Η Microsoft κλείδωσε λογαριασμούς βασικών προγραμματιστών ανοιχτού κώδικα, εμποδίζοντας κρίσιμες ενημερώσεις ασφαλείας για Windows. Στο στόχαστρο βρέθηκαν WireGuard, VeraCrypt και Windscribe.
Σε μια εξέλιξη που προκαλεί ανησυχία στην παγκόσμια κοινότητα κυβερνοασφάλειας, ο δημιουργός του δημοφιλούς λογισμικού VPN WireGuard καταγγέλλει ότι η Microsoft κλείδωσε τον λογαριασμό του στο πρόγραμμα Windows Hardware Program, με αποτέλεσμα να μην μπορεί να υπογράφει drivers ούτε να διανέμει ενημερώσεις στους χρήστες Windows.
Κλειδωμένοι λογαριασμοί, παγωμένες ενημερώσεις
Ο Jason Donenfeld, δημιουργός του ανοιχτού λογισμικού WireGuard, δήλωσε ότι ο λογαριασμός του στο developer περιβάλλον της Microsoft έχει τεθεί σε καθεστώς «access restricted». Αυτό σημαίνει ότι δεν μπορεί να στείλει νέες εκδόσεις drivers για έλεγχο και υπογραφή, διαδικασία απαραίτητη ώστε οι ενημερώσεις να φτάσουν νόμιμα και με ασφάλεια στους χρήστες Windows.
Ο Donenfeld τόνισε ότι, εάν προέκυπτε μια κρίσιμη ευπάθεια, οι χρήστες θα έμεναν «εντελώς εκτεθειμένοι», καθώς δεν θα υπήρχε τρόπος άμεσης διάθεσης διορθωτικής ενημέρωσης. Το WireGuard χρησιμοποιείται ως βάση για πολλές εμπορικές υπηρεσίες VPN, όπως οι Proton και Tailscale, και η αξιοπιστία του κώδικα του αποτελεί κρίσιμο στοιχείο για την ασφάλεια εκατομμυρίων συνδέσεων διεθνώς.
Το περιστατικό δεν είναι μεμονωμένο. Αντίστοιχο πρόβλημα αντιμετωπίζει και ο δημιουργός του λογισμικού κρυπτογράφησης VeraCrypt, Mounir Idrassi. Ο Idrassi ανέφερε ότι το κλείδωμα του λογαριασμού του δεν του επιτρέπει να ανανεώσει εγκαίρως πιστοποιητικά, κάτι που μπορεί να οδηγήσει ακόμη και σε αδυναμία εκκίνησης συστημάτων για ορισμένους χρήστες.
Η πολιτική επαλήθευσης της Microsoft και τα κενά της
Στην καρδιά του προβλήματος βρίσκεται ένα πρόγραμμα υποχρεωτικής επαλήθευσης ταυτότητας για συμμετέχοντες στο Windows Hardware Program. Η Microsoft απαιτεί από τους προγραμματιστές να ανεβάσουν επίσημο κρατικό έγγραφο ταυτοποίησης, ώστε να μειωθεί ο κίνδυνος κακόβουλων drivers, οι οποίοι ιστορικά έχουν αξιοποιηθεί από κυβερνοεγκληματίες για βαθιά πρόσβαση σε συστήματα.
Σύμφωνα με τον Donenfeld, η σχετική διαδικασία επαλήθευσης ολοκληρώθηκε επιτυχώς από τρίτο πάροχο που συνεργάζεται με τη Microsoft, ωστόσο ο λογαριασμός του παρέμεινε κλειδωμένος. Επιπλέον, υποστηρίζει ότι δεν έλαβε ποτέ ειδοποίηση για την έναρξη ή τη λήξη της προθεσμίας επαλήθευσης, παρά τις εκτεταμένες αναζητήσεις του σε εισερχόμενα και spam.
Η σελίδα τεκμηρίωσης της Microsoft αναφέρει ότι το πρόγραμμα επαλήθευσης «έχει πλέον ολοκληρωθεί» και ότι οι λογαριασμοί που δεν συμμορφώθηκαν εγκαίρως έχουν τεθεί σε αναστολή, με αποτέλεσμα να μην μπορούν να στέλνουν ενημερώσεις. Στην περίπτωση του Donenfeld, η υπόθεση έχει διαβιβαστεί στην executive support ομάδα της Microsoft, με χρονικό ορίζοντα έως και 60 ημέρες για αξιολόγηση – ένα διάστημα ιδιαίτερα μεγάλο για κρίσιμες υποδομές ασφαλείας.
Ευρύτερες επιπτώσεις για το οικοσύστημα ανοιχτού κώδικα
Στο ίδιο πλαίσιο, η εταιρεία Windscribe, που προσφέρει VPN και εργαλεία ιδιωτικότητας για καταναλωτές, ανακοίνωσε ότι ο λογαριασμός της στο Partner Center της Microsoft έχει επίσης κλειδωθεί, παρά το γεγονός ότι ήταν επαληθευμένος για πάνω από οκτώ χρόνια. Η εταιρεία κάνει λόγο για «ανύπαρκτη υποστήριξη» και δημόσια αναζητά επαφή με «έναν άνθρωπο με μυαλό στη Microsoft που να μπορεί να βοηθήσει».
Τα περιστατικά αυτά αναδεικνύουν μια βαθιά δομική ένταση: από τη μία η ανάγκη αυστηρού ελέγχου drivers και λογισμικού χαμηλού επιπέδου, από την άλλη η εξάρτηση κρίσιμων έργων ανοιχτού κώδικα από τις ιδιωτικές πλατφόρμες γιγάντων όπως η Microsoft. Όταν η διαδικασία επαλήθευσης είναι αδιαφανής ή δυσλειτουργική, ο κίνδυνος δεν είναι θεωρητικός: καθυστερήσεις ή αδυναμία διάθεσης ενημερώσεων μπορούν να μετατραπούν σε πραγματικές τρύπες ασφαλείας για επιχειρήσεις και ιδιώτες.
Μέχρι το βράδυ της Τετάρτης, ο Donenfeld ανέφερε ότι είχε επιτέλους άμεση επικοινωνία με τη Microsoft και εξέφρασε την ελπίδα ότι το ζήτημα θα λυθεί σύντομα. Ωστόσο, η υπόθεση ήδη εγείρει ερωτήματα για το κατά πόσο μια κεντρικοποιημένη αρχιτεκτονική εμπιστοσύνης, ελεγχόμενη από μια μόνο εταιρεία, μπορεί να συνυπάρξει χωρίς τριβές με το αποκεντρωμένο μοντέλο του ανοιχτού κώδικα.
Σχόλιο 
: Η υπόθεση WireGuard–VeraCrypt δείχνει πόσο επικίνδυνο είναι, για την παγκόσμια ασφάλεια, όταν κρίσιμα έργα ανοιχτού κώδικα εξαρτώνται από τις διαδικασίες συμμόρφωσης ενός μόνο τεχνολογικού κολοσσού. Η Microsoft επιχειρεί να θωρακίσει το οικοσύστημα drivers, αλλά η έλλειψη διαφάνειας, προειδοποίησης και γρήγορης υποστήριξης μετατρέπει ένα εργαλείο ασφάλειας σε δυνητικό σημείο αποτυχίας. Για κυβερνήσεις, επιχειρήσεις και παρόχους υπηρεσιών –συμπεριλαμβανομένων ελληνικών– το μήνυμα είναι σαφές: η διαφοροποίηση πλατφορμών και η ύπαρξη εναλλακτικών καναλιών διανομής ενημερώσεων δεν είναι πολυτέλεια, αλλά προϋπόθεση ανθεκτικότητας.
#Microsoft #WireGuard #VeraCrypt #VPN #Windows #κυβερνοασφάλεια #opensource
