image

Microsoft gaat gebruikers tegen NSA-spionage beschermen

donderdag 5 december 2013, 10:21 door Redactie, 18 reacties

Microsoft gaat extra maatregelen nemen om gebruikers te beschermen tegen spionage door overheidsdiensten, waaronder het gebruik van encryptie bij alle diensten en het geven van toegang tot de broncode zodat overheden kunnen controleren dat er geen backdoors in de software aanwezig zijn.

Volgens Microsoft moeten de maatregelen ervoor zorgen dat overheden het juridische proces volgen in plaats van "bruut technisch geweld" toe te passen. De afgelopen maanden kwamen verschillende programma's aan het licht waarmee de Amerikaanse en Britse inlichtingendiensten internetverkeer onderscheppen. Microsoft stelt dat als de berichtgeving klopt, dit een bedreiging vormt voor het vertrouwen in de veiligheid en privacy van online communicatie.

Daarbij kan de surveillance van de overheid als "advanced persistent threat" worden beschouwd, gaat de softwaregigant verder. Om klanten beter te beschermen worden er drie stappen genomen. Als eerste gaat Microsoft voor alle diensten encryptie gebruiken. Daarnaast wordt de juridische bescherming van klantgegevens versterkt en gaat Microsoft de transparantie van de eigen softwarecode verbeteren, waardoor het eenvoudiger voor bepaalde klanten wordt om er zeker van te zijn dat er geen backdoors in zitten.

Encryptie

Voor eind 2014 zal alle content die tussen klanten en Microsoft wordt uitgewisseld standaard versleuteld zijn. Ook de communicatie tussen datacentra wordt versleuteld. Verder gaat de softwaregigant Perfect Forward Secrecy en 2048-bit encryptiesleutels gebruiken. Ook wordt er met andere bedrijven in de industrie samengewerkt om ervoor te zorgen dat de data die tussen de diensten wordt uitgewisseld beschermd is.

Wat de juridische bescherming betreft wil Microsoft klanten gaan waarschuwen als hun data door de overheid wordt opgevraagd. Als Microsoft dit niet mag doen, zegt het hier bij de rechter in beroep tegen te gaan.

Transparantie

Microsoft stelt dat niet alleen overheden transparanter moeten worden, maar dat het dit zelf ook kan doen. Daarom gaat het aanvullende stappen nemen zodat overheden kunnen controleren dat er geen backdoors in de broncode van Microsoft aanwezig zijn. Hiervoor zal Microsoft allerlei transparantiecentra openen. "Deze nieuwe maatregelen vinden de juiste balans, waarbij de veiligheid die we nodig hebben en privacy die we verdienen worden verbeterd", aldus Microsofts Brad Smith.

Reacties (18)
05-12-2013, 10:53 door [Account Verwijderd]
[Verwijderd]
05-12-2013, 10:57 door Arnhemmer
Dat was precies de vraag die bij mij ook gelijk opkwam na het lezen van de 1e alinea Peter.
05-12-2013, 11:18 door passer - Bijgewerkt: 05-12-2013, 11:19
Euh... er staat wel niet "ALLEEN aan de overheid".

Letterlijk gezien staat er: de broncode wordt vrijgegeven EN overheden kunnen het controleren. Je kan het dus ook interpreteren als: 'zodat OOK overheden kunnen controleren..."

Wèlke van de twee interpretaties de goede is, kan je uit die tekst niet afleiden: alleen - of: ook .

Zelf las ik het in eerste instantie als: men geeft de broncode vrij zodat ook overheden de controle op backdoors kunnen doen
05-12-2013, 11:42 door Mysterio
Door Peter V.:
Daarom gaat het aanvullende stappen nemen zodat overheden kunnen controleren dat er geen backdoors in de broncode van Microsoft aanwezig zijn
Waarom alleen aan de overheid?
Het is zodat ze hun producten nog steeds aan China en Rusland kunnen verkopen.
05-12-2013, 11:52 door Anoniem
Door passer: Euh... er staat wel niet "ALLEEN aan de overheid".

Letterlijk gezien staat er: de broncode wordt vrijgegeven EN overheden kunnen het controleren. Je kan het dus ook interpreteren als: 'zodat OOK overheden kunnen controleren..."

Wèlke van de twee interpretaties de goede is, kan je uit die tekst niet afleiden: alleen - of: ook .

Zelf las ik het in eerste instantie als: men geeft de broncode vrij zodat ook overheden de controle op backdoors kunnen doen
Neen, het gaat alleen om overheden. Bron:
https://blogs.technet.com/b/microsoft_blog/archive/2013/12/04/protecting-customer-data-from-government-snooping.aspx?Redirected=true

Increasing Transparency

... We’re therefore taking additional steps to increase transparency by building on our long-standing program that provides government customers with an appropriate ability to review our source code, reassure themselves of its integrity, and confirm there are no back doors...

Door Peter V.: Waarom alleen aan de overheid?
Omdat properiaty code geen open-source is misschien? Wellicht dat het voor de leek niet te volgen is, maar als zowel -om maar iets te noemen- Duitsland, Rusland en China de gehele source-code analyseren, kan daaruit de conclusie getrokken worden dat er geen backdoors aanwezig zijn, anders bestaat de kans dat een overheid dit publiekelijk bekend maakt, of erger nog voor MS, overstapt naar een ander OS.

Kortom: doel bereikt met zo weinig mogelijk risico op diefstal / misbruik van properiaty software...
05-12-2013, 11:54 door Anoniem
Huh ?

