Một vài suy nghĩ về Microsoft và NSA

Some thoughts on Microsoft and the NSA

Jul 17, 2013 11:18 am by Kip Kniskern

Theo: http://www.liveside.net/2013/07/17/some-thoughts-on-microsoft-and-the-nsa/

Bài được đưa lên Internet ngày: 17/07/2013

Lời người dịch: So sánh 2 công bố, (1) của Tổng cố vấn của Microsoft Brad Smith và (2) của Giám đốc Pháp lý của Google là David Drummond vào ngày 19/06 để thấy sự khác biệt về mức độ cộng tác của 2 hãng khổng lồ về công nghệ này, cho dù đó chỉ là lời từ một phía, các hãng đó. Brad Smith: 'Để rõ ràng, chúng tôi không cung cấp cho bất kỳ chính phủ nào với khả năng để phá mật mã, cũng không cung cấp cho chính phủ với các khóa mật mã. Khi chúng tôi phải có bổn phận pháp lý tuân thủ với các yêu cầu, chúng tôi kéo các nội dung đặc thù từ các máy chủ của chúng tôi nơi mà nó nằm trong trạng thái không được mã hóa, và sau đó chúng tôi cung cấp nó cho cơ quan chính phủ'; Còn David Drummond: 'Không có tự do cho tất cả, không có truy cập trực tiếp, không có truy cập không trực tiếp, không có cửa hậu, không có hộp thả'. Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.

Còn nhớ câu thành ngữ về người mù tả con voi? Đó là tình huống chúng ta đang ở trong khi cố gắng nặn đầu xung quanh tất cả vòng xoáy thông tin về những tiết lộ của Edward Snowden về Cơ quan An ninh Quốc gia - NSA (National Security Agency), PRISM, và mức độ hợp tấc (hoặc bị ép buộc) giữa Chính phủ Mỹ thông qua NSA, và các nhà cung cấp dịch vụ Internet của Mỹ như Microsoft. Và không giống như dạng “các rò rỉ” mà chúng ta thường làm với, đó là, thông tin trước đớ về sự sớm sẽ có thông tin công khai về chiếc điện thoại thông minh tuyệt vời tiếp theo hay phiên bản mới nhất của phần mềm yêu thích của chúng ta, sự thật là chúng ta có thể không bao giờ biết được hoàn toàn những gì NSA từng làm, và đang và sẽ làm khi nói về các giao tiếp truyền thông qua Microsoft hoặc các nhà cung cấp dịch vụ khác.

Tuần trước, tờ Guardian đã xuất bản một tập các tiết lộ nhằm hầu như hoàn toàn vào mối quan hệ với Microsoft. Tờ Guardian đã làm sôi lên một cách có ích những tiết lộ với một vài điểm:

Các tệp được Edward Snowden minh họa phạm vi hợp tác giữa Thung lũng Silicon và các cơ quan tình báo trong 3 năm qua. Chúng cũng phơi ra ánh sáng các công việc của chương trình tuyệt mật PRISM mà đã được tờ Guardian và Bưu điện Washington mở ra vào tháng trước.

Các tài liệu chỉ ra rằng:

• Microsoft đã giúp NSA phá mật mã của hãng để giải quyết các mối lo ngại rằng cơ quan đó có thể không có khả năng can thiệp được các web chat trong cổng Outlook.com.

• Cơ quan đó đã có sự truy cập giai đoạn trước mã hóa tới thư điện tử trên Outlook.com, bao gồm cả Hotmail;

• Hãng đã làm việc với FBI trong năm nay để cho phép NSA dễ dàng truy cập hơn thông qua PRISM tới dịch vụ lưu trữ đám mây SkyDrive, mà bây giờ có hơn 250 triệu người sử dụng trên toàn cầu;

• Microsoft cũng đã làm việc với Đơn vị Can thiệp Dữ liệu của FBI để “hiểu” các vấn đề tiềm tàng với một tính năng trong Outlook.com mà cho phép những người sử dụng tạo các tên hiệu (aliases) cho thư điện tử.

• Vào tháng 07/2012, 9 tháng sau khi Microsoft mua Skype, NSA đã khoe khoang rằng một khả năng mới đã làm tăng gấp 3 lần số lượng các cuộc gọi video của Skype đang được thu thập thông qua PRISM;

• Tư liệu thu thập được qua PRISM thường xuyên được chia sẻ với FBI và CIA, với một tài liệu mô tả chương trình này như là một “đội thể thao”.

Một số xuất bản phẩm khác đã nhanh chóng đánh Microsoft vì mối quan hệ của nó với NSA, bao gồm Slate, đã xuất bản một dòng thời gian việc làm ăn của Skype với NSA, bao gồm:

… sẽ là rõ ràng bây giờ rằng những người sử dụng không nên coi Skype như là phương tiện giao tiếp có an ninh. Việc thực hiện một cuộc gọi quốc tế trong Skype vẫn có thể là một sự đánh cược khá an toàn hơn so với một cuộc gọi quốc tế từ một đường mặt đất hoặc điện thoại di động không có mã hóa. Nhưng các nhà hoạt động xã hội, các phóng viên, và những người khác mà muốn đảm bảo rằng các giao tiếp truyền thông của họ vẫn là bí mật thì không nên đánh bạc với Skype hoặc bất kỳ dịch vụ nào của Microsoft.

Tuy nhiên, Tổng cố vấn của Microsoft Brad Smith đã đặt Microsoft lên blog các vấn đề để giải quyết các tiết lộ tới từ Snowden thông qua Guardian, và vội vã đưa lên như sau:

• Microsoft không cung cấp bất kỳ sự truy cập trực tiếp và tự do nào cho chính phủ tới các dữ liệu của khách hàng. Microsoft chỉ kéo và sau đó cung cấp các dữ liệu đặc thù do yêu cầu pháp lý phù hợp bắt buộc.

• Nếu một chính phủ muốn các dữ liệu của khách hàng - bao gồm cả vì các mục đích an ninh quốc gia - thì nó cần tuân theo qui trình pháp lý được phê chuẩn, nghĩa là nó phải phục vụ chúng tôi với một lệnh của tòa án về nội dung hoặc trát đòi hầu tòa về thông tin các tài khoản.

• Chúng tôi chỉ trả lời những yêu cầu đối với các tài khoản và định danh đặc thù. Không có tấm chăn phủ nào hoặc sự truy cập bừa bãi tới các dữ liệu khách hàng của Microsoft. Dữ liệu tổng hợp mà chúng tôi từng có khả năng để xuất bản chỉ rõ ràng rằng chỉ một phần nhỏ - một số phần trăm nhỏ - các khách hàng của chúng tôi tuân thủ theo các yêu cầu của một chính phủ có liên quan tới luật chống tội phạm hoặc an ninh quốc gia.

• Tất cả các yêu cầu đó rõ ràng được đội tuân thủ của Microsoft rà soát lại, những người đảm bảo yêu cầu là hợp lệ, từ chối những yêu cầu không hợp lệ, và chắc chắn chúng tôi chỉ cung cấp các dữ liệu đặc thù theo lệnh. Trong khi chúng tôi có bổn phận phải tuân thủ, chúng tôi tiếp tục xử trí qui trình tuân thủ bằng việc theo dõi các lệnh nhận được, đảm bảo chúng là hợp lệ, và tiết lộ chỉ các dữ liệu mà lệnh đó đề cập tới.

Vì thế, trong khi Smith không tranh luận về những lý lẽ được bài trên Guardian khẳng định, ông khăng khăng rằng chúng chỉ đúng trong một tập hợp nhỏ có kiểm soát các hoàn cảnh. Những gì không được nêu là ở đâu và làm thế nào sự truy cập này xảy ra (từ một tập hợp đặc biệt các máy chủ của Microsoft?, từ các máy chủ của NSA bên trong Microsoft?), dù từ bức thư của Brad Smith hình như không phải là Microsoft đi ngầm một số tài khoản tới một số dạng địa điểm nơi mà sự truy cập của NSA là sẵn sàng;

Để rõ ràng, chúng tôi không cung cấp cho bất kỳ chính phủ nào với khả năng để phá mật mã, cũng không cung cấp cho chính phủ với các khóa mật mã. Khi chúng tôi phải có bổn phận pháp lý tuân thủ với các yêu cầu, chúng tôi kéo các nội dung đặc thù từ các máy chủ của chúng tôi nơi mà nó nằm trong trạng thái không được mã hóa, và sau đó chúng tôi cung cấp nó cho cơ quan chính phủ.

Điều này dường như là khác với những gì Google đã làm để tuân thủ với các yêu cầu của NSA. Trong một phiên hỏi đáp mà tờ Guardian đã tổ chức với Giám đốc Pháp lý của Google là David Drummond, ông nói, vào ngày 19/06:

Không có tự do cho tất cả, không có truy cập trực tiếp, không có truy cập không trực tiếp, không có cửa hậu, không có hộp thả.

Hơn nữa, với tất cả sự cãi vã về việc Microsoft cung cấp bao nhiêu sự truy cập cho NSA, nếu Edward Snowden là tin tưởng được, thì NSA có thể có phương tiện truy cập khác, bất kỳ cách gì. Trong tuyên bố gần đây nhất của anh ta từ sân bay Moscow sau khi gặp các quan chức từ WikiLeaks, Snowden nói:

Hello. Tôi tên là Ed Snowden. Hơn một tháng trước một chút, tôi đã có gia đình, một ngôi nhà ở thiên đường, và tôi đã sống trong tiện nghi tuyệt vời. Tôi cũng đã có khả năng không cần bất kỳ sự cho phép nào để tìm kiếm, chiếm đoạt và đọc các giao tiếp truyền thông của bạn. Các giao tiếp truyền thông của bất kỳ ai ở bất kỳ thời điểm nào. Đó là một sức mạnh sẽ làm thay đổi các số phận của con người.

Đây cũng là một vi phạm luật nghiêm trọng. Những sửa đổi bổ sung lần thứ 4 và 5 Hiến pháp của đất nước tôi, Điều 12 của Tuyên bố Chung về Quyền Con người, và vô số các qui chế và hiệp định cấm các hệ thống giám sát ồ ạt, khắp nơi như vậy.

Microsoft nói hãng chỉ cung cấp sự truy cập theo các chỉ dẫn nghiêm ngặt, và hiếm khi. Vâng Snowden nói anh ta có thể đọc “các giao tiếp truyền thông của bất kỳ ai bất kỳ lúc nào”. Hoặc ai đó đang nói dối, hoặc NSA có biện pháp truy cập khác tới các giao tiếp truyền thông mà chúng ta còn chưa nghe thấy. Con đường nào thì cũng là đỉnh của tảng băng, một câu chuyện mà sẽ tiếp tục được chơi một thời gian dài nữa.

Remember the old proverb about blind men describing an elephant? That’s the situation we’re in when trying to get our heads around all the news swirling around Edward Snowden’s revelations about the NSA, PRISM, and the extent of cooperation (or coercion) between the US Government via the NSA, and internet services providers like Microsoft. And unlike the kind of “leaks” we’re used to dealing with, that is, early information about soon to be public information about the next great smartphone or the latest version of our favorite software, the truth is we may never learn completely what the NSA has been, is, and will be doing when it comes to internet communications via Microsoft or the other service providers.

Last week, The Guardian published a set of revelations focusing almost entirely on the NSA’s relationship with Microsoft. The Guardian helpfully boiled the revelations down to a few bullet points:

The files provided by Edward Snowden illustrate the scale of co-operation between Silicon Valley and the intelligence agencies over the last three years. They also shed new light on the workings of the top-secret Prism program, which was disclosed by the Guardian and the Washington Post last month.

The documents show that:

• Microsoft helped the NSA to circumvent its encryption to address concerns that the agency would be unable to intercept web chats on the new Outlook.com portal;

• The agency already had pre-encryption stage access to email on Outlook.com, including Hotmail;

• The company worked with the FBI this year to allow the NSA easier access via Prism to its cloud storage service SkyDrive, which now has more than 250 million users worldwide;

• Microsoft also worked with the FBI’s Data Intercept Unit to “understand” potential issues with a feature in Outlook.com that allows users to cre-ate email aliases;

• In July last year, nine months after Microsoft bought Skype, the NSA boasted that a new capability had tripled the amount of Skype video calls being collected through Prism;

• Material collected through Prism is routinely shared with the FBI and CIA, with one NSA document describing the program as a “team sport”.

A number of other publications were quick to assail Microsoft for its relationship with the NSA, including Slate, which published a Timeline of Skype’s dealings with the NSA, concluding that:

…it should be clear now that users should not consider Skype a secure means of communication. Making an international call by Skype is still probably a moderately safer bet than making an international call by an unencrypted landline or mobile phone. But activists, journalists, and others who want to ensure that their communications remain confidential should not take a gamble with Skype or any other Microsoft service

However, Microsoft’s General Counsel Brad Smith took to the Microsoft on the Issues blog to address the revelations coming f-rom Snowden via The Guardian, and the rash of posts that followed:

In short, when governments seek information f-rom Microsoft relating to customers, we strive to be principled, limited in what we disclose, and committed to transparency. Put together, all of this adds up to the following across all of our software and services:

• Microsoft does not provide any government with direct and unfettered access to our customer’s data. Microsoft only pulls and then provides the specific data mandated by the relevant legal demand.

• If a government wants customer data – including for national security purposes – it needs to follow applicable legal process, meaning it must serve us with a court order for content or subpoena for account information.

• We only respond to requests for specific accounts and identifiers. There is no blanket or indiscriminate access to Microsoft’s customer data. The aggregate data we have been able to publish shows clearly that only a tiny fraction – fractions of a percent – of our customers have ever been subject to a government demand related to criminal law or national security.

• All of these requests are explicitly reviewed by Microsoft’s compliance team, who ensure the request are valid, reject those that are not, and make sure we only provide the data specified in the order. While we are obligated to comply, we continue to manage the compliance process by keeping track of the orders received, ensuring they are valid, and disclosing only the data covered by the order.

So, while Smith doesn’t dispute the allegations asserted in The Guardian post, he insists that they’re only true in a small and tightly controlled set of circumstances. What isn’t said is whe-re and how this access occurs (f-rom a special set of Microsoft servers?, f-rom NSA servers within Microsoft?), although f-rom Brad Smith’s letter it does seem apparent that Microsoft is funneling some accounts to some kind of area whe-re NSA access is available:

To be clear, we do not provide any government with the ability to break the encryption, nor do we provide the government with the encryption keys. When we are legally obligated to comply with demands, we pull the specified content f-rom our servers whe-re it sits in an unencrypted state, and then we provide it to the government agency.

This appears to be different than what Google has done to comply with NSA requests. In a Q-n-A session The Guardian hosted with Google’s Chief Legal Officer David Drummond, he said, on June 19^th:

There is no free-for-all, no direct access, no indirect access, no back door, no d-rop box.

Still, with all the wrangling over how much access Microsoft is providing to the NSA, if Edward Snowden is to be believed, the NSA may have other means of access, anyway. In his most recent statement f-rom the Moscow Airport after meeting with officials f-rom WikiLeaks, Snowden said:

Hello. My name is Ed Snowden. A little over one month ago, I had family, a home in paradise, and I lived in great comfort. I also had the capability without any warrant to search for, seize, and read your communications. Anyone’s communications at any time. That is the power to change people’s fates.

It is also a serious violation of the law. The 4th and 5th Amendments to the Constitution of my country, Article 12 of the Universal Declaration of Human Rights, and numerous statutes and treaties forbid such systems of massive, pervasive surveillance.

Microsoft says it only provides access under strict guidelines, and rarely. Yet Snowden says he could read “anyone’s communications at any time”. Either someone is lying, or the NSA has other means of access to our communications that we haven’t heard about yet. Either way it’s the tip of the iceberg, a story that will continue to play out for a long time.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com