r   e   k   l   a   m   a
r   e   k   l   a   m   a

Microsoft uznał władze USA za zagrożenie tej samej klasy co cyberprzestępcy

Strona główna AktualnościINTERNET

Z dokumentów NSA, które dzięki Edwardowi Snowdenowi trafiły do wiadomości opinii publicznej, widać było, że relacje Microsoftu i NSA układały się w swoim czasie bardzo dobrze. Gigant z Redmond miał pomóc amerykańskiej agencji w obejściu zabezpieczeń czatów na portalu Outlook.com, zapewnić dostęp do niezaszyfrowanej poczty w Hotmailu i plików przechowywanych w chmurze SkyDrive i ułatwić przechwytywanie wideokonferencji przez Skype. Na pewno przydatne było też forsowanie użycia szyfrów nie obsługujących Perfect Forward Secrecy, by ułatwić NSA deszyfrowanie przechwyconego ruchu SSL. Teraz jednak, gdy cała branża IT w oburzeniu odcina się od elektronicznej inwigilacji, a dostawcy usług internetowych na wyścigi wprowadzają coraz to nowe zabezpieczenia, Microsoft nie chce być gorszy – ogłasza serię inicjatyw mających zabezpieczyć jego wewnętrzne sieci, jednocześnie przedstawiając nową strategię bezpieczeństwa, w której federalne agencje USA zostają postawione na równi ze zwykłymi cyberprzestępcami.

Do końca 2014 roku ruch we wszystkich sieciach Microsoftu, zarówno wewnętrznych jak i zewnętrznych, ma być w całości zaszyfrowany. Brad Smith, główny doradca firmy i wiceprezes działu prawnego zapowiedział, że choć nie ma żadnych bezpośrednich dowodów na to, że NSA przechwytywało komunikację użytkowników usług Microsoftu, to jednak firma zabezpieczy zarówno platformy Software-as-a-Service jak i platformy deweloperskie, zaszyfruje wszystkie treści użytkowników przechowywane na jej serwerach, a także dostarczy narzędzia, które pozwolą na zrobienie tego samego deweloperom piszącym aplikacje hostowane w chmurze Windows Azure. Redmond zadba również o zaszyfrowanie ruchu między jego usługami a innymi dostawcami chmur czy usług, w szczególności poczty elektronicznej, stosując do tego Transport Layer Security.

Co jednak najbardziej zaskakuje, Smith ogłosił, że Microsoft zwiększy przejrzystość kodu, aby pozwolić klientom weryfikowanie niewystępowania furtek w oprogramowaniu. Nie oznacza to oczywiście, że nagle Microsoft zacznie publikować swój kod, czy też udostępniać go do publicznych audytów – tę przejrzystość zagwarantować mają uruchamiane na całym świecie centra przejrzystości, działające na analogicznej zasadzie jak program dla klientów instytucjonalnych. Pozwala on upoważnionym osobom, które podpisały odpowiednie umowy o poufności, przyjrzeć się kodowi źródłowemu licznych produktów Microsoftu. Nowe centra przejrzystości, uruchomione w Europie, obu Amerykach i Azji mają na takich warunkach zapewnić dostęp do szerszego zakresu produktów, niż było to wcześniej.

Działaniom związanym z techniką towarzyszyć mają odpowiednie działania prawne. Brad Smith zapowiedział większe zaangażowanie na rzecz ochrony klientów Microsoftu, w tym walkę przeciwko nakazom milczenia, jakie często towarzyszą sądowym nakazom udostępnienia danych klientów – nie pozwalają one przestrzegającym prawa firmom poinformować nawet ofiar inwigilacji o tym, że ich dane zostały wydane odpowiednim służbom. W tym wszystkim zaskakuje przede wszystkim terminologia, do której wiceprezes Microsoftu sięgnął, zaliczając działania federalnych agencji USA do tej samej klasy zagrożeń, co zaawansowane złośliwe oprogramowanie oraz cyberataki. Są to tzw. advanced persistent threats (APT) – zorganizowane grupy napastników, których należy uważać za szkodliwych i niebezpiecznych w dłuższym okresie.

Do tej pory amerykańskie firmy używały zwykle tego określenia w odniesieniu do np. sponsorowanych przez chińskie władze grup hakerskich. Określenie w ten sposób przez jedną z największych amerykańskich firm własnego rządu, jest czymś bez precedensu. Aby nikt nie miał zaś wątpliwości, że chodzi właśnie o decydentów z Waszyngtonu, Smith pisze: chcemy wszyscy żyć w świecie, który jest bezpieczny, ale też chcemy żyć w kraju, który jest chroniony przez Konstytucję. Chcemy zapewnić, by kwestia dostępu władzy [do informacji – przyp.red.] była rozstrzygana przez sądy, a nie dyktowana przez techniczną potęgę.

Deklaracje te pod lupę wzięła Free Software Foundation – i jak można się domyślić, nie jest zadowolona. Jej dyrektor wykonawczy John Sullivan stwierdził, że obietnice Redmond są pozbawione znaczenia – i to nie ze względu na to, że polityka Microsoftu jest taka czy inna, ale dlatego, że kod oprogramowania Microsoftu jest ukryty przed tymi samymi użytkownikami, których Microsoft obiecuje chronić. Tymczasem wstawienie zamka do twojego własnego domu, do którego nie dostajesz klucza, to nie jest system zabezpieczeń, to jest więzienie podkreślił Sullivan.

Wyśmiał także obietnice przejrzystości, wyjaśniając, że definicje furtki dla Microsoftu są inne, niż dla reszty świata. Przejrzystość w kwestii Windows to w praktyce zlecane przez Microsoft raporty, lub też oferowanie dostępu ludziom z zewnątrz do fragmentów kodu na wyjątkowo restrykcyjnych warunkach. Nawet jeśli zauważy się wówczas furtkę, to nic to nie da – bo nie masz prawa jej zamknąć.

Sullivan przypomina więc radę Caspara Bowdena, pracującego przez dziewięć lat jako doradca ds. bezpieczeństwa dla zagranicznych oddziałów Microsoftu, który we wrześniu tego roku przyznał, że Microsoftowi nie ufa, a teraz korzysta już tylko z oprogramowania o otwartym kodzie źródłowym (a także od dwóch lat nie korzysta już z telefonów komórkowych). Zaprasza więc wszystkich do uwolnienia swojego komputera w ramach akcji „Close windows, open doors”.

Jak do tej pory ani NSA, ani administracja federalna USA nie skomentowały uznania ich przez Microsoft za advanced persistent threats.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.