Blog FOSS by Lê Trung Nghĩa

https://letrungnghia.mangvn.org


Bạn có thể tin Microsoft với các bí mật công ty của bạn không?

P { margin-bottom: 0.21cm; }A:link { }

Can You Trust Microsoft With Your Company Secrets?

Published 14:12, 17 July 13, by Glyn Moody

Theo: http://blogs.computerworlduk.com/open-enterprise/2013/07/can-microsoft-keep-your-companys-secrets/index.htm

Bài được đưa lên Internet ngày: 13/07/2013

Lời người dịch: Trích đoạn: “Điều đó ngụ ý rằng bất kỳ công ty nào không phải của Mỹ đang sử dụng các sản phẩm của Microsoft đều có rủi ro các bí mật tập đoàn của mình được truyền tới các đối thủ Mỹ, với khả năng gây ra các hậu quả tài chính nghiêm trọng. Bao lâu rồi, trước khi các nhà đầu tư đóng góp bắt đầu kiện các công ty về việc tiếp tục cẩu thả sử dụng các sản phẩm của Microsoft? Bao lâu rồi trước khi các công ty bắt đầu nhận thức ra được thực tế rằng trong các tài khoản của công ty, khi sự hiện diện của những gì chỉ có thể được gọi là phần mềm gián điệp phải được công bố như một rủi ro vận hành cho tương lai - một điều có thể gây ra cho công ty thất bại một cách thảm hại?”, “Microsoft không chỉ chào các ưu thế không thực tế so với các phần mềm tự do tương đương khi nói về hiệu năng, giá thành, độ đàn hồi và sức mạnh, mà rằng nó thể hiện một khả năng tổn thương nghiêm trọng tiềm tàng cho thông tin bí mật của công ty, làm cho sự sử dụng của nguồn mở càng cuốn hút hơn. Câu hỏi bây giờ rõ ràng là không phải: vì sao một công ty có thể sử dụng nguồn mở? Mà là: liệu một công ty lành mạnh có thể sử dụng bất kỳ thứ gì khác?”. Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.

Khoảng một tháng trước, tôi đã viết về thực tế khác thường rằng Microsoft thường xuyên chuyển các khai thác lỗi ngày số 0 (zero day) trong các ứng dụng của hãng cho chính phủ Mỹ để sau đó sử dụng trong cửa sổ hẹp trước khi chúng được công bố và được cài cắm. Sự cho phép đó là vì các chính phủ và công ty “nước ngoài” sẽ bị ngắm đích và các mức truy cập khác nhau sẽ giành được theo một cách thức mà khó chống lại được.

Tuy nhiên, điều đó làm cho các công ty với hy vọng rằng ít nhất các sự truyền và nội dung được mã hóa vẫn giữ được bảo vệ, thậm chí với các sản phẩm của Microsoft. Nhưng một câu chuyện gần đây từ tờ Gardian, dựa vào thông tin do Edward Snowden cung cấp, bây giờ dường như thậm chí đặt điều đó vào sự nghi ngờ:

  1. Microsoft đã giúp NSA phá mật mã của hãng để giải quyết những lo lắng rằng cơ quan đó có thể không có khả năng can thiệp vào web chat trên cổng mới Outlook.com.

  2. Cơ quan đó đã có được sự truy cập vào giai đoạn trước khi mã hóa tới thư điện tử trên Outlook.com, bao gồm cả Hotmail;

  3. Hãng đó đã làm việc với FBI năm nay để cho phép NSA truy cập dễ dàng hơn thông qua PRISM tới dịch vụ lưu trữ đám mây của hãng SkyDrive, mà nó bây giờ có hơn 250 triệu người sử dụng trên toàn thế giới.

  4. Microsoft cũng đã làm việc với Đơn vị Can thiệp Dữ liệu của FBI để “hiểu” các vấn đề tiềm tàng với một tính năng trong Outlook.com mà cho phép những người sử dụng tạo các tên hiệu (aliases) cho thư điện tử.

  5. Vào tháng 7/2012, 9 tháng sau khi Microsoft mua Skype, NSA đã khoe khoang rằng một khả năng mới đã làm tăng gấp 3 lần số lượng các cuộc gọi video của Skype thu thập được qua PRISM.

