Thứ Tư, 31 tháng 7, 2013

Trả lời về bảo vệ dữ liệu đối với PRISM như “một màn khói”


Data Protection Responses To PRISM "A Smokescreen"
Một chuyên gia về tính riêng tư trên trực tuyến đã tố giác các câu trả lời cho sự giám sát Internet của Mỹ và đã kêu gọi sự miễn nhiễm tại châu Âu với những người mà nói về các tác động của nó.
An online privacy expert has denounced European responses to US Internet surveillance and called for legal immunity in Europe for those that report its effects.
Published 09:30, 17 June 13, by Simon Phipps
Bài được đưa lên Internet ngày: 13/6/2013
Lời người dịch: Trích đoạn: “Điều này có lẽ hiển nhiên bất hợp pháp theo Công ước Quyền Con người của châu Âu - ECHR (European Convention of Human Rights) và vì thế nó không thể là hợp pháp đối với các chính phủ châu Âu để không bảo vệ được các công dân của họ khỏi rủi ro này. Nhưng các nhà làm luật của châu Âu đã không hiểu rằng những gì đang bị đe dọa là lớn hơn nhiều so với các mối đe dọa cũ về các giao tiếp dữ liệu đang bị can thiệp trên đường truyền. Các công ty như Microsoft có tham vọng thương mại chiến thắng các hợp đồng Đám mây để xử lý tất cả các dữ liệu mà trước đó có thể còn nằm ở bên trong nước đó - thậm chí các dữ liệu của khu vực nhà nước về cuộc sống riêng tư của các công dân”. Simon Phipps đưa ra 3 giải pháp cho châu Âu để thoát khỏi sự giám sát và phụ thuộc hoàn toàn vào các đám mây của các công ty Mỹ. Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.
Tại hội nghị Nhóm các Quyền Mở ở Luân Đôn gần đây, một trong những câu chuyện phổ biến nhất - Làm thế nào để nghe trộm điện thoại đám mây (mà không ai biết) - đã được chuyên gia độc lập về giám sát và tính riêng tư Caspar Bowden đưa ra. Cho tới năm 2011 ông ta từng là Cố vấn trưởng về tính riêng tư của Microsoft và ông có một sự hiểu biết sâu về mức độ mà Mỹ và các các quốc gia khác giám sát Web.
Các rủi ro có liên quan tới PRISM tới không làm ông ngạc nhiên. Quả thực, trước đó trong năm ông đã là đồng tác giả của một báo cáo cho Nghị viện châu Âu vào tháng 11/2012 với những giải thích đầu tiên về vấn đề của FISA 702, và có liên quan tới những khe hở trong luật Bảo vệ Dữ liệu của EU. Các câu Hỏi - Đáp với Caspar đã được chuẩn bị vào tháng 2 cho một xuất bản phẩm của Pháp. Khi đó ông đã không biết về sự tồn tại của PRISM, và phân tích đã dựa hoàn toàn vào nghiên cứu từ các nguồn tin mở. Như Caspar đã bình luận khi tôi đã hỏi ông cuối tuần này, thì bản phân tích đó vẫn còn hoàn toàn phù hợp.
Hỏi: Vì sao Luật Sửa đổi bổ sung FISA 2008 (FISAAA) là luật nguy hiểm hơn cho tính riêng tư của người dân châu Âu so với Luật Yêu nước?
Trả lời: Cả Luật Yêu nước và Luật FISAAA đều hơn 100 trang, và phức tạp hơn nhiều so với các luật tương ứng của châu Âu. Ít người Mỹ đã nghiên cứu chúng cẩn thận, để kệ một mình các chuyên gia bên này Đại Tây Dương. Cả 2 luật đều cho phép các cơ quan tình báo và ép tuân thủ luật khác nhau của Mỹ can thiệp, cài rệp và lấy dữ liệu theo các cách thức khác nhau.
Nhưng theo các điều khoản của Luật Yêu nước thì hầu hết là về việc yêu cầu các dữ liệu trong các số lượng được xác định và hữu hạn. Cái mới của FISAAA (1881a) là:
  1. Nó nhằm chỉ vào các dữ liệu của không phải các công dân Mỹ nằm bên ngoài nước Mỹ (như các dữ liệu thuộc về phần còn lại của thế giới);
  2. Nó đặc biệt áp dụng cho các nhà cung cấp điện toán đám mây (không chỉ các nhà chuyển tải viễn thông) và
  3. nó đã loại bỏ những ràng buộc trước đó mà từng cản trở sự thu thập dữ liệu liên tục và giám sát ồ ại mà FISAAA cho phép Cơ quan An ninh Quốc gia ra lệnh cho các công ty Đám mây lớn để thực hiện các cài đặt vĩnh viễn cho việc quét liên tục qua tất cả các dữ liệu mà họ xử lý bên ngoài nước Mỹ. Vì họ có thể ra lệnh nên điều này được thực hiện từ bên trong các trung tâm dữ liệu của nhà cung cấp Đám mây, mã hóa các dữ liệu giữa Đám mây và máy tính của bạn là phù hợp và không đưa ra sự bảo vệ nào.
Một nghiên cứu khác gần đây cho Nghị viện châu Âu đã đề xuất rằng mọi người có thể chỉ tự mình mã hóa các dữ liệu trước khi gửi vào Đám mây, nhưng điều này chỉ ra một sự hiểu nhầm cơ bản. Kho lưu trữ dữ liệu ở xa như vậy là một khía cạnh rất thông thường của điện toán đám mây. Nhà cung cấp Đám mây phải có khả năng làm việc với các dữ liệu được giải mã để xử lý sức mạnh của Đám mây sẽ là hữu dụng, và yêu cầu của FISAAA có thể được đặt ở bất kỳ chỗ nào mà sự giải mã này xảy ra. Điều này có thể được thực hiện với phần cứng có sự thanh tra gói sâu - DPI (Deep-Packet-Inspection) hoặc có lẽ kinh tế hơn ở mức không nhìn thấy đối với nền tảng phần mềm. Có các tiền lệ kỹ thuật và pháp lý cho các mối quan tâm đó, và thậm chí một tài liệu các tiêu chuẩn xác định “Can thiệp Hợp pháp Như một Dịch vụ Đám mây” - LIaaS (Lawful-Intercept-as-a-Cloud-service).
2 khía cạnh mà tôi vẫn thấy thú vị rằng trước hết hình như không ai lưu ý thấy phạm vi của FISAAA từng được mở rộng từ việc nghe trộm viễn thông cũng đạt được tới bên trong trung tâm dữ liệu - không có gì được ghi về điều này trong 4 năm. Thứ 2, mỗi tin bài về FISAAA kể từ 2008 đã nêu nó dường như là nó trước hết là một mối đe dọa cho những người Mỹ. Mục tiêu của FISAAA là bất kỳ ai không phải là người Mỹ - mạnh mối là ở thế giới “nước ngoài”!
Hỏi: Chỉ thị Bảo vệ Dữ liệu của EU cấm truyền các dữ liệu cá nhân vượt ra ngoài lãnh thổ của nó. Vì sao điều này không ngăn cản được sự truy cập của Mỹ tới các dữ liệu?
Đó là một màn khói. EU đã đầu hàng sức ép kinh tế Mỹ trong năm 2000 với thỏa thuận “Bến cảng An toàn” (Safe Harbor) mà đã cho phép hầu hết các sự truyền với chỉ những qui định yếu ớt về sự riêng tư thương mại, nhưng thậm chí lãnh đạo Microsoft ở Anh đã cam kết không đưa ra sự bảo vệ nào chống lại Luật Yêu nước (hãy chỉ một mình FISAAA).
Các cơ chế khác cũng đã không được đưa ra ngoại trừ sự cấm chung chung trong Chỉ thị, mà Internet đã làm giảm tới một sự hư cấu pháp lý. Thật kỳ lạ, một lỗ hổng mới đặc biệt từng được pha chế chỉ cho điện toán Đám mây trong Qui định mới về DP được đề xuất, gọi là “Các qui định Ràng buộc Tập đoàn cho các nhà xử lý dữ liệu”.
Các nhà chức trách Bảo vệ Dữ liệu - DPA (Data Protection Authorities) dường như hầu hết đưa vào trong trò chơi đố chữ, vì họ không muốn công chúng hiểu họ có rất ít quyền lực thực tế. Ý tưởng là nhà cung cấp Đám mây có một công ty kiểm toán khu vực tư nhân để chứng thực hệ thống Đám mây chung về an ninh, tạo ra nhiều công việc giấy tờ có ấn tượng, và sau đó truyền ồ ạt vào Đám mây sẽ trở thành hợp pháp mà không có các câu hỏi nào được đặt ra tiếp sau. Tuy nhiên, mà không công ty kiểm toán tư nhân nào, nghĩ tới uy tín của họ, có thể một cách chính thức mở việc nghe trộm bí mất được luật an ninh quốc gia của nước khác ra lệnh cả. Khi người ta đặt điểm này tới các công ty kiểm toán thì họ nhún vai và nói “không phải phòng của tôi”.
Vị thế của DPA rằng điều này không được giả thiết xảy ra, mà nếu xảy ra thì BCR bị phạt theo lý thuyết, nó đã không bị ép tuân thủ phù hợp - và các vấn đề “con sóc bí mật” như vậy là cho các chính phủ chứ không phair cho các DPA. Một cách ngẫu nhiên, nếu bất kỳ ai từ bên trong chính phủ Mỹ hoặc nhà cung cấp Đám mây đã thông báo cho các nhà chức trách của châu Âu về điều này, thì họ có thể cọi thường tòa án giám sát đặc biệt của Mỹ (FISC) và cũng phá Luật Gián điệp Mỹ (mà ngăn cản sự tiết lộ thông tin như vậy với một hình phạt tử hình có thể).
Thật khác thường là hầu hết các quan chức châu Âu và các qui định bảo vệ dữ liệu dường như được xác định để bỏ qua vấn đề đó (một ngoại lệ là công việc nổi tiếng nhất quán của Schleswig-Holstein ULD). Nó phản ánh thái độ khá quan liêu, nhấn mạnh cấu trúc pháp lý đứng trên cả thự tế kỹ thuật. Hơn nữa các quan chức bị vận động hành lang mạnh mẽ từ giới công nghiệp và dưới sức ép to lớn phải tìm ra một số cách thức để hợp pháp hóa điện toán Đám mây, để giữ cho doanh nghiệp châu Âu có tính cạnh tranh. Nhưng việc mất chủ quyền đối với các dữ liệu cá nhân của các công dân châu Âu thì không có cách gì để giữ có tính cạnh tranh được!
Phải ghi nhớ, vấn đề đó không chỉ là với các trung tâm dữ liệu trên lãnh thổ Mỹ. Các Luật Yêu nước và FISAAA có thể được áp dụng một cách nghiêm ngặt ở bất cứ đâu trên thế giới (thậm chí bên trong EU) cho bất kỳ công ty nào đang kinh doanh tại Mỹ, dù trong thực tế có hầu hết rủi ro khi các dữ liệu về mặt vật lý rời khỏi EU. Sự đảm bảo tốt nhất sẽ tới từ việc sử dụng phần mềm tự do (FLOSS) từ đỉnh tới đáy, với việc lưu ý và kiểm toán của tất cả các bản vá, và sự thanh tra được các chuyên gia triển khai cục bộ mà không có lợi ích được ban hoặc các bổn phận đối với các chính phủ nước ngoài.
Hỏi: Điều gì nên được thực hiện để bảo vệ chống lại sự giám sát không gian mạng lan rộng này?
Trả lời: Tôi còn chưa nhắc tới khía cạnh đáng lo ngại nhất. Tôi nghĩ lý do mà các nhà chức trách của châu Âu từng quá tự mãn là họ đã tin tưởng vào những đảm bảo cá nhân từ Mỹ rằng tất cả điều này là về việc đấu tranh chống khủng bố. Nhưng có thứ gì đó mà hầu như không bao giờ được nhắc tới trong phân tích pháp lý hoặc chính sách là định nghĩa về “thông tin tình báo nước ngoài” (kể từ lần đầu Luật FISA vào năm 1978) đã bao gồm “thông tn với sự tôn trọng một tổ chức chính trị nằm ở nước ngoài hoặc lãnh thổ nước ngoài mà có liên quan tới sự tiến hành các công việc ngoại giao của nước Mỹ”.
Đây là một quyền hành thực sự đối với sự giám sát chính trị thuần túy, không có liên quan gì tới các mối đe dọa an ninh thực sự hoặc tội phạm. Như chúng tôi đã nói rồi, 1881a đưa ra sự bảo vệ bằng 0 đối với các dữ liệu không phải của người Mỹ, và thậm chí định nghĩa thông tin mà có thể bị ngắm đích vì những lý do chính trị là rộng lớn hơn đối với những người không phải là người Mỹ, một sự phân biệt đối xử gấp đôi về quốc tịch.
Điều này có lẽ hiển nhiên bất hợp pháp theo Công ước Quyền Con người của châu Âu - ECHR (European Convention of Human Rights) và vì thế nó không thể là hợp pháp đối với các chính phủ châu Âu để không bảo vệ được các công dân của họ khỏi rủi ro này. Nhưng các nhà làm luật của châu Âu đã không hiểu rằng những gì đang bị đe dọa là lớn hơn nhiều so với các mối đe dọa cũ về các giao tiếp dữ liệu đang bị can thiệp trên đường truyền. Các công ty như Microsoft có tham vọng thương mại chiến thắng các hợp đồng Đám mây để xử lý tất cả các dữ liệu mà trước đó có thể còn nằm ở bên trong nước đó - thậm chí các dữ liệu của khu vực nhà nước về cuộc sống riêng tư của các công dân.
Tôi thấy 3 khả năng giải quyết vấn đề. Đầu tiên là châu Âu thương thảo một hiệp định với Mỹ trao sự nhận thức rõ ràng về các quyền ECHR của chúng ta. Nhưng nước Mỹ đã khóa nhiều yêu cầu khiêm tốn hơn như vậy từ EU trong thập niên vừa qua. Khả năng thứ 2 là châu Âu thực hiện một quyết định chiến lược để xây dựng một nền công nghiệp Đám mây nghiêm túc và tự trị (hãy nghĩ cách mà Airbus bây giờ có được thị phần ngang bằng với Boeing). Nhưng Neelie Kroes đang đầu tư 15 triệu euro, trong khi nền công nghiệp Đám mây của Mỹ đã đầu tư hàng chục tỷ USD.
Cuối cùng, khả năng thứ 3, là EU có thể đưa ra sự loại trừ về pháp lý và bồi thường tài chính vì việc báo cáo giám sát mà vi phạm luật của EU. Họ có lẽ là những kỹ sư hoặc luật sư làm việc cho giới công nghiệp hoặc chính phủ Mỹ, và họ có thể bị rủi ro lớn bằng việc trở thành những người nói ra những điều sai trái, nên những bồi thường có thể phải là đáng kể. Đây là phương pháp được sử dụng trong nhiều phần của thế giới, bao gồm cả Mỹ, để đấu tranh chống tham nhũng trong nhà nước và sự trốn thuế.
Vì sao không sử dụng phương pháp này để ép tuân thủ Bảo vệ Dữ liệu và tôn trọng các quyền con người của công dân châu Âu? Sự bồi thường có thể được trả từ những khoản phạt được đặt vào các công ty, và chỉ phương pháp này có thể đưa ra một sự ngăn chặn thực thi được chống lại mọt sự phạm tội không dò tìm ra được một cách ảo. 3 khả năng đó không loại trừ lẫn nhau. Được sử dụng trong một sự kết hợp thì chúng ta có thể có được một nền công nghiệp Đám mây phát triển ở châu Âu với một sân chơi bình đẳng cho sự cạnh tranh, và sự Bảo vệ Dữ liệu thực sự chứ không ảo tưởng.
At the Open Rights Group conference in London recently, one of the most popular talks -- How to wiretap the Cloud (without anybody noticing) -- was given by independent privacy and surveillance expert Caspar Bowden. Until 2011 he was Chief Privacy Adviser to Microsoft and he has a deep understanding of the extent of US and other national surveillance of the Web
The risks related to PRISM came as no surprise to him. Indeed, earlier in the year he had co-authored a report to the European Parliament of November 2012 which was the first explanation of the problem of FISA 702, and associated loopholes in EU Data Protection law. The Q & A with Caspar that follows was prepared in February for a French publication. At that time he had no knowledge of the existence of PRISM, and the analysis was based entirely on research from open sources. As Caspar commented when I asked him this weekend, the analysis is still completely relevant.
Q: Why is the the FISA Amendment Act 2008 (FISAAA) a more dangerous law for Europeans' privacy than the PATRIOT Act?
A: Both the PATRIOT and FISAAA laws are over one hundred pages, and much more complex than corresponding European laws. Few Americans have studied them carefully, let alone experts this side of the Atlantic. Both laws allow various American intelligence and law-enforcement agencies to intercept, bug and seize data in different ways.
But in simple terms PATRIOT is mostly about demanding data in finite and defined amounts. The novelty of FISAAA (1881a) is that:
  1. it targets only the data of non-Americans located outside outside the US (i.e. the data belonging to the rest-of-the-world);
  2. it specifically applies to Cloud computing providers (not just telecommunications carriers) and
  3. it removed previous constraints which hindered continuous data collection and mass-surveillance FISAAA allows the National Security Agency to order the big Cloud companies to make permanent installations for continuously scanning through all the data they process from outside the US. Because they can order this is done from within the Cloud provider's data-centres, encryption of data between the Cloud and your computer is irrelevant and offers no protection.
Another recent study for the European Parliament proposed that people could just encrypt data themselves before sending to the Cloud, but this shows a fundamental misunderstanding. Such remote data storage is a very trivial aspect of Cloud computing. The Cloud provider must be able to work with decrypted data in order for the processing power of the Cloud to be useful, and the FISAAA equipment can be placed wherever this decryption occurs. This might be done with deep-packet-inspection (DPI) hardware or probably more economically at the invisible level of the software platform. There are legal and technical precedents for these concerns, and even a standards document which defines “Lawful-Intercept-as-a-Cloud-service” (LIaaS).
Two aspects I still find amazing are that firstly apparently nobody noticed that the scope of FISAAA was extended from wire-tapping telecommunications to also reach inside the data-centre - nothing was written about this for 4 years. Secondly, every news article about FISAAA since 2008 has reported it as if it was primarily a threat to Americans. The target of FISAAA is everyone who is not American - the clue is in the word "foreign"!
Q: The EU Data Protection Directive prohibits the transfer of personal data outside its territory. Why doesn't this prevent US access to data?
It's a smokescreen. The EU capitulated to US economic pressure in 2000 with the “Safe Harbor” agreement which allowed most transfers with only weak rules about commercial privacy, but even the UK chief of Microsoft has admitted offers no protection against PATRIOT (let alone FISAAA). Neither do the other mechanisms notionally provided as exceptions to the general prohibition in the Directive, which the Internet has reduced to a legal fiction. Bizarrely, a special new loophole has been concocted just for Cloud computing in the proposed new DP Regulation, called "Binding Corporate Rules for data processors".
Data Protection Authorities seem almost complicit in this charade, because they do not want the public to understand they have very little real power. The idea is that the Cloud provider gets a private-sector audit company to certify the generic Cloud system for security, producing a lot of impressive paperwork, and then massive transfers to the Cloud will become lawful without further questions asked. But no private audit company, however fancy their reputation, can discover officially secret wire-tapping ordered by the national security law of another country. When one puts this point to the audit companies they shrug and say “not my department”.
The DPA's position is that this is not supposed to happen, but if it does the BCR was fine in theory, it was just not enforced properly - and anyway such "secret squirrel" matters are for governments not DPAs. Incidentally, if anyone from inside the US government or the Cloud provider informed European authorities about this, they would be held in contempt by the special US surveillance court (FISC) and also be breaking the US Espionage Act also (which deters the disclosure of such information with a possible death penalty).
It is extraordinary that most European officials and DP regulators seem determined to ignore the problem (an exception is the consistently outstanding work of Schleswig-Holstein ULD). It reflects a rather bureaucratic attitude, which emphasises legal structure above technical reality. Also officials have been lobbied intensively by industry and are under immense pressure to find some way to legitimise Cloud computing, to keep European business competitive. But losing sovereignty over Europeans' personal data is no way to stay competitive!
Also it must be remembered, the problem is not just with data-centres on US territory. PATRIOT and FISAAA can be secretly applied anywhere in the world (even inside the EU) to any company doing business in the US, although in practice there is most risk when data physically leaves the EU. The best assurance will come from using free software (FLOSS) from top to bottom, with logging and auditing of all patches, and inspections carried out locally by experts without a vested interest or foreign allegiances.
Q: What should be done to protect against this widespread cyber-surveillance?
A: I haven't yet mentioned the most disturbing aspect. I think the reason that European authorities have been so complacent is they have believed private assurances from the US that this is all about fighting terrorism. But something that is almost never mentioned in legal or policy analysis is that the definition of "foreign intelligence information" (since the first FISA law in 1978) has included
"information with respect to a foreign-based political organization or foreign territory that relates to the conduct of the foreign affairs of the United States "
This is a true carte blanche for purely political surveillance, unrelated to criminality or genuine security threats. As we said already, 1881a offers zero protection to the data of non-Americans, and even the definition of the information which can be targeted for political reasons is broader for non-Americans, a double-discrimination by nationality.
This would be indisputably illegal under the European Convention of Human Rights (ECHR) and so it cannot be lawful for European governments to fail to protect their citizens from this risk. But European policy-makers have not understood that what is at stake is much more than the old risks of data communications being intercepted in transit. Companies such as Microsoft have the commercial ambition of winning Cloud contracts to process all data that previously would have remained inside the country - even public sector data about citizens' private lives.
I see three possibilities to solve the problem. The first is that Europe negotiates a treaty with the US giving explicit recognition of our ECHR rights. But the United States has blocked much more modest demands from the EU over the past decade. The second possibility is that Europe takes a strategic decision to build a serious and autonomous Cloud industry (think how Airbus now has equal market share with Boeing). But Neelie Kroes is investing 15 million Euros, whereas the US Cloud industry has invested tens of billions of dollars.
Finally, the third possibility, is that the EU could offer legal immunity and financial rewards for reporting surveillance which breaks EU law. They might be engineers or lawyers working for US industry or government, and they would be taking enormous risks by becoming whistleblowers, so the rewards would have to be substantial. This is the method used in many parts of the world, including the US, to fight public corruption and evasion of taxation.
Why not use this method to enforce Data Protection and respect for European human rights? The rewards would be paid from fines imposed on the companies, and only this method might provide a realistic deterrent against a crime which is virtually undetectable. These three possibilities are not mutually exclusive. Used in combination we might get a flourishing European Cloud industry with a level playing field for competition, and real not illusory Data Protection.
Dịch: Lê Trung Nghĩa

Bạn có thể tin Microsoft với các bí mật công ty của bạn không?


Can You Trust Microsoft With Your Company Secrets?
Published 14:12, 17 July 13, by Glyn Moody
Bài được đưa lên Internet ngày: 13/07/2013
Lời người dịch: Trích đoạn: “Điều đó ngụ ý rằng bất kỳ công ty nào không phải của Mỹ đang sử dụng các sản phẩm của Microsoft đều có rủi ro các bí mật tập đoàn của mình được truyền tới các đối thủ Mỹ, với khả năng gây ra các hậu quả tài chính nghiêm trọng. Bao lâu rồi, trước khi các nhà đầu tư đóng góp bắt đầu kiện các công ty về việc tiếp tục cẩu thả sử dụng các sản phẩm của Microsoft? Bao lâu rồi trước khi các công ty bắt đầu nhận thức ra được thực tế rằng trong các tài khoản của công ty, khi sự hiện diện của những gì chỉ có thể được gọi là phần mềm gián điệp phải được công bố như một rủi ro vận hành cho tương lai - một điều có thể gây ra cho công ty thất bại một cách thảm hại?”, “Microsoft không chỉ chào các ưu thế không thực tế so với các phần mềm tự do tương đương khi nói về hiệu năng, giá thành, độ đàn hồi và sức mạnh, mà rằng nó thể hiện một khả năng tổn thương nghiêm trọng tiềm tàng cho thông tin bí mật của công ty, làm cho sự sử dụng của nguồn mở càng cuốn hút hơn. Câu hỏi bây giờ rõ ràng là không phải: vì sao một công ty có thể sử dụng nguồn mở? Mà là: liệu một công ty lành mạnh có thể sử dụng bất kỳ thứ gì khác?”. Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.
Khoảng một tháng trước, tôi đã viết về thực tế khác thường rằng Microsoft thường xuyên chuyển các khai thác lỗi ngày số 0 (zero day) trong các ứng dụng của hãng cho chính phủ Mỹ để sau đó sử dụng trong cửa sổ hẹp trước khi chúng được công bố và được cài cắm. Sự cho phép đó là vì các chính phủ và công ty “nước ngoài” sẽ bị ngắm đích và các mức truy cập khác nhau sẽ giành được theo một cách thức mà khó chống lại được.
Tuy nhiên, điều đó làm cho các công ty với hy vọng rằng ít nhất các sự truyền và nội dung được mã hóa vẫn giữ được bảo vệ, thậm chí với các sản phẩm của Microsoft. Nhưng một câu chuyện gần đây từ tờ Gardian, dựa vào thông tin do Edward Snowden cung cấp, bây giờ dường như thậm chí đặt điều đó vào sự nghi ngờ:
  1. Microsoft đã giúp NSA phá mật mã của hãng để giải quyết những lo lắng rằng cơ quan đó có thể không có khả năng can thiệp vào web chat trên cổng mới Outlook.com.
  2. Cơ quan đó đã có được sự truy cập vào giai đoạn trước khi mã hóa tới thư điện tử trên Outlook.com, bao gồm cả Hotmail;
  3. Hãng đó đã làm việc với FBI năm nay để cho phép NSA truy cập dễ dàng hơn thông qua PRISM tới dịch vụ lưu trữ đám mây của hãng SkyDrive, mà nó bây giờ có hơn 250 triệu người sử dụng trên toàn thế giới.
  4. Microsoft cũng đã làm việc với Đơn vị Can thiệp Dữ liệu của FBI để “hiểu” các vấn đề tiềm tàng với một tính năng trong Outlook.com mà cho phép những người sử dụng tạo các tên hiệu (aliases) cho thư điện tử.
  5. Vào tháng 7/2012, 9 tháng sau khi Microsoft mua Skype, NSA đã khoe khoang rằng một khả năng mới đã làm tăng gấp 3 lần số lượng các cuộc gọi video của Skype thu thập được qua PRISM.
  6. Tư liệu thu thập được qua PRISM thường xuyên được chia sẻ với FBI và CIA, với một tài liệu của NSA mô tả chương trình này như là một “đội thể thao”.
Bài viết trên tờ Gardian sau đó tiếp tục điền thêm một số chi tiết.
About a month ago, I wrote about the extraordinary fact that Microsoft routinely hands over zero-day exploits in its applications to the US government for the latter to use in the short window before they are announced and plugged. On thing that allows is for "foreign" governments and companies to be targetted and various levels of access to be gained in a way that is hard to protect against.
However, that does leave companies with the hope that at least encrypted transmissions and content remains protected, even with Microsoft products. But a recent story from the Guardian, based on information supplied by Edward Snowden, now seems to place even that in doubt:
Microsoft helped the NSA to circumvent its encryption to address concerns that the agency would be unable to intercept web chats on the new Outlook.com portal;
The agency already had pre-encryption stage access to email on Outlook.com, including Hotmail;
The company worked with the FBI this year to allow the NSA easier access via Prism to its cloud storage service SkyDrive, which now has more than 250 million users worldwide;
Microsoft also worked with the FBI's Data Intercept Unit to "understand" potential issues with a feature in Outlook.com that allows users to create email aliases;
In July last year, nine months after Microsoft bought Skype, the NSA boasted that a new capability had tripled the amount of Skype video calls being collected through Prism;
Material collected through Prism is routinely shared with the FBI andCIA, with one NSA document describing the program as a "team sport".
The Guardian article then goes on to fill in some of the details.
Microsoft has naturally been scrambling to limit the damage from this claim. Here are some of the key points from its post:
Microsoft đã và đang xáo trộn một cách bản năng để hạn chế thiệt hại từ tố cáo này. Đây là một số điểm chính từ bài viết của hãng:
Outlook.com (trước kia là Hotmail): Chúng tôi không cung cấp cho bất kỳ chính phủ nào sự truy cập trực tiếp tới các thư điện tử hoặc thông điệp tức thì (chat). Chấm hết.
