weryfikację partnerów — 30 dni na przejście, po czym nastąpiła automatyczna blokada. Przypuszczalnie wiadomości były wysyłane, ale nie dotarły do odbiorców.

Google AdInline article slot

Wiceprezes Microsoftu Scott Hanselman po publikacjach w mediach skontaktował się z dotkniętymi osobami, obiecując rozwiązanie. Konta w momencie zdarzenia nadal nie zostały przywrócone.

Skutki techniczne dla projektów

VeraCrypt: Aktualna wersja 1.26.24 używa korzeniowego certyfikatu Microsoft Root Certificate Authority 2011, który zostanie wycofany w 2026 roku. Bez nowego podpisanego loadera szyfrowanie dysku (full disk encryption) przestanie działać przy SecureBoot. Tomy nie-systemowe (kontenery, partycje) są mniej dotknięte.

WireGuard i Windscribe: Blokada uniemożliwia publikację poprawek dla Windows — głównej platformy użytkowników. Krytyczna luka RCE wymaga 60 dni na naprawę, aktualizacje dla Linuxa/macOS są już dostępne.

Google AdInline article slot

MemTest86: Diagnostyka pamięci RAM jest zagrożona — bez podpisu narzędzie nie uruchomi się na systemach z SecureBoot.

  • Główne ryzyka:

- Opóźnienie poprawek bezpieczeństwa o ponad 60 dni

- Zawieszenie szyfrowania systemowego VeraCrypt

Google AdInline article slot

- Zależność od monopoli Microsoftu w podpisie driverów

- Brak ostrzeżeń o weryfikacji

Dlaczego SecureBoot i podpis są krytyczne

Program Windows Hardware Program wydaje EV Code Signing Certificate dla driverów i loaderów. Bez niego aplikacje nie przechodzą sprawdzania SecureBoot — standardu obowiązującego na wszystkich nowoczesnych komputerach. Microsoft kontroluje klucze główne, co sprawia, że projekty open-source są narażone na błędy administracyjne.

Kompromis: wygoda SecureBoot przeciwko elastyczności. Deweloperzy muszą polegać na dostawcy, którego procesy są zautomatyzowane bez ludzkiego nadzoru. Trade-off — bezpieczeństwo łańcucha dostaw vs szybkość aktualizacji.

Dla seniorów: to podkreśla konieczność strategii wieloplatformowej. Testujcie drivery w WSL2 lub maszynach wirtualnych, monitorujcie wycofania CA przez dokumentację Microsoftu.

Zalecenia dla użytkowników i devops

  • Sprawdź status: VeraCrypt: veracrypt --version. Jeśli wersja to 1.26.24 — ostatnia podpisana.
  • Monitoruj: Śledź repozytoria SourceForge i GitHub projektów.
  • Alternatywy: Do szyfrowania systemowego na Windows — BitLocker (wbudowany). VPN: OpenVPN z własnym certyfikatem (ryzyko).
  • Strategia deweloperska: Używaj CI/CD z fallbackem na niepodpisane drivery w testach; migruj krytyczne zadania na Linux.
  • Długoterminowa strategia: Rozważ sprzęt bez SecureBoot lub niestandardowy UEFI dla środowiska produkcyjnego.

Zainstalowane wersje działają, ale bez aktualizacji ryzyko rośnie. Dla VeraCrypt z szyfrowaniem systemowym — priorytetowe monitorowanie.

Co ważne

  • Automatyczna blokada kont bez ostrzeżeń naruszyła łańcuch aktualizacji dla 4+ projektów.
  • VeraCrypt jest zagrożony: wycofanie CA-2011 spowoduje awarię szyfrowania SecureBoot bez szybkiej naprawy.
  • Zależność open-source od podpisu Microsoftu to systemowe ryzyko dla ekosystemu Windows.
  • Presja medialna przyspieszyła reakcję, ale procesy weryfikacji wymagają ulepszeń.
  • Praktyka: dywersyfikuj platformy, monitoruj wycofania certyfikatów.

Ogólne lekcje dla branży IT

Incydent ujawnił kompromisy monopolu w podpisie kodu: bezpieczeństwo przeciwko dostępności. Projekty open-source z milionami użytkowników (VeraCrypt >10M pobrania) nie mogą zależeć od przejrzystych procesów jednego dostawcy. Podobne ryzyka występują w Apple notarization i zasadach Google Play.

Dla deweloperów średniozaawansowanych i seniorów: wdrażaj alerty na listy wycofania certyfikatów (CRL/OCSP). W środowisku produkcyjnym — dual-boot lub alternatywy kontenerowe.

— Editorial Team

Advertisement 728x90

Czytaj dalej