  6. Tư liệu thu thập được qua PRISM thường xuyên được chia sẻ với FBI và CIA, với một tài liệu của NSA mô tả chương trình này như là một “đội thể thao”.

Bài viết trên tờ Gardian sau đó tiếp tục điền thêm một số chi tiết.

About a month ago, I wrote about the extraordinary fact that Microsoft routinely hands over zero-day exploits in its applications to the US government for the latter to use in the short window before they are announced and plugged. On thing that allows is for "foreign" governments and companies to be targetted and various levels of access to be gained in a way that is hard to protect against.

However, that does leave companies with the hope that at least encrypted transmissions and content remains protected, even with Microsoft products. But a recent story f-rom the Guardian, based on information supplied by Edward Snowden, now seems to place even that in doubt:

Microsoft helped the NSA to circumvent its encryption to address concerns that the agency would be unable to intercept web chats on the new Outlook.com portal;

The agency already had pre-encryption stage access to email on Outlook.com, including Hotmail;

The company worked with the FBI this year to allow the NSA easier access via Prism to its cloud storage service SkyDrive, which now has more than 250 million users worldwide;

Microsoft also worked with the FBI's Data Intercept Unit to "understand" potential issues with a feature in Outlook.com that allows users to cre-ate email aliases;

In July last year, nine months after Microsoft bought Skype, the NSA boasted that a new capability had tripled the amount of Skype video calls being collected through Prism;

Material collected through Prism is routinely shared with the FBI andCIA, with one NSA document describing the program as a "team sport".

The Guardian article then goes on to fill in some of the details.

Microsoft has naturally been scrambling to limit the damage f-rom this claim. Here are some of the key points f-rom its post:

Microsoft đã và đang xáo trộn một cách bản năng để hạn chế thiệt hại từ tố cáo này. Đây là một số điểm chính từ bài viết của hãng:

Outlook.com (trước kia là Hotmail): Chúng tôi không cung cấp cho bất kỳ chính phủ nào sự truy cập trực tiếp tới các thư điện tử hoặc thông điệp tức thì (chat). Chấm hết.

Lời tố cáo truy cập “trực tiếp”, đã thu gom được trong các rò rỉ sớm nhất từ Snowden, vẫn còn là một trong những điều được tranh cãi gay gắt nhất. Snowden đã không chỉ lặp đi lặp lại lời tố cáo đó, mà còn nói rằng các công ty mà từ chối nó - không chỉ Microsoft, mà cả Google và các công ty khác cũng vậy - đang làm kinh tế với sự thật.

Trong mọi trường hợp, chúng tôi biết rằng NSA có sự truy cạp tới toàn bộ dòng Internet khi nó đi vào nước Mỹ và các quốc gia khác như Anh và giám sát và lưu trữ mọi thứ. Điều đó có nghĩa là NSA chỉ cần các khóa mật mã, chứ không phải các dữ liệu, thứ mà nó đã có rồi. Trên mặt trận này, Microsoft đã nói như sau:

Phải rõ là, chúng tôi không cung cấp cho bất kỳ chính phủ nào với khả năng để phá mật mã, chúng tôi cũng không cung cấp cho chính phủ các khóa mật mã. Khi chúng tôi có bổn phận pháp lý phải tuân thủ các yeu cầu, chúng tôi kéo các nội dung được chỉ định từ các máy chủ của chúng tôi, nơi mà nó nằm trong một trạng thái không được mã hóa, và sau đó chúng tôi cung cấp nó cho cơ quan chính phủ.

Bình luận sau là thú vị, vì nó có nghĩa là nếu NSA có được sự truy cập tới các máy chủ của Microsoft theo một vài cách không chính thống - một cách mà có thể được phân loại thành “không trực tiếp” - thì nó thậm thí không cần các khóa mật mã để đọc được những thứ đó.

