Can
You Trust Microsoft With Your Company Secrets?
Published 14:12, 17 July
13, by Glyn
Moody
Bài được đưa lên
Internet ngày: 13/07/2013
Lời
người dịch: Trích đoạn: “Điều đó ngụ ý rằng bất
kỳ công ty nào không phải của Mỹ đang sử dụng các
sản phẩm của Microsoft đều có rủi ro các bí mật tập
đoàn của mình được truyền tới các đối thủ Mỹ,
với khả năng gây ra các hậu quả tài chính nghiêm trọng.
Bao lâu rồi, trước khi các nhà đầu tư đóng góp bắt
đầu kiện các công ty về việc tiếp tục cẩu thả sử
dụng các sản phẩm của Microsoft? Bao lâu rồi trước
khi các công ty bắt đầu nhận thức ra được thực tế
rằng trong các tài khoản của công ty, khi sự hiện diện
của những gì chỉ có thể được gọi là phần mềm
gián điệp phải được công bố như một rủi ro vận
hành cho tương lai - một điều có thể gây ra cho công ty
thất bại một cách thảm hại?”, “Microsoft không chỉ
chào các ưu thế không thực tế so với các phần mềm tự
do tương đương khi nói về hiệu năng, giá thành, độ
đàn hồi và sức mạnh, mà rằng nó thể hiện một khả
năng tổn thương nghiêm trọng tiềm tàng cho thông tin bí
mật của công ty, làm cho sự sử dụng của nguồn mở
càng cuốn hút hơn. Câu hỏi bây giờ rõ ràng là không
phải: vì sao một công ty có thể sử dụng nguồn mở? Mà
là: liệu một công ty lành mạnh có thể sử dụng bất
kỳ thứ gì khác?”. Xem thêm: 'Chương
trình gián điệp PRISM trên không gian mạng'.
Khoảng một tháng
trước, tôi đã viết về thực tế khác thường rằng
Microsoft thường xuyên chuyển các khai thác lỗi ngày số
0 (zero day) trong các ứng dụng của hãng cho chính phủ Mỹ
để sau đó sử dụng trong cửa sổ hẹp trước khi chúng
được công bố và được cài cắm. Sự cho phép đó là
vì các chính phủ và công ty “nước ngoài” sẽ bị
ngắm đích và các mức truy cập khác nhau sẽ giành được
theo một cách thức mà khó chống lại được.
Tuy nhiên, điều đó
làm cho các công ty với hy vọng rằng ít nhất các sự
truyền và nội dung được mã hóa vẫn giữ được bảo
vệ, thậm chí với các sản phẩm của Microsoft. Nhưng một
câu
chuyện gần đây từ tờ Gardian, dựa vào thông tin do
Edward Snowden cung cấp, bây giờ dường như thậm chí đặt
điều đó vào sự nghi ngờ:
- Microsoft đã giúp NSA phá mật mã của hãng để giải quyết những lo lắng rằng cơ quan đó có thể không có khả năng can thiệp vào web chat trên cổng mới Outlook.com.
- Cơ quan đó đã có được sự truy cập vào giai đoạn trước khi mã hóa tới thư điện tử trên Outlook.com, bao gồm cả Hotmail;
- Hãng đó đã làm việc với FBI năm nay để cho phép NSA truy cập dễ dàng hơn thông qua PRISM tới dịch vụ lưu trữ đám mây của hãng SkyDrive, mà nó bây giờ có hơn 250 triệu người sử dụng trên toàn thế giới.
- Microsoft cũng đã làm việc với Đơn vị Can thiệp Dữ liệu của FBI để “hiểu” các vấn đề tiềm tàng với một tính năng trong Outlook.com mà cho phép những người sử dụng tạo các tên hiệu (aliases) cho thư điện tử.
- Vào tháng 7/2012, 9 tháng sau khi Microsoft mua Skype, NSA đã khoe khoang rằng một khả năng mới đã làm tăng gấp 3 lần số lượng các cuộc gọi video của Skype thu thập được qua PRISM.
- Tư liệu thu thập được qua PRISM thường xuyên được chia sẻ với FBI và CIA, với một tài liệu của NSA mô tả chương trình này như là một “đội thể thao”.
Bài viết trên tờ
Gardian sau đó tiếp tục điền thêm một số chi tiết.
About
a month ago, I wrote
about the extraordinary fact that Microsoft routinely hands over
zero-day exploits in its applications to the US government for the
latter to use in the short window before they are announced and
plugged. On thing that allows is for "foreign" governments
and companies to be targetted and various levels of access to be
gained in a way that is hard to protect against.
However,
that does leave companies with the hope that at least encrypted
transmissions and content remains protected, even with Microsoft
products. But a recent story
from the Guardian, based on information supplied by Edward Snowden,
now seems to place even that in doubt:
Microsoft
helped the NSA to circumvent its encryption to address concerns that
the agency would be unable to intercept web chats on the new
Outlook.com portal;
The
agency already had pre-encryption stage access to email on
Outlook.com, including Hotmail;
The
company worked with the FBI this year to allow the NSA easier access
via Prism to its cloud storage service SkyDrive, which now has more
than 250 million users worldwide;
Microsoft
also worked with the FBI's Data Intercept Unit to "understand"
potential issues with a feature in Outlook.com that allows users to
create email aliases;
In
July last year, nine months after Microsoft bought Skype, the NSA
boasted that a new capability had tripled the amount of Skype video
calls being collected through Prism;
Material
collected through Prism is routinely shared with the FBI andCIA, with
one NSA document describing the program as a "team sport".
The
Guardian article then goes on to fill in some of the details.
Microsoft has naturally
been scrambling
to limit the damage from this claim. Here are some of the key points
from its post:
Microsoft đã và đang
xáo
trộn một cách bản năng để hạn chế thiệt hại từ
tố cáo này. Đây là một số điểm chính từ bài viết
của hãng:
Outlook.com (trước
kia là Hotmail): Chúng tôi
không cung cấp cho bất kỳ chính phủ nào sự truy cập
trực tiếp tới các thư điện tử hoặc thông điệp tức
thì (chat). Chấm hết.
Lời tố cáo truy cập “trực tiếp”, đã thu gom được
trong các rò rỉ sớm nhất từ Snowden, vẫn còn là một
trong những điều được tranh cãi gay gắt nhất. Snowden
đã không chỉ lặp đi lặp lại lời tố cáo đó, mà còn
nói rằng các công ty mà từ chối nó - không chỉ
Microsoft, mà cả Google và các công ty khác cũng vậy - đang
làm kinh tế với sự thật.
Trong
mọi trường hợp, chúng tôi biết rằng NSA có sự truy
cạp tới toàn bộ dòng Internet khi nó đi vào nước Mỹ
và các quốc gia khác như Anh và giám sát và lưu trữ mọi
thứ. Điều đó có nghĩa là NSA chỉ cần các khóa mật
mã, chứ không phải các dữ liệu, thứ mà nó đã có
rồi. Trên mặt
trận này, Microsoft đã nói như sau:
Phải
rõ là, chúng tôi không cung cấp cho bất kỳ chính phủ
nào với khả năng để phá mật mã, chúng tôi cũng không
cung cấp cho chính phủ các khóa mật mã. Khi chúng tôi có
bổn phận pháp lý phải tuân thủ các yeu cầu, chúng tôi
kéo các nội dung được chỉ định từ các máy chủ của
chúng tôi, nơi mà nó nằm trong một trạng thái không được
mã hóa, và sau đó chúng tôi cung cấp nó cho cơ quan chính
phủ.
Bình luận sau là thú vị, vì nó có nghĩa là nếu NSA có
được sự truy cập tới các máy chủ của Microsoft theo
một vài cách không chính thống - một cách mà có thể
được phân loại thành “không trực tiếp” - thì nó
thậm thí không cần các khóa mật mã để đọc được
những thứ đó.
Bình luận về SkyDriver là tương tự:
SkyDrive:
Chúng tôi trả lời các yêu cầu pháp lý của chính phủ
về các dữ liệu được lưu trữ trong SkyDrive theo cách y
hệt. Tất cả các nhà cung cấp các dạng dịch vụ lưu
trữ đó luôn phải tuân theo các bổn phận pháp lý để
cung cấp các nội dung được lưu trữ khi họ nhận được
các yêu cầu pháp lý phù hợp. Trong năm 2013 chúng tôi đã
thực hiện những thay đổi cho các qui trình của chúng
tôi để có khả năng tiếp tục tuân thủ với một số
lượng ngày một gia tăng các yêu cầu pháp lý cho các
chính phủ trên thế giới. Không có những thay đổi nào
được cung cấp cho bất kỳ chính phủ nào với sự truy
cập trực tiếp tới SkyDrive.
Outlook.com
(formerly Hotmail): We do not provide any government with direct
access to emails or instant messages. Full stop.
This
"direct" access claim, which cropped up in the earliest
leaks from Snowden, is still one of the most bitterly contested.
Snowden has not only repeated the claim, but also said that the
companies that deny it - not just Microsoft, but Google and others
too - are being economical with the truth.
In
any case, we know that the NSA has access to the entire Internet
stream as it enters the US and other countries like the UK that
monitor and store everything. That means the NSA only needs the
encryption keys, not the data, which it already has. On this front,
Microsoft has the following to say:
To
be clear, we do not provide any government with the ability to break
the encryption, nor do we provide the government with the encryption
keys. When we are legally obligated to comply with demands, we pull
the specified content from our servers where it sits in an
unencrypted state, and then we provide it to the government agency.
That
last comment is interesting, because it means that if the NSA has
access to Microsoft's servers in some unorthodox way - one that can
be classed as "indirect" - it wouldn't even need the
encryption keys to read stuff.
The
comment about SkyDrive is similar:
SkyDrive:
We respond to legal government demands for data stored in SkyDrive in
the same way. All providers of these types of storage services have
always been under legal obligations to provide stored content when
they receive proper legal demands. In 2013 we made changes to our
processes to be able to continue to comply with an increasing number
of legal demands governments worldwide. None of these changes
provided any government with direct access to SkyDrive.
Đó chính là sự truy
cập “trực tiếp” một lần nữa. Nhưng có thể NSA có
được sự truy cập trực tiếp tới một bản sao của
SkyDrive, được gọi là thứ gì đó khác, nhưng không phải
là bản gốc. Trong trường hợp đó, Microsoft có thể viết
một cách chân thật rằng chính phủ không có “sự truy
cập trực tiếp tới SkyDrive”, chỉ các nội dung của nó
được giữ trong một cơ sở dữ liệu được đặt tên
khác đi.
Về Skype:
Chúng tôi sẽ không
cung cấp cho các chính phủ với sự truy cập trực tiếp
hoặc không bị khóa tới các dữ liệu của khách hàng
hoặc các khóa mật mã.
Một lần nữa, sự
truy cập gián tiếp tới các dữ liệu không được mã
hóa được lưu trữ trong một bản sao không bị tuyên bố
này loại trừ.
Về
cơ bản, chúng ta không biết, và vì thế từng người sẽ
cần tự suy nghĩ phải tin vào ai. Nhưng ít nhất là, những
rò rỉ đó làm cho khẩu hiểu quảng cáo của hãng “Sự
riêng tư của bạn là ưu tiên của chúng tôi” trở thành
một trò hề, khi mà ưu tiên thực tế của Microsoft là
làm rõ những gì NSA nói hãng phải làm.
Những
phát hiện mới nhất, được kết hợp với các phát hiện
trước đó về các bản vá, phải làm dấy lên các câu
hỏi mà tôi đã nêu lần trước: làm sao bất kỳ nhà
quản lý CNTT có trách nhiệm nào lại có thể tiếp tục
sử dụng các chương trình và dịch vụ như vậy khi hoàn
toàn hiểu đầy đủ rằng chúng không chỉ bị tổn
thương đối với các cuộc tấn công ngày số 0 được
giấu kín, mà các dữ liệu được cho là bí mật, được
mã hóa còn có thể sẵn sàng rồi cho NSA và các cơ quan
khác?
Các tài liệu của
WikiLeaks đã phát hiện cách mà chính phủ Mỹ làm việc
sát sao với các công ty Mỹ, truyền cho họ các thông tin
sống còn mà chính phủ thu thập được từ các nhà ngoại
giao của mình tại các quốc gia khác. Điều không thể
hiểu nổi là các thông tin bí mật được lượm lặt từ
việc đột nhập vào các hệ thống của các tập đoàn
và việc nghe trộm các cuộc đối thoại được cho là có
an ninh không được truyền một cách tương tự tới các
công ty Mỹ để trao cho họ một ưu thế cạnh tranh.
There's
that "direct" access again. But maybe the NSA has direct
access to a copy of SkyDrive, called something else, but not the
original. In that case, Microsoft could truthfully write that the
government does not have "direct access to SkyDrive", just
its contents held on a differently-named database.
On
Skype:
We
will not provide governments with direct or unfettered access to
customer data or encryption keys.
But
what about indirect access to a shadow system?
On
Enterprise Email and Document Storage:
We
do not provide any government with the ability to break the
encryption used between our business customers and their data in the
cloud, nor do we provide the government with the encryption keys.
Again,
indirect access to unencrypted data held on a copy is not ruled out
by that statement.
Basically,
we don't know, and so each person will need to make up his or her own
mind as to whom to believe. But at the very least, the leaks make the
company's advertising slogan "Your privacy is our priority"
a joke, since Microsoft's real priority is clearly doing what the NSA
tells it to do.
These
latest revelations, combined with the previous ones about patches,
must raise the question I posed last time: how can any responsible IT
manage continue to use such programs and services in the full
knowledge that they are not only vulnerable to undisclosed zero-day
attacks, but that supposedly secret, encrypted data may be readily
available to the NSA and others?
The
Wikileaks documents have revealed how the US government works closely
with US companies, passing them vital information that it gathers
from its diplomats in other countries. It is inconceivable that
secret information gleaned from breaking into corporate systems and
eavesdropping on supposedly secure conversations is not similarly
passed on to US companies to give them a competitive advantage.
Điều đó ngụ ý
rằng bất kỳ công ty nào không phải của Mỹ đang sử
dụng các sản phẩm của Microsoft đều
có rủi ro các bí mật tập đoàn của mình được truyền
tới các đối thủ Mỹ, với khả năng gây ra các hậu
quả tài chính nghiêm trọng. Bao lâu rồi, trước khi các
nhà đầu tư đóng góp bắt đầu kiện các công ty về
việc tiếp tục cẩu thả sử dụng các sản phẩm của
Microsoft? Bao lâu rồi trước khi các công ty bắt đầu
nhận thức ra được thực tế rằng trong các tài khoản
của công ty, khi sự hiện diện của những gì chỉ có
thể được gọi là phần mềm gián điệp phải được
công bố như một rủi ro vận hành cho tương lai - một
điều có thể gây ra cho công ty thất bại một cách thảm
hại?
Cùng với tất cả,
kho các bằng chứng đang gia tăng này rằng các phần mềm
doanh nghiệp của Microsoft không chỉ
chào các ưu thế không thực tế so với các phần mềm tự
do tương đương khi nói về hiệu năng, giá thành, độ
đàn hồi và sức mạnh, mà rằng nó thể hiện một khả
năng tổn thương nghiêm trọng tiềm tàng cho thông tin bí
mật của công ty, làm cho sự sử dụng của nguồn mở
càng cuốn hút hơn. Câu hỏi bây giờ rõ ràng là không
phải: vì sao một công ty có thể sử dụng nguồn mở? Mà
là: liệu một công ty lành mạnh có thể sử dụng bất
kỳ thứ gì khác?
That
implies that any non-US company using Microsoft's products runs the
risk of having its corporate secrets passed to US competitors, with
possibly serious financial consequences. How long, then, before
shareholders start suing companies for negligently continuing to use
Microsoft products? How long before companies start recognising that
fact in the company accounts, when the presence of what can only be
called spyware has to be declared as an operating risk for the future
- one that might cause the company to fail catastrophically?
Taken
together, this growing body of evidence that Microsoft's enterprise
software not only offers no real advantages over free software
equivalents when it comes to performance, price, resilience and
power, but that it represents a serious potential vulnerability for
confidential company information, makes the use of open source yet
more compelling. The question now is clearly not: why would a company
use open source? But: what sane company would use anything else?
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.