Lời tố cáo truy cập “trực tiếp”, đã thu gom được trong các rò rỉ sớm nhất từ Snowden, vẫn còn là một trong những điều được tranh cãi gay gắt nhất. Snowden đã không chỉ lặp đi lặp lại lời tố cáo đó, mà còn nói rằng các công ty mà từ chối nó - không chỉ Microsoft, mà cả Google và các công ty khác cũng vậy - đang làm kinh tế với sự thật.
Trong mọi trường hợp, chúng tôi biết rằng NSA có sự truy cạp tới toàn bộ dòng Internet khi nó đi vào nước Mỹ và các quốc gia khác như Anh và giám sát và lưu trữ mọi thứ. Điều đó có nghĩa là NSA chỉ cần các khóa mật mã, chứ không phải các dữ liệu, thứ mà nó đã có rồi. Trên mặt trận này, Microsoft đã nói như sau:
Phải rõ là, chúng tôi không cung cấp cho bất kỳ chính phủ nào với khả năng để phá mật mã, chúng tôi cũng không cung cấp cho chính phủ các khóa mật mã. Khi chúng tôi có bổn phận pháp lý phải tuân thủ các yeu cầu, chúng tôi kéo các nội dung được chỉ định từ các máy chủ của chúng tôi, nơi mà nó nằm trong một trạng thái không được mã hóa, và sau đó chúng tôi cung cấp nó cho cơ quan chính phủ.
Bình luận sau là thú vị, vì nó có nghĩa là nếu NSA có được sự truy cập tới các máy chủ của Microsoft theo một vài cách không chính thống - một cách mà có thể được phân loại thành “không trực tiếp” - thì nó thậm thí không cần các khóa mật mã để đọc được những thứ đó.
Bình luận về SkyDriver là tương tự:
SkyDrive: Chúng tôi trả lời các yêu cầu pháp lý của chính phủ về các dữ liệu được lưu trữ trong SkyDrive theo cách y hệt. Tất cả các nhà cung cấp các dạng dịch vụ lưu trữ đó luôn phải tuân theo các bổn phận pháp lý để cung cấp các nội dung được lưu trữ khi họ nhận được các yêu cầu pháp lý phù hợp. Trong năm 2013 chúng tôi đã thực hiện những thay đổi cho các qui trình của chúng tôi để có khả năng tiếp tục tuân thủ với một số lượng ngày một gia tăng các yêu cầu pháp lý cho các chính phủ trên thế giới. Không có những thay đổi nào được cung cấp cho bất kỳ chính phủ nào với sự truy cập trực tiếp tới SkyDrive.
Outlook.com (formerly Hotmail): We do not provide any government with direct access to emails or instant messages. Full stop.
This "direct" access claim, which cropped up in the earliest leaks from Snowden, is still one of the most bitterly contested. Snowden has not only repeated the claim, but also said that the companies that deny it - not just Microsoft, but Google and others too - are being economical with the truth.
In any case, we know that the NSA has access to the entire Internet stream as it enters the US and other countries like the UK that monitor and store everything. That means the NSA only needs the encryption keys, not the data, which it already has. On this front, Microsoft has the following to say:
To be clear, we do not provide any government with the ability to break the encryption, nor do we provide the government with the encryption keys. When we are legally obligated to comply with demands, we pull the specified content from our servers where it sits in an unencrypted state, and then we provide it to the government agency.
That last comment is interesting, because it means that if the NSA has access to Microsoft's servers in some unorthodox way - one that can be classed as "indirect" - it wouldn't even need the encryption keys to read stuff.
The comment about SkyDrive is similar:
SkyDrive: We respond to legal government demands for data stored in SkyDrive in the same way. All providers of these types of storage services have always been under legal obligations to provide stored content when they receive proper legal demands. In 2013 we made changes to our processes to be able to continue to comply with an increasing number of legal demands governments worldwide. None of these changes provided any government with direct access to SkyDrive.
Đó chính là sự truy cập “trực tiếp” một lần nữa. Nhưng có thể NSA có được sự truy cập trực tiếp tới một bản sao của SkyDrive, được gọi là thứ gì đó khác, nhưng không phải là bản gốc. Trong trường hợp đó, Microsoft có thể viết một cách chân thật rằng chính phủ không có “sự truy cập trực tiếp tới SkyDrive”, chỉ các nội dung của nó được giữ trong một cơ sở dữ liệu được đặt tên khác đi.
Về Skype:
Chúng tôi sẽ không cung cấp cho các chính phủ với sự truy cập trực tiếp hoặc không bị khóa tới các dữ liệu của khách hàng hoặc các khóa mật mã.
Một lần nữa, sự truy cập gián tiếp tới các dữ liệu không được mã hóa được lưu trữ trong một bản sao không bị tuyên bố này loại trừ.
Về cơ bản, chúng ta không biết, và vì thế từng người sẽ cần tự suy nghĩ phải tin vào ai. Nhưng ít nhất là, những rò rỉ đó làm cho khẩu hiểu quảng cáo của hãng “Sự riêng tư của bạn là ưu tiên của chúng tôi” trở thành một trò hề, khi mà ưu tiên thực tế của Microsoft là làm rõ những gì NSA nói hãng phải làm.
Những phát hiện mới nhất, được kết hợp với các phát hiện trước đó về các bản vá, phải làm dấy lên các câu hỏi mà tôi đã nêu lần trước: làm sao bất kỳ nhà quản lý CNTT có trách nhiệm nào lại có thể tiếp tục sử dụng các chương trình và dịch vụ như vậy khi hoàn toàn hiểu đầy đủ rằng chúng không chỉ bị tổn thương đối với các cuộc tấn công ngày số 0 được giấu kín, mà các dữ liệu được cho là bí mật, được mã hóa còn có thể sẵn sàng rồi cho NSA và các cơ quan khác?
Các tài liệu của WikiLeaks đã phát hiện cách mà chính phủ Mỹ làm việc sát sao với các công ty Mỹ, truyền cho họ các thông tin sống còn mà chính phủ thu thập được từ các nhà ngoại giao của mình tại các quốc gia khác. Điều không thể hiểu nổi là các thông tin bí mật được lượm lặt từ việc đột nhập vào các hệ thống của các tập đoàn và việc nghe trộm các cuộc đối thoại được cho là có an ninh không được truyền một cách tương tự tới các công ty Mỹ để trao cho họ một ưu thế cạnh tranh.
There's that "direct" access again. But maybe the NSA has direct access to a copy of SkyDrive, called something else, but not the original. In that case, Microsoft could truthfully write that the government does not have "direct access to SkyDrive", just its contents held on a differently-named database.
On Skype:
We will not provide governments with direct or unfettered access to customer data or encryption keys.
But what about indirect access to a shadow system?
On Enterprise Email and Document Storage:
We do not provide any government with the ability to break the encryption used between our business customers and their data in the cloud, nor do we provide the government with the encryption keys.
Again, indirect access to unencrypted data held on a copy is not ruled out by that statement.
Basically, we don't know, and so each person will need to make up his or her own mind as to whom to believe. But at the very least, the leaks make the company's advertising slogan "Your privacy is our priority" a joke, since Microsoft's real priority is clearly doing what the NSA tells it to do.
These latest revelations, combined with the previous ones about patches, must raise the question I posed last time: how can any responsible IT manage continue to use such programs and services in the full knowledge that they are not only vulnerable to undisclosed zero-day attacks, but that supposedly secret, encrypted data may be readily available to the NSA and others?
The Wikileaks documents have revealed how the US government works closely with US companies, passing them vital information that it gathers from its diplomats in other countries. It is inconceivable that secret information gleaned from breaking into corporate systems and eavesdropping on supposedly secure conversations is not similarly passed on to US companies to give them a competitive advantage.
Điều đó ngụ ý rằng bất kỳ công ty nào không phải của Mỹ đang sử dụng các sản phẩm của Microsoft đều có rủi ro các bí mật tập đoàn của mình được truyền tới các đối thủ Mỹ, với khả năng gây ra các hậu quả tài chính nghiêm trọng. Bao lâu rồi, trước khi các nhà đầu tư đóng góp bắt đầu kiện các công ty về việc tiếp tục cẩu thả sử dụng các sản phẩm của Microsoft? Bao lâu rồi trước khi các công ty bắt đầu nhận thức ra được thực tế rằng trong các tài khoản của công ty, khi sự hiện diện của những gì chỉ có thể được gọi là phần mềm gián điệp phải được công bố như một rủi ro vận hành cho tương lai - một điều có thể gây ra cho công ty thất bại một cách thảm hại?
Cùng với tất cả, kho các bằng chứng đang gia tăng này rằng các phần mềm doanh nghiệp của Microsoft không chỉ chào các ưu thế không thực tế so với các phần mềm tự do tương đương khi nói về hiệu năng, giá thành, độ đàn hồi và sức mạnh, mà rằng nó thể hiện một khả năng tổn thương nghiêm trọng tiềm tàng cho thông tin bí mật của công ty, làm cho sự sử dụng của nguồn mở càng cuốn hút hơn. Câu hỏi bây giờ rõ ràng là không phải: vì sao một công ty có thể sử dụng nguồn mở? Mà là: liệu một công ty lành mạnh có thể sử dụng bất kỳ thứ gì khác?
That implies that any non-US company using Microsoft's products runs the risk of having its corporate secrets passed to US competitors, with possibly serious financial consequences. How long, then, before shareholders start suing companies for negligently continuing to use Microsoft products? How long before companies start recognising that fact in the company accounts, when the presence of what can only be called spyware has to be declared as an operating risk for the future - one that might cause the company to fail catastrophically?
Taken together, this growing body of evidence that Microsoft's enterprise software not only offers no real advantages over free software equivalents when it comes to performance, price, resilience and power, but that it represents a serious potential vulnerability for confidential company information, makes the use of open source yet more compelling. The question now is clearly not: why would a company use open source? But: what sane company would use anything else?
Dịch: Lê Trung Nghĩa

Thứ Ba, 30 tháng 7, 2013

Edward Snowden và các hồ sơ của NSA - theo dòng thời gian


Edward Snowden and the NSA files – timeline
Những gì đã xảy ra với người nói lên những bí mật của NSA cho tờ Guardian kể từ khi anh ta đã quyết định tiết lộ danh tính của anh ta cho thế giới và đã bắt đầu chiến đấu vì sự tị nạn của anh ta.
What has happened to NSA whistleblower who leaked files to Guardian since he decided to reveal his identity to the world and began his asylum battle
Mirren Gidda, The Guardian, Friday 26 July 2013
Bài được đưa lên Internet ngày: 26/07/2013
Edward Snowden, the NSA whistleblower. Photograph: Guardian
Edward Snowden, người nói lên những bí mật của NSA. Ảnh: Guardian
20/05 Edward Snowden, một nhân viên của nhà thầu quân sự Booz Allen Hamilton ở Cơ quan An ninh Quốc gia Mỹ (NSA), tới Hong Kong từ Hawaii. Anh ta mang theo 4 chiếc máy tính xách tay cho phép anh ta truy cập tới một số bí mật cao cấp nhất của chính phủ Mỹ.
01/06 Các phóng viên tờ Guardian Glenn Greenwald và Ewen MacAskill và người làm phim tài liệu Laura Poitras bay từ New York tới Hong Kong. Họ đã gặp Snowden tại khách sạn Kowloon sau khi anh ta tự nhận diện mình với một khối lập phương Rubik và bắt đầu một tuần phỏng vấn với nguồn của họ.
05/06 Tờ Guardian xuất bản tài liệu dành riêng đầu tiên của mình dựa vào rò rỉ của Snowden, tiết lộ một lệnh của tòa án bí mật chỉ ra rằng chính phủ Mỹ đã ép người khổng lồ viễn thông Verizon trao các hồ sơ điện thoại của hàng triệu người Mỹ.
06/06 Câu chuyện thứ 2 tiết lộ sự tồn tại của chương trình trước đó còn chưa được tiết lộ PRISM, các tài liệu nội bộ nói trao cho cơ quan này “sự truy cập trực tiếp” tới các dữ liệu được Google, Facebook, Apple và những người khổng lồ Internet khác của Mỹ nắm giữ.
07/06 Barack Obama bảo vệ 2 chương trình đó, nói chúng được các tòa án và Quốc hội giám sát. Khăng khăng rằng “sự cân bằng đúng” từng được cân nhắc giữa an ninh và tính riêng tư, ông nói: “Bạn không thể có 100% an ninh, và sau đó cũng có 100% tính riêng tư và 0 sự tiện lợi”. Tờ Guardian nói rằng GCHQ từng có khả năng nhìn các dữ liệu giao tiếp truyền thông của người sử dụng từ các công ty Internet của Mỹ, vì nó đã có sự truy cập tới PRISM.
08/06 Những rò rỉ khác của Snowden tiết lộ sự tồn tại của một công cụ nội bộ của NSA - Người cung cấp thông tin vô hạn (Boudless Informant) - cho phép nó ghi lại và phân tích các dữ liệu tới từ đâu, và nảy sinh ra các câu hỏi về những đảm bảo được liên tục của nó đối với Quốc hội rằng nó không thể theo dõi tất cả sự giám sát mà nó thực hiện trong các giao tiếp truyền thông của những người Mỹ.
09/06 Snowden quyết định ra công khai. Trong một phỏng vấn video anh ta nói: “Tôi không có ý định dấu mình là ai vì tôi biết tôi đã không làm gì sai trái”.
10/06 Snowden rời khỏi khách sạn ở Hong Kong.
12/06 Tờ Bưu điện Buổi sáng Nam Trung Hoa (South China Morning Post) của Hong Kong xuất bản cuộc phỏng vấn đầu tiên với Snowden kể từ khi anh ta đã tiết lộ danh tính của mình. Anh ta nói anh ta có ý định ở lại thành phố đó cho tới khi bị yêu cầu phải ra đi và tiết lộ rằng NSA đã và đang đột nhập vào các máy tính của Hong Kong và Trung Quốc kể từ năm 2009.
14/06 Văn phòng Nội địa chỉ thị cho các máy bay không cho phép Snowden lên bất kỳ chuyến bay nào tới Anh.
16/06 Tờ Guardian nói rằng GCHQ đã can thiệp vào các giao tiếp truyền thông của các chính trị gia nước ngoài tại hội nghị thượng đỉnh G20 năm 2009.
20/06 Các tài liệu tuyệt mật mà NSA sử dụng các thông tin “không cố ý” thu thập được từ các giao tiếp truyền thông nội bộ của Mỹ mà không có người cho phép.
21/06 Một bài báo dành riêng cho tờ Guardian tiết lộ rằng GCHQ đã giành được sự truy cập tới mạng các điện tín chở các cuộc gọi điện thoại và giao thông Internet của thế giới và đang xử lý các dòng khổng lồ các thông tin cá nhân nhạy cảm mà nó chia sẻ với NSA. Mỹ tố cáo sự gián điệp chống lại Snowden và yêu cầu Hong Kong giữ anh ta lại để dẫn độ.
23/06 Snowden rời Hong Kong trên một chuyến bay tới Moscow. Trong một tuyên bố, chính quyền Hong Kong nói các tài liệu được Mỹ đệ trình đã không “tuân thủ đầy đủ với các yêu cầu pháp lý theo luật của Hong Kong” và nó không có cơ sở pháp lý nào để ngăn cản anh ta rời đi. Snowden tới Moscow. Trong một tuyên bố, WikiLeaks nói nó từng hỗ trợ cho anh ta, một phần bằng việc cung cấp nhà cố vấn Sarah Harrison như một người dẫn đường, và nói anh ta từng định đi tới một quốc gia dân chủ, được tin tưởng là Ecuador, “qua một con đường an toàn”.
24/06 Các nhà báo lên chuyến bay từ Moscow tới Havana trong khi nói Snowden định lên đó - nhưng anh ta đã không lên.
25/06 Barack Obama thề sẽ dẫn độ Snowden trong khi John Kerry, Bộ trưởng Ngoại giao Mỹ, thúc giục Nga trao anh ta.
25/06 Bộ trưởng Ngoại giao Nga Sergei Lavrov nói Snowden chưa bao giờ đi qua biên giới vào Nga. Mà Putin sau đó nói Snowden ở sân bay Sheremetyevo và có tự do để rời Nga.
26/06 Putin nói Snowden sẽ không bị dẫn độ sang Mỹ. Ông từ chối rằng các dịch vụ an ninh của ông đã liên lạc được với Snowden.
26/06 Ecuador cảnh báo rằng nước này có thể mất hàng tháng để quyết định liệu có cho Snowden tị nạn hay không, chỉ ra rằng nước này mất 2 tháng để quyết định làm như vậy trong trường hợp của Julian Assange.
26/06 Hong Kong nói, trong khi những căng thẳng giữa Trung Quốc - Mỹ đang gia tăng, rằng Mỹ có tên đệm của Snowden sai trong các tài liệu được đệ trình để bắt anh ta.
27/06 Obama tuyên bố ông sẽ không bỏ ra nhiều vốn địa chính trị trong việc bắt giữ Snowden. Ông cũng nói rằng ông đã không nói cho Nga và Trung Quốc về sự dẫn độ.
27/06 Ecuador giữ quan điểm thách thức của mình, tái tuyên bố Luật Ưu tiên Buôn bán Andean của nước này với Mỹ. Nước này cũng đã chào cho Mỹ 23 triệu USD để huấn luyện về quyền con người.
28/06 Tổng thống Rafael Correa của Ecuador đã rút sự đồng ý an toàn cho của Snowden trong khi sự chọc giận mà Assange thì chính phủ Ecuador từng đảm nhận vai trò.
29/06 Correa tiết lộ rằng phó tổng thống Mỹ Joe Biden đã yêu cầu ông lật ngược lại yêu cầu xị tị nạn của Snowden.
01/07 Một quan chức lãnh sự tại Nga tiết lộ rằng Snowden đã đệ đơn xin tị nạn ở đó. WikiLeaks sau đó tiết lộ rằng anh ta đã đệ đơn xin tị nạn ở 20 nước khác, trong đó có Pháp, Đức, Ireland, Trung Quốc và Cuba.
01/07 Snowden đưa ra tuyên bố qua website của WikiLeaks trong đó anh ta nói rằng anh ta đã rời Hong Kong vì “sự tự do và an toàn của tôi đã bị đe dọa”. Anh ta nói là đạo đức giả khi Obama hứa không “thỏa thuận ngầm” nhưng sau đó chỉ thị cho Biden khuyến kích các quốc gia khác từ chối sự tị nạn của anh ta.
02/07 Snowden rút lại yêu cầu của anh ta xin tị nạn ở Nga sau khi Putin nói anh ta phải dừng “làm hại” và lợi ích của Mỹ. Trong khi đó thì Brazil, Ấn Độ, Nauy và Balan từ chối xin tị nạn của Snowden, trong khi Ecuador, Áo, Phần Lan, Đức, Ireland, Hà Lan, Nauy, Balan, Tây Ban Nha và Thụy Sỹ nói anh ta phải làm đơn xin từ các quốc gia của họ.
02/07 Lon Snowden, bố của Edward Snowden, và luật sư của bố anh ta, Bruce Fein, viết một bức thư ngỏ cho Edward Snowden khen ngợi anh ta, so sánh anh ta với Paul Revere và lưu ý quyết định của tòa án tối cao rằng “tình trạng không hộ chiếu sẽ không bị áp đặt như một hình phạt cho sự phạm tội”.
02/07 Bolivia quăng mũ của mình lên võ đài với việc tổng thống Evo Morales tuyên bố trên truyền hình Nga rằng ông có lẽ sẽ “bảo vệ người tố cáo”.
Evo Morales ở sân bay Vienna sau khi máy bay của ông, bay từ Moscow, đã bị các quan chức của Áo kiểm tra. Ảnh: Helmut Fohringer/AFP/Getty Images
03/07 Máy bay của Morales, trên đường từ Moscow về Bolivia, bị ép phải hạ cánh ở Vienna sau khi các nước châu Âu khác đã từ chối cho bay qua không phận, nghi là Snowden ở trên máy bay. Phó tổng thống Bolivia Alvaro Garcia nói Moralé từng “bị chủ nghĩa đế quốc bắt cóc”.
03/07 Venezuela, Argentina, Ecuador, Uruguay và Bolivia phản đối sự đối xử đối với Morales, người đã bị giữ lại ở sân bay Vienna 12 giờ đồng hồ trong khi máy bay của ông đã bị lục soát tìm Snowden. Bolivia đệ trình khiếu nại lên Liên hiệp quốc.
03/07 Tổng thư ký Liên hiệp quốc Ban Ki - moon nói rằng Snoden đã lạm dụng các quyền truy cập số của anh ta và đã tạo ra các vấn đề lớn hơn so với lợi ích tiết lộ công khai.
04/07 Morales gọi chuyến bay trở về của ông như một “sự khiêu khích mở” của “chủ nghĩa đế quốc bắc Mỹ” và thúc giục một số nước châu Âu hãy “tự giải phóng” khỏi Mỹ.
04/07 Ecuador tự rời ra khỏi Snowden khi nói rằng anh ta đang nằm dưới quyền của Nga và có thể tới được Ecuador trước khi được trao quyền tị nạn. Correa nói lãnh sự Ecuador đã hành động mà không có quyền khi đã cho Snowden một sự đồng ý tới tạm thời.
05/07 Tờ Bưu điện Washington, bất chấp đã xuất bản các câu chuyện dựa vào các rò rỉ của Snowden, bây giờ viết rằng anh ta nên bị ngăn chặn “khỏi việc rò rỉ các thông tin làm hại các nỗ lực chống khủng bố và tiến hành các hoạt động tình báo hợp pháp”.
06/07 Nicolás Maduro, tổng thống Venezuela, nói ông đã quyết định “đưa ra sự tị nạn nhân đạo” cho Snowden. Tổng thống Nicaragua Daniel Ortega nói công có thể chấp nhận yêu cầu tị nạn của Snowden “nếu hoàn cảnh cho phép”.
07/07 Alexei Pushkov, chủ tịch ủy ban đối ngoại Duma, viết trên twetter rằng sự chào tị nạn của Venezuela có thể là “cơ hội cuối cùng” của Snowden để tránh dẫn độ về Mỹ.
08/07 Tờ Guardian phát hành phần 2 cuộc phỏng vấn gốc của mình qua video với Snowden. Trong trích đoạn này Snowden nói anh ta tin tưởng chính phủ Mỹ “sẽ nói tôi đã phạm tội chết, tôi đã vi phạm Luật Gián điệp. Họ sẽ nói tôi đã giúp các kẻ địch của chúng ta”.
10/07 Glenn Greenwald, phóng viên tờ Guardian, người đã viết nhiều câu chuyện dựa vào các thông tin của Snowden, nói rằng Snowden vẫn giữ quan điểm anh ta đã không đưa các thông tin mật cho Trung Quốc và Nga, sau những tuyên bố sai từ tờ Thời báo New York hôm 24/06 rằng “Trung Quốc từng lấy dần các nội dung từ máy tính xách tay của anh ta”.
Edward Snowden dự một cuộc họp ở sân bay Sheremetyevo ở Moscow hôm 12/07. Ảnh: Tanya Lokshina/AP
12/07 Snowden gửi một bức thư cho các nhóm quyền con người yêu cầu họ gặp anh ta ở sân bay Sheremetyevo và nói có một “chiến dịch bất hợp pháp của các quan chức chính phủ Mỹ để từ chối quyền tìm kiếm và hưởng … sự tị nạn của tôi”. Trong cuộc họp anh ta nói anh ta sẽ xin tị nạn tạm thời ở Nga trong khi xin tị nạn vĩnh viễn ở một nước Mỹ Latin.
24/07 Anatoly Kucherena, một luật sư cố vấn cho Snowden, nói rằng tình trạng tị nạn của người làm rò rỉ thông tin NSA còn chưa được giải quyết xong và anh ta sẽ ở lại sân bay Moscow bây giờ. Kucherena nói rằng Snowden “có ý định ở lại Nga, nghiên cứu văn hóa Nga”, ngụ ý có lẽ là Snowden có thể sống ở Nga được tốt.
20 May Edward Snowden, an employee of defence contractor Booz Allen Hamilton at the National Security Agency, arrives in Hong Kong from Hawaii. He carries four laptop computers that enable him to gain access to some of the US government's most highly-classified secrets.
1 June Guardian journalists Glenn Greenwald and Ewen MacAskill and documentary maker Laura Poitras fly from New York to Hong Kong. They meet Snowden in a Kowloon hotel after he identifies himself with a Rubik's cube and begin a week of interviews with their source.
5 June The Guardian publishes its first exclusive based on Snowden's leak, revealing a secret court order showing that the US government had forced the telecoms giant Verizon to hand over the phone records of millions of Americans.
6 June A second story reveals the existence of the previously undisclosed programme Prism, which internal NSA documents claim gives the agency "direct access" to data held by Google, Facebook, Apple and other US internet giants. The tech companies deny that they have set up "back door access" to their systems for the US government.
7 June Barack Obama defends the two programmes, saying they are overseen by the courts and Congress. Insisting that "the right balance" had been struck between security and privacy, he says: "You can't have 100% security, and also then have 100% privacy and zero inconvenience."
The Guardian reports that GCHQ has been able to see user communications data from the American internet companies, because it had access to Prism.
8 June Another of Snowden's leaks reveals the existence of an internal NSA tool – Boundless Informant – that allows it to record and analyse where its data comes from, and raises questions about its repeated assurances to Congress that it cannot keep track of all the surveillance it performs on American communications.
9 June Snowden decides to go public. In a video interview he says: "I have no intention of hiding who I am because I know I have done nothing wrong."
10 June Snowden checks out of his Hong Kong hotel.
12 June Hong Kong's South China Morning Post publishes the first interview with Snowden since he revealed his identity. He says he intends to stay in the city until asked to leave and discloses that the NSA has been hacking into Hong Kong and Chinese computers since 2009.
14 June The Home Office instructs airlines not to allow Snowden to board any flights to the UK.
16 June The Guardian reports that GCHQ intercepted foreign politicians' communications at the 2009 G20 summit.
20 June Top secret documents published by the Guardian show how US judges have signed off on broad orders allowing the NSA to make use of information "inadvertently" collected from domestic US communications without a warrant.
21 June A Guardian exclusive reveals that GCHQ has gained access to the network of cables which carry the world's phone calls and internet traffic and is processing vast streams of sensitive personal information it shares with the NSA. The US files espionage charges against Snowden and requests that Hong Kong detain him for extradition.
23 June Snowden leaves Hong Kong on a flight to Moscow. In a statement, the Hong Kong government says documents submitted by the US did not "fully comply with the legal requirements under Hong Kong law" and it had no legal basis to prevent him leaving. Snowden arrives in Moscow. In a statement, WikiLeaks said it was assisting him, in part by providing adviser Sarah Harrison as an escort, and said he was heading to a democratic country, believed to be Ecuador, "via a safe route".
24 June Journalists board a flight from Moscow to Havana amid reports Snowden is about to board – but he doesn't.
25 June Barack Obama vows to extradite Snowden while John Kerry, US Secretary of State, urges Russia to hand him over.
25 June Russian foreign minister Sergei Lavrov claims Snowden never crossed the border into Russia. But Putin later says Snowden is at Sheremetyevo airport and is free to leave Russia.
26 June Putin says Snowden will not be extradited to America. He denies that his security services had contacted Snowden.
26 June Ecuador warns that it may take months to decide whether to offer Snowden asylum, pointing out that it took two months to decide whether to do so in the case of Julian Assange.
26 June Hong Kong claims, amid growing Sino-American tensions, that the US got Snowden's middle name wrong in documents submitted for his arrest.
27 June Obama declares he will not spend much geopolitical capital on apprehending Snowden. He also claims that he hasn't spoken to Russia nor China about extradition.
27 June Ecuador maintains its defiant stance, renouncing the Andean Trade Preference Act it has with America. The country also offered the US $23m (£15m) for human rights training.
28 June President Rafael Correa of Ecuador revokes Snowden's safe conduct pass amid irritation that Assange was taking over the role of the Ecuadorean government.
29 June Correa reveals that US vice-president Joe Biden asked him to turn down Snowden's asylum request.
1 July A consular official in Russia reveals that Snowden has applied for asylum there. WikiLeaks later reveal that he has applied for asylum in a further 20 countries, amongst them France, Germany, Ireland, China and Cuba.
1 July Snowden releases a statement through the WikiLeaks website in which he claims that he left Hong Kong because "my freedom and safety were under threat". He says it is hypocritical of Obama to promise no "wheeling and dealing" but then instruct Biden to encourage other nations to deny him asylum.
2 July Snowden retracts his request for Russian asylum after Putin says he must stop "bringing harm" to US interests. Meanwhile Brazil, India, Norway and Poland refuse Snowden asylum, while Ecuador, Austria, Finland, Germany, Ireland, the Netherlands, Norway, Poland, Spain and Switzerland say he has to apply from their countries.
2 July Lon Snowden, Edward Snowden's father, and his father's attorney, Bruce Fein, pen an open letter to Edward Snowden praising him, comparing him to Paul Revere and noting the US supreme court decision that "statelessness is not to be imposed as a punishment for crime".
2 July Bolivia throws its hat into the ring with president Evo Morales declaring on Russian television that he would "shield the denounced".
Picture.
Evo Morales at Vienna's airport after his plane, flying from Moscow, was inspected by Austrian officials. Photograph: Helmut Fohringer/AFP/Getty Images
3 July Morales's plane, en route from Moscow to Bolivia, is forced to land in Vienna after other European countries refused it airspace, suspecting that Snowden was on board. Bolivian vice-president Alvaro Garcia says Morales was "kidnapped by imperialism".
3 July Venezuela, Argentina, Ecuador, Uruguay and Bolivia denounce the treatment of Morales, who was held in Vienna airport for 12 hours while his plane was searched for Snowden. Bolivia files a complaint at the UN.
3 July UN secretary general Ban Ki-moon says that Snowden misused his rights to digital access and created problems greater than the public benefit of disclosure.
4 July Morales calls the rerouting of his flight an "open provocation" of "north American imperialism" and urges some European countries to "free themselves" from America.
4 July Ecuador distances itself from Snowden saying that he is under Russia's authority and would have to reach Ecuador before being granted asylum. Correa said the Ecuadorean consul acted without authority when it issued Snowden a temporary travel pass.
5 July The Washington Post, despite having published stories based on Snowden's leaks, now writes that he should be prevented "from leaking information that harms efforts to fight terrorism and conduct legitimate intelligence operations".
6 July Nicolás Maduro, the president of Venezuela, says he has decided "to offer humanitarian asylum" to Snowden. Nicaraguan president Daniel Ortega says he could accept Snowden's asylum request "if circumstances permit".
7 July Alexei Pushkov, chair of the Duma's foreign affairs committee, tweets that Venezuela's asylum offer may be Snowden's "last chance" to avoid extradition to the US.
8 July The Guardian releases the second part of its original video interview with Snowden. In this extract Snowden says he believes the US government "are going to say I have committed grave crimes, I have violated the Espionage Act. They are going to say I have aided our enemies".
10 July Glenn Greenwald, the Guardian columnist who has written many of the stories based on Snowden's information, says that Snowden maintains he didn't give classified information to China or Russia, following erroneous claims from the New York Times on 24 June that China had been "draining the contents of his laptop".
Picture
Edward Snowden attends a meeting at Moscow's Sheremetyevo airport on 12 July. Photograph: Tanya Lokshina/AP
12 July Snowden sends a letter to human rights groups asking them to meet him at Sheremetyevo airport and claiming there is "an unlawful campaign by officials in the US government to deny my right to seek and enjoy... asylum". At the meeting he says he will be applying for temporary asylum in Russia while he applies for permanent asylum in a Latin American country.
24 July Anatoly Kucherena, a lawyer advising Snowden, states that the NSA leaker's asylum status has not been resolved and he will stay at Moscow airport for now. Kucherena claims that Snowden "intends to stay in Russia, study Russian culture", implying perhaps that Snowden may live in Russia for good.
Dịch: Lê Trung Nghĩa

Một vài suy nghĩ về Microsoft và NSA


Some thoughts on Microsoft and the NSA
Jul 17, 2013 11:18 am by Kip Kniskern
Bài được đưa lên Internet ngày: 17/07/2013
Lời người dịch: So sánh 2 công bố, (1) của Tổng cố vấn của Microsoft Brad Smith và (2) của Giám đốc Pháp lý của Google là David Drummond vào ngày 19/06 để thấy sự khác biệt về mức độ cộng tác của 2 hãng khổng lồ về công nghệ này, cho dù đó chỉ là lời từ một phía, các hãng đó. Brad Smith: 'Để rõ ràng, chúng tôi không cung cấp cho bất kỳ chính phủ nào với khả năng để phá mật mã, cũng không cung cấp cho chính phủ với các khóa mật mã. Khi chúng tôi phải có bổn phận pháp lý tuân thủ với các yêu cầu, chúng tôi kéo các nội dung đặc thù từ các máy chủ của chúng tôi nơi mà nó nằm trong trạng thái không được mã hóa, và sau đó chúng tôi cung cấp nó cho cơ quan chính phủ'; Còn David Drummond: 'Không có tự do cho tất cả, không có truy cập trực tiếp, không có truy cập không trực tiếp, không có cửa hậu, không có hộp thả'. Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.
Còn nhớ câu thành ngữ về người mù tả con voi? Đó là tình huống chúng ta đang ở trong khi cố gắng nặn đầu xung quanh tất cả vòng xoáy thông tin về những tiết lộ của Edward Snowden về Cơ quan An ninh Quốc gia - NSA (National Security Agency), PRISM, và mức độ hợp tấc (hoặc bị ép buộc) giữa Chính phủ Mỹ thông qua NSA, và các nhà cung cấp dịch vụ Internet của Mỹ như Microsoft. Và không giống như dạng “các rò rỉ” mà chúng ta thường làm với, đó là, thông tin trước đớ về sự sớm sẽ có thông tin công khai về chiếc điện thoại thông minh tuyệt vời tiếp theo hay phiên bản mới nhất của phần mềm yêu thích của chúng ta, sự thật là chúng ta có thể không bao giờ biết được hoàn toàn những gì NSA từng làm, và đang và sẽ làm khi nói về các giao tiếp truyền thông qua Microsoft hoặc các nhà cung cấp dịch vụ khác.
Tuần trước, tờ Guardian đã xuất bản một tập các tiết lộ nhằm hầu như hoàn toàn vào mối quan hệ với Microsoft. Tờ Guardian đã làm sôi lên một cách có ích những tiết lộ với một vài điểm:
Các tệp được Edward Snowden minh họa phạm vi hợp tác giữa Thung lũng Silicon và các cơ quan tình báo trong 3 năm qua. Chúng cũng phơi ra ánh sáng các công việc của chương trình tuyệt mật PRISM mà đã được tờ Guardian và Bưu điện Washington mở ra vào tháng trước.
Các tài liệu chỉ ra rằng:
  • Microsoft đã giúp NSA phá mật mã của hãng để giải quyết các mối lo ngại rằng cơ quan đó có thể không có khả năng can thiệp được các web chat trong cổng Outlook.com.
  • Cơ quan đó đã có sự truy cập giai đoạn trước mã hóa tới thư điện tử trên Outlook.com, bao gồm cả Hotmail;
  • Hãng đã làm việc với FBI trong năm nay để cho phép NSA dễ dàng truy cập hơn thông qua PRISM tới dịch vụ lưu trữ đám mây SkyDrive, mà bây giờ có hơn 250 triệu người sử dụng trên toàn cầu;
  • Microsoft cũng đã làm việc với Đơn vị Can thiệp Dữ liệu của FBI để “hiểu” các vấn đề tiềm tàng với một tính năng trong Outlook.com mà cho phép những người sử dụng tạo các tên hiệu (aliases) cho thư điện tử.
  • Vào tháng 07/2012, 9 tháng sau khi Microsoft mua Skype, NSA đã khoe khoang rằng một khả năng mới đã làm tăng gấp 3 lần số lượng các cuộc gọi video của Skype đang được thu thập thông qua PRISM;
  • Tư liệu thu thập được qua PRISM thường xuyên được chia sẻ với FBI và CIA, với một tài liệu mô tả chương trình này như là một “đội thể thao”.
Một số xuất bản phẩm khác đã nhanh chóng đánh Microsoft vì mối quan hệ của nó với NSA, bao gồm Slate, đã xuất bản một dòng thời gian việc làm ăn của Skype với NSA, bao gồm:
… sẽ là rõ ràng bây giờ rằng những người sử dụng không nên coi Skype như là phương tiện giao tiếp có an ninh. Việc thực hiện một cuộc gọi quốc tế trong Skype vẫn có thể là một sự đánh cược khá an toàn hơn so với một cuộc gọi quốc tế từ một đường mặt đất hoặc điện thoại di động không có mã hóa. Nhưng các nhà hoạt động xã hội, các phóng viên, và những người khác mà muốn đảm bảo rằng các giao tiếp truyền thông của họ vẫn là bí mật thì không nên đánh bạc với Skype hoặc bất kỳ dịch vụ nào của Microsoft.
Tuy nhiên, Tổng cố vấn của Microsoft Brad Smith đã đặt Microsoft lên blog các vấn đề để giải quyết các tiết lộ tới từ Snowden thông qua Guardian, và vội vã đưa lên như sau:
  • Microsoft không cung cấp bất kỳ sự truy cập trực tiếp và tự do nào cho chính phủ tới các dữ liệu của khách hàng. Microsoft chỉ kéo và sau đó cung cấp các dữ liệu đặc thù do yêu cầu pháp lý phù hợp bắt buộc.
  • Nếu một chính phủ muốn các dữ liệu của khách hàng - bao gồm cả vì các mục đích an ninh quốc gia - thì nó cần tuân theo qui trình pháp lý được phê chuẩn, nghĩa là nó phải phục vụ chúng tôi với một lệnh của tòa án về nội dung hoặc trát đòi hầu tòa về thông tin các tài khoản.
  • Chúng tôi chỉ trả lời những yêu cầu đối với các tài khoản và định danh đặc thù. Không có tấm chăn phủ nào hoặc sự truy cập bừa bãi tới các dữ liệu khách hàng của Microsoft. Dữ liệu tổng hợp mà chúng tôi từng có khả năng để xuất bản chỉ rõ ràng rằng chỉ một phần nhỏ - một số phần trăm nhỏ - các khách hàng của chúng tôi tuân thủ theo các yêu cầu của một chính phủ có liên quan tới luật chống tội phạm hoặc an ninh quốc gia.
  • Tất cả các yêu cầu đó rõ ràng được đội tuân thủ của Microsoft rà soát lại, những người đảm bảo yêu cầu là hợp lệ, từ chối những yêu cầu không hợp lệ, và chắc chắn chúng tôi chỉ cung cấp các dữ liệu đặc thù theo lệnh. Trong khi chúng tôi có bổn phận phải tuân thủ, chúng tôi tiếp tục xử trí qui trình tuân thủ bằng việc theo dõi các lệnh nhận được, đảm bảo chúng là hợp lệ, và tiết lộ chỉ các dữ liệu mà lệnh đó đề cập tới.
Vì thế, trong khi Smith không tranh luận về những lý lẽ được bài trên Guardian khẳng định, ông khăng khăng rằng chúng chỉ đúng trong một tập hợp nhỏ có kiểm soát các hoàn cảnh. Những gì không được nêu là ở đâu và làm thế nào sự truy cập này xảy ra (từ một tập hợp đặc biệt các máy chủ của Microsoft?, từ các máy chủ của NSA bên trong Microsoft?), dù từ bức thư của Brad Smith hình như không phải là Microsoft đi ngầm một số tài khoản tới một số dạng địa điểm nơi mà sự truy cập của NSA là sẵn sàng;
Để rõ ràng, chúng tôi không cung cấp cho bất kỳ chính phủ nào với khả năng để phá mật mã, cũng không cung cấp cho chính phủ với các khóa mật mã. Khi chúng tôi phải có bổn phận pháp lý tuân thủ với các yêu cầu, chúng tôi kéo các nội dung đặc thù từ các máy chủ của chúng tôi nơi mà nó nằm trong trạng thái không được mã hóa, và sau đó chúng tôi cung cấp nó cho cơ quan chính phủ.
Điều này dường như là khác với những gì Google đã làm để tuân thủ với các yêu cầu của NSA. Trong một phiên hỏi đáp mà tờ Guardian đã tổ chức với Giám đốc Pháp lý của Google là David Drummond, ông nói, vào ngày 19/06:
Không có tự do cho tất cả, không có truy cập trực tiếp, không có truy cập không trực tiếp, không có cửa hậu, không có hộp thả.
Hơn nữa, với tất cả sự cãi vã về việc Microsoft cung cấp bao nhiêu sự truy cập cho NSA, nếu Edward Snowden là tin tưởng được, thì NSA có thể có phương tiện truy cập khác, bất kỳ cách gì. Trong tuyên bố gần đây nhất của anh ta từ sân bay Moscow sau khi gặp các quan chức từ WikiLeaks, Snowden nói:
Hello. Tôi tên là Ed Snowden. Hơn một tháng trước một chút, tôi đã có gia đình, một ngôi nhà ở thiên đường, và tôi đã sống trong tiện nghi tuyệt vời. Tôi cũng đã có khả năng không cần bất kỳ sự cho phép nào để tìm kiếm, chiếm đoạt và đọc các giao tiếp truyền thông của bạn. Các giao tiếp truyền thông của bất kỳ ai ở bất kỳ thời điểm nào. Đó là một sức mạnh sẽ làm thay đổi các số phận của con người.
Đây cũng là một vi phạm luật nghiêm trọng. Những sửa đổi bổ sung lần thứ 4 và 5 Hiến pháp của đất nước tôi, Điều 12 của Tuyên bố Chung về Quyền Con người, và vô số các qui chế và hiệp định cấm các hệ thống giám sát ồ ạt, khắp nơi như vậy.
Microsoft nói hãng chỉ cung cấp sự truy cập theo các chỉ dẫn nghiêm ngặt, và hiếm khi. Vâng Snowden nói anh ta có thể đọc “các giao tiếp truyền thông của bất kỳ ai bất kỳ lúc nào”. Hoặc ai đó đang nói dối, hoặc NSA có biện pháp truy cập khác tới các giao tiếp truyền thông mà chúng ta còn chưa nghe thấy. Con đường nào thì cũng là đỉnh của tảng băng, một câu chuyện mà sẽ tiếp tục được chơi một thời gian dài nữa.
Remember the old proverb about blind men describing an elephant? That’s the situation we’re in when trying to get our heads around all the news swirling around Edward Snowden’s revelations about the NSA, PRISM, and the extent of cooperation (or coercion) between the US Government via the NSA, and internet services providers like Microsoft. And unlike the kind of “leaks” we’re used to dealing with, that is, early information about soon to be public information about the next great smartphone or the latest version of our favorite software, the truth is we may never learn completely what the NSA has been, is, and will be doing when it comes to internet communications via Microsoft or the other service providers.
Last week, The Guardian published a set of revelations focusing almost entirely on the NSA’s relationship with Microsoft. The Guardian helpfully boiled the revelations down to a few bullet points:
The files provided by Edward Snowden illustrate the scale of co-operation between Silicon Valley and the intelligence agencies over the last three years. They also shed new light on the workings of the top-secret Prism program, which was disclosed by the Guardian and the Washington Post last month.
The documents show that:
• Microsoft helped the NSA to circumvent its encryption to address concerns that the agency would be unable to intercept web chats on the new Outlook.com portal;
• The agency already had pre-encryption stage access to email on Outlook.com, including Hotmail;
• The company worked with the FBI this year to allow the NSA easier access via Prism to its cloud storage service SkyDrive, which now has more than 250 million users worldwide;
• Microsoft also worked with the FBI’s Data Intercept Unit to “understand” potential issues with a feature in Outlook.com that allows users to create email aliases;
• In July last year, nine months after Microsoft bought Skype, the NSA boasted that a new capability had tripled the amount of Skype video calls being collected through Prism;
• Material collected through Prism is routinely shared with the FBI and CIA, with one NSA document describing the program as a “team sport”.
A number of other publications were quick to assail Microsoft for its relationship with the NSA, including Slate, which published a Timeline of Skype’s dealings with the NSA, concluding that:
…it should be clear now that users should not consider Skype a secure means of communication. Making an international call by Skype is still probably a moderately safer bet than making an international call by an unencrypted landline or mobile phone. But activists, journalists, and others who want to ensure that their communications remain confidential should not take a gamble with Skype or any other Microsoft service
However, Microsoft’s General Counsel Brad Smith took to the Microsoft on the Issues blog to address the revelations coming from Snowden via The Guardian, and the rash of posts that followed:
In short, when governments seek information from Microsoft relating to customers, we strive to be principled, limited in what we disclose, and committed to transparency. Put together, all of this adds up to the following across all of our software and services:
  • Microsoft does not provide any government with direct and unfettered access to our customer’s data. Microsoft only pulls and then provides the specific data mandated by the relevant legal demand.
  • If a government wants customer data – including for national security purposes – it needs to follow applicable legal process, meaning it must serve us with a court order for content or subpoena for account information.
  • We only respond to requests for specific accounts and identifiers. There is no blanket or indiscriminate access to Microsoft’s customer data. The aggregate data we have been able to publish shows clearly that only a tiny fraction – fractions of a percent – of our customers have ever been subject to a government demand related to criminal law or national security.
  • All of these requests are explicitly reviewed by Microsoft’s compliance team, who ensure the request are valid, reject those that are not, and make sure we only provide the data specified in the order. While we are obligated to comply, we continue to manage the compliance process by keeping track of the orders received, ensuring they are valid, and disclosing only the data covered by the order.
So, while Smith doesn’t dispute the allegations asserted in The Guardian post, he insists that they’re only true in a small and tightly controlled set of circumstances. What isn’t said is where and how this access occurs (from a special set of Microsoft servers?, from NSA servers within Microsoft?), although from Brad Smith’s letter it does seem apparent that Microsoft is funneling some accounts to some kind of area where NSA access is available:
To be clear, we do not provide any government with the ability to break the encryption, nor do we provide the government with the encryption keys. When we are legally obligated to comply with demands, we pull the specified content from our servers where it sits in an unencrypted state, and then we provide it to the government agency.
This appears to be different than what Google has done to comply with NSA requests. In a Q-n-A session The Guardian hosted with Google’s Chief Legal Officer David Drummond, he said, on June 19th:
There is no free-for-all, no direct access, no indirect access, no back door, no drop box.
Still, with all the wrangling over how much access Microsoft is providing to the NSA, if Edward Snowden is to be believed, the NSA may have other means of access, anyway. In his most recent statement from the Moscow Airport after meeting with officials from WikiLeaks, Snowden said:
Hello. My name is Ed Snowden. A little over one month ago, I had family, a home in paradise, and I lived in great comfort. I also had the capability without any warrant to search for, seize, and read your communications. Anyone’s communications at any time. That is the power to change people’s fates.
It is also a serious violation of the law. The 4th and 5th Amendments to the Constitution of my country, Article 12 of the Universal Declaration of Human Rights, and numerous statutes and treaties forbid such systems of massive, pervasive surveillance.
Microsoft says it only provides access under strict guidelines, and rarely. Yet Snowden says he could read “anyone’s communications at any time”. Either someone is lying, or the NSA has other means of access to our communications that we haven’t heard about yet. Either way it’s the tip of the iceberg, a story that will continue to play out for a long time.
Dịch: Lê Trung Nghĩa