Was het niet Microsoft die een encrypted berichten service heeft maar deze berichten ongecodeerd doorspeelde aan de NSA voordat deze berichten werden gecodeerd ?
05-12-2013, 12:04 door schele
Window dressing. Microsoft zal sowieso nooit z'n broncode volledig ter inkijk neerleggen. En terecht, daar niet van, maar dan maakt het dus ook niet uit.
05-12-2013, 12:38 door Anoniem
USA PATRIOT ACT
en elders geen hooggeschoolde ICT-ers in overheidsdienst?
05-12-2013, 13:04 door [Account Verwijderd]
[Verwijderd]
05-12-2013, 13:07 door Anoniem
"Microsoft gaat extra maatregelen nemen om gebruikers te beschermen tegen spionage door overheidsdiensten, waaronder het gebruik van encryptie bij alle diensten en het geven van toegang tot de broncode zodat overheden kunnen controleren dat er geen backdoors in de software aanwezig zijn. "

Een wassen neus, zoals iedereen met verstand van zaken zich zal beseffen. De NSA zal gewoon de decryptie key vorderen met een national security letter en/of toegang tot een unencrypted versie van de data. Meer encryptie is een goede ontwikkeling, maar bidet tegen deze dreiging geen enkele bescherming.
05-12-2013, 13:49 door Anoniem
Is misschien leuk en aardig, maar zolang de NSA, CIA, en FBI moet een NSA letter aankomen heb je daar vrij weinig aan.
Leuk allemaal dat HTTPS, en PFS, maar het zo beter zijn als partijen de gebuiker gebruik laat maken van geencrypte mailboxen voorzien van PGP. Een en ander lijkt me niet echt heel moeilijk, want ook Microsoft e.a. kunnen gebruik maken van PGP, zolang de wachtzin maar bij de gebruikers blijft.

Zo niet, gaan overheden gewoon meer verzoeken tot overhandigen van data indienen.

Dan zullen diensten als GMail dit ook nooit doen, want dan is hun verdienmodel weg.
Waar software nu een mail kun doorzoeken, en gerichte advertenties kan tonen, kan dat ik het gavl van echt encryptie niet meer. Voor zover gehoord bij een recente podcast van Meneer Steve Gibson (GRC)

Je kunt ook nu al bij GMail kiezen voor PGP tools, maar als iedereen dat gaat doen, dan zal GMail daar een stokje voor gaan steken.

HTTPS en PFS is leuk en aardig maar niet de oplossing tegen de NSA.
05-12-2013, 14:19 door Anoniem
Ik heb liever dat ze beloven 0-days niet eerst aan de overheden ter beschikking te stellen..

Peter
05-12-2013, 14:21 door Anoniem
Door Anoniem:HTTPS en PFS is leuk en aardig maar niet de oplossing tegen de NSA.

Wat weet jij meer dan al die experts die zeggen dat PFS juist wel de oplossing tegen NSA e.d. is? Als die experts het namelijk fout hebben, weet ik dat graag ook.

Peter
05-12-2013, 14:56 door Mysterio
Door Anoniem: USA PATRIOT ACT
en elders geen hooggeschoolde ICT-ers in overheidsdienst?
Juist, dus via de rechter en niet via een backdoor.
05-12-2013, 16:41 door Anoniem
Dat is diezelfde NSA die sinds windows 95 trouw elke keer mee heeft geholpen bij het maken van de nieuwe windows-versies om iig backdoors er in te krijgen......dit is dus weer slap gelul zoals gewoonlijk van M$, propaganda.
05-12-2013, 17:12 door vimes
Je kan je natuurlijk afvragen om welke reden MS de eerste backdoor heeft toegestaan. Wat was deze reden, en wat is er gedaan om deze reden te laten vervallen?

Zolang we dat niet weten is MS nog steeds even onbetrouwbaar.
05-12-2013, 17:13 door Anoniem
Overigens stelt Microsoft al heeeeeel lang de source code beschikbaar aan (bijna) iedereen die dat wil, via het Share Source Initiative:

=====================
Through the Shared Source Initiative Microsoft licenses product source code to qualified customers, enterprises, governments, and partners for debugging and reference purposes. Shared Source Initiative programs currently available are listed below. Each program has a description of its eligibility requirements, intended use, and instructions for requesting enrollment or further contact information.

http://www.microsoft.com/en-us/sharedsource/default.aspx
=====================

Niet elk bedrijf (of elke MVP) kan er aan deelnemen, maar de meeste wel, en er zijn bedrijven in NL die dat ook doen.

Het valt overigens niet mee om iets zinnigs met die toegang te doen. Het is niet alleen gigantisch veel (vele tientallen miljoenen regels code), maar ook uiterst complexe code (net als elk ander modern OS). In de praktijk kunnen alleen ervaren teams van (OS) ontwikkelaars er iets mee.
06-12-2013, 12:55 door dutchfish - Bijgewerkt: 06-12-2013, 12:59
Zoals ik een jaar geleden al aangaf, is closed source software is op het gebied van Operating sytemen een gepasseerd station. Ik denk dat als Microsoft slim is overheden, beveiligingsonderzoekers en ontwikkelaars via een of ander 3th party program toegang zal verschaffen, met uiteraard een dikke EULA in het verschiet.

De volgende halte zal de applicatielayer zijn, maar dat zal nog wel een jaartje of 2 op zich laten wachten.

Ik denk voorts dat overheden momenteel ernstig bezig zijn met het overwegen van alternatieven. Zowel op het niveau van Operating systemen en nog waarschijnlijