Microsoft uznał władze USA za zagrożenie tej samej klasy co cyberprzestępcy
Z dokumentów NSA, które dzięki Edwardowi Snowdenowi trafiły dowiadomości opinii publicznej, widać było, że relacje Microsoftu i NSAukładały się w swoim czasie bardzo dobrze. Gigant z Redmond miałpomóc amerykańskiej agencji w obejściu zabezpieczeń czatów na portaluOutlook.com, zapewnić dostęp do niezaszyfrowanej poczty w Hotmailu iplików przechowywanych w chmurze SkyDrive i ułatwić przechwytywaniewideokonferencji przez Skype. Na pewno przydatne było też forsowanieużycia szyfrów nie obsługujących Perfect Forward Secrecy, byułatwić NSA deszyfrowanie przechwyconego ruchu SSL. Teraz jednak, gdycała branża IT w oburzeniu odcina się od elektronicznej inwigilacji,a dostawcy usług internetowych na wyścigi wprowadzają coraz to nowezabezpieczenia, Microsoft nie chce być gorszy – ogłasza serięinicjatyw mających zabezpieczyć jego wewnętrzne sieci, jednocześnieprzedstawiając nową strategię bezpieczeństwa, w której federalneagencje USA zostają postawione na równi ze zwykłymicyberprzestępcami.Do końca 2014 roku ruch we wszystkich sieciach Microsoftu, zarównowewnętrznych jak i zewnętrznych, ma być w całości zaszyfrowany. BradSmith, główny doradca firmy i wiceprezes działu prawnegozapowiedział,że choć nie ma żadnych bezpośrednich dowodów na to, że NSAprzechwytywało komunikację użytkowników usług Microsoftu, to jednakfirma zabezpieczy zarówno platformy Software-as-a-Service jak iplatformy deweloperskie, zaszyfruje wszystkie treści użytkownikówprzechowywane na jej serwerach, a także dostarczy narzędzia, którepozwolą na zrobienie tego samego deweloperom piszącym aplikacjehostowane w chmurze Windows Azure. Redmond zadba również ozaszyfrowanie ruchu między jego usługami a innymi dostawcami chmurczy usług, w szczególności poczty elektronicznej, stosując do tegoTransport Layer Security. [img=key-skull]Co jednak najbardziej zaskakuje, Smith ogłosił, że Microsoftzwiększy przejrzystość kodu, aby pozwolić klientomweryfikowanie niewystępowania furtek w oprogramowaniu. Nie oznacza tooczywiście, że nagle Microsoft zacznie publikować swój kod, czy teżudostępniać go do publicznych audytów – tę przejrzystośćzagwarantować mają uruchamiane na całym świecie centraprzejrzystości, działające naanalogicznej zasadzie jak program dla klientów instytucjonalnych.Pozwala on upoważnionym osobom, które podpisały odpowiednie umowy opoufności, przyjrzeć się kodowi źródłowemu licznych produktówMicrosoftu. Nowe centra przejrzystości, uruchomione w Europie, obuAmerykach i Azji mają na takich warunkach zapewnić dostęp doszerszego zakresu produktów, niż było to wcześniej.Działaniom związanym z technikątowarzyszyć mają odpowiednie działania prawne. Brad Smithzapowiedział większe zaangażowanie na rzecz ochrony klientówMicrosoftu, w tym walkę przeciwko nakazom milczenia, jakie częstotowarzyszą sądowym nakazom udostępnienia danych klientów – niepozwalają one przestrzegającym prawa firmom poinformować nawet ofiarinwigilacji o tym, że ich dane zostały wydane odpowiednim służbom. Wtym wszystkim zaskakuje przede wszystkim terminologia, do którejwiceprezes Microsoftu sięgnął, zaliczając działania federalnychagencji USA do tej samej klasy zagrożeń, co zaawansowane złośliweoprogramowanie oraz cyberataki. Są to tzw. advancedpersistent threats (APT) –zorganizowane grupy napastników, których należy uważać za szkodliwychi niebezpiecznych w dłuższym okresie.Do tej pory amerykańskie firmyużywały zwykle tego określenia w odniesieniu do np. sponsorowanychprzez chińskie władze grup hakerskich. Określenie w ten sposób przezjedną z największych amerykańskich firm własnego rządu, jest czymśbez precedensu. Aby nikt nie miał zaś wątpliwości, że chodzi właśnieo decydentów z Waszyngtonu, Smith pisze: chcemy wszyscy żyćw świecie, który jest bezpieczny, ale też chcemy żyć w kraju, któryjest chroniony przez Konstytucję. Chcemy zapewnić, by kwestia dostępuwładzy [do informacji – przyp.red.] była rozstrzygana przezsądy, a nie dyktowana przez techniczną potęgę.Deklaracje te pod lupę wzięłaFree Software Foundation – i jak można się domyślić, nie jestzadowolona. Jej dyrektor wykonawczy John Sullivan stwierdził, żeobietnice Redmond są pozbawione znaczenia – i to nie ze względuna to, że polityka Microsoftu jest taka czy inna, ale dlatego, że kodoprogramowania Microsoftu jest ukryty przed tymi samymiużytkownikami, których Microsoft obiecuje chronić. Tymczasemwstawienie zamka do twojego własnego domu, do którego niedostajesz klucza, to nie jest system zabezpieczeń, to jest więzienie– podkreśliłSullivan.Wyśmiał także obietniceprzejrzystości, wyjaśniając, że definicje furtki dla Microsoftu sąinne, niż dla reszty świata. Przejrzystość w kwestii Windows to wpraktyce zlecane przez Microsoft raporty, lub też oferowanie dostępuludziom z zewnątrz do fragmentów kodu na wyjątkowo restrykcyjnychwarunkach. Nawet jeśli zauważy się wówczas furtkę, to nic to nie da –bo nie masz prawa jej zamknąć.Sullivan przypomina więc radęCaspara Bowdena, pracującego przez dziewięć lat jako doradca ds.bezpieczeństwa dla zagranicznych oddziałów Microsoftu, który wewrześniu tego roku przyznał, że Microsoftowi nie ufa, a terazkorzysta już tylko z oprogramowania o otwartym kodzie źródłowym (atakże od dwóch lat nie korzysta już z telefonów komórkowych).Zaprasza więc wszystkich do uwolnienia swojego komputera w ramachakcji „Closewindows, open doors”.Jak do tej pory ani NSA, aniadministracja federalna USA nie skomentowały uznania ich przezMicrosoft za advanced persistent threats.