Bình luận về SkyDriver là tương tự:

SkyDrive: Chúng tôi trả lời các yêu cầu pháp lý của chính phủ về các dữ liệu được lưu trữ trong SkyDrive theo cách y hệt. Tất cả các nhà cung cấp các dạng dịch vụ lưu trữ đó luôn phải tuân theo các bổn phận pháp lý để cung cấp các nội dung được lưu trữ khi họ nhận được các yêu cầu pháp lý phù hợp. Trong năm 2013 chúng tôi đã thực hiện những thay đổi cho các qui trình của chúng tôi để có khả năng tiếp tục tuân thủ với một số lượng ngày một gia tăng các yêu cầu pháp lý cho các chính phủ trên thế giới. Không có những thay đổi nào được cung cấp cho bất kỳ chính phủ nào với sự truy cập trực tiếp tới SkyDrive.

Outlook.com (formerly Hotmail): We do not provide any government with direct access to emails or instant messages. Full stop.

This "direct" access claim, which cropped up in the earliest leaks f-rom Snowden, is still one of the most bitterly contested. Snowden has not only repeated the claim, but also said that the companies that deny it - not just Microsoft, but Google and others too - are being economical with the truth.

In any case, we know that the NSA has access to the entire Internet stream as it enters the US and other countries like the UK that monitor and store everything. That means the NSA only needs the encryption keys, not the data, which it already has. On this front, Microsoft has the following to say:

To be clear, we do not provide any government with the ability to break the encryption, nor do we provide the government with the encryption keys. When we are legally obligated to comply with demands, we pull the specified content f-rom our servers whe-re it sits in an unencrypted state, and then we provide it to the government agency.

That last comment is interesting, because it means that if the NSA has access to Microsoft's servers in some unorthodox way - one that can be classed as "indirect" - it wouldn't even need the encryption keys to read stuff.

The comment about SkyDrive is similar:

SkyDrive: We respond to legal government demands for data stored in SkyDrive in the same way. All providers of these types of storage services have always been under legal obligations to provide stored content when they receive proper legal demands. In 2013 we made changes to our processes to be able to continue to comply with an increasing number of legal demands governments worldwide. None of these changes provided any government with direct access to SkyDrive.

Đó chính là sự truy cập “trực tiếp” một lần nữa. Nhưng có thể NSA có được sự truy cập trực tiếp tới một bản sao của SkyDrive, được gọi là thứ gì đó khác, nhưng không phải là bản gốc. Trong trường hợp đó, Microsoft có thể viết một cách chân thật rằng chính phủ không có “sự truy cập trực tiếp tới SkyDrive”, chỉ các nội dung của nó được giữ trong một cơ sở dữ liệu được đặt tên khác đi.

Về Skype:

Chúng tôi sẽ không cung cấp cho các chính phủ với sự truy cập trực tiếp hoặc không bị khóa tới các dữ liệu của khách hàng hoặc các khóa mật mã.

Một lần nữa, sự truy cập gián tiếp tới các dữ liệu không được mã hóa được lưu trữ trong một bản sao không bị tuyên bố này loại trừ.

Về cơ bản, chúng ta không biết, và vì thế từng người sẽ cần tự suy nghĩ phải tin vào ai. Nhưng ít nhất là, những rò rỉ đó làm cho khẩu hiểu quảng cáo của hãng “Sự riêng tư của bạn là ưu tiên của chúng tôi” trở thành một trò hề, khi mà ưu tiên thực tế của Microsoft là làm rõ những gì NSA nói hãng phải làm.

Những phát hiện mới nhất, được kết hợp với các phát hiện trước đó về các bản vá, phải làm dấy lên các câu hỏi mà tôi đã nêu lần trước: làm sao bất kỳ nhà quản lý CNTT có trách nhiệm nào lại có thể tiếp tục sử dụng các chương trình và dịch vụ như vậy khi hoàn toàn hiểu đầy đủ rằng chúng không chỉ bị tổn thương đối với các cuộc tấn công ngày số 0 được giấu kín, mà các dữ liệu được cho là bí mật, được mã hóa còn có thể sẵn sàng rồi cho NSA và các cơ quan khác?

Các tài liệu của WikiLeaks đã phát hiện cách mà chính phủ Mỹ làm việc sát sao với các công ty Mỹ, truyền cho họ các thông tin sống còn mà chính phủ thu thập được từ các nhà ngoại giao của mình tại các quốc gia khác. Điều không thể hiểu nổi là các thông tin bí mật được lượm lặt từ việc đột nhập vào các hệ thống của các tập đoàn và việc nghe trộm các cuộc đối thoại được cho là có an ninh không được truyền một cách tương tự tới các công ty Mỹ để trao cho họ một ưu thế cạnh tranh.

There's that "direct" access again. But maybe the NSA has direct access to a copy of SkyDrive, called something else, but not the original. In that case, Microsoft could truthfully write that the government does not have "direct access to SkyDrive", just its contents held on a differently-named database.

On Skype:

We will not provide governments with direct or unfettered access to customer data or encryption keys.

But what about indirect access to a shadow system?

On Enterprise Email and Document Storage:

We do not provide any government with the ability to break the encryption used between our business customers and their data in the cloud, nor do we provide the government with the encryption keys.

Again, indirect access to unencrypted data held on a copy is not ruled out by that statement.

Basically, we don't know, and so each person will need to make up his or her own mind as to whom to believe. But at the very least, the leaks make the company's advertising slogan "Your privacy is our priority" a joke, since Microsoft's real priority is clearly doing what the NSA tells it to do.

These latest revelations, combined with the previous ones about patches, must raise the question I posed last time: how can any responsible IT manage continue to use such programs and services in the full knowledge that they are not only vulnerable to undisclosed zero-day attacks, but that supposedly secret, encrypted data may be readily available to the NSA and others?

The Wikileaks documents have revealed how the US government works closely with US companies, passing them vital information that it gathers f-rom its diplomats in other countries. It is inconceivable that secret information gleaned f-rom breaking into corporate systems and eavesd-ropping on supposedly secure conversations is not similarly passed on to US companies to give them a competitive advantage.

Điều đó ngụ ý rằng bất kỳ công ty nào không phải của Mỹ đang sử dụng các sản phẩm của Microsoft đều có rủi ro các bí mật tập đoàn của mình được truyền tới các đối thủ Mỹ, với khả năng gây ra các hậu quả tài chính nghiêm trọng. Bao lâu rồi, trước khi các nhà đầu tư đóng góp bắt đầu kiện các công ty về việc tiếp tục cẩu thả sử dụng các sản phẩm của Microsoft? Bao lâu rồi trước khi các công ty bắt đầu nhận thức ra được thực tế rằng trong các tài khoản của công ty, khi sự hiện diện của những gì chỉ có thể được gọi là phần mềm gián điệp phải được công bố như một rủi ro vận hành cho tương lai - một điều có thể gây ra cho công ty thất bại một cách thảm hại?

Cùng với tất cả, kho các bằng chứng đang gia tăng này rằng các phần mềm doanh nghiệp của Microsoft không chỉ chào các ưu thế không thực tế so với các phần mềm tự do tương đương khi nói về hiệu năng, giá thành, độ đàn hồi và sức mạnh, mà rằng nó thể hiện một khả năng tổn thương nghiêm trọng tiềm tàng cho thông tin bí mật của công ty, làm cho sự sử dụng của nguồn mở càng cuốn hút hơn. Câu hỏi bây giờ rõ ràng là không phải: vì sao một công ty có thể sử dụng nguồn mở? Mà là: liệu một công ty lành mạnh có thể sử dụng bất kỳ thứ gì khác?

That implies that any non-US company using Microsoft's products runs the risk of having its corporate secrets passed to US competitors, with possibly serious financial consequences. How long, then, before shareholders start suing companies for negligently continuing to use Microsoft products? How long before companies start recognising that fact in the company accounts, when the presence of what can only be called spyware has to be declared as an operating risk for the future - one that might cause the company to fail catastrophically?

Taken together, this growing body of evidence that Microsoft's enterprise software not only offers no real advantages over free software equivalents when it comes to performance, price, resilience and power, but that it represents a serious potential vulnerability for confidential company information, makes the use of open source yet more compelling. The question now is clearly not: why would a company use open source? But: what sane company would use anything else?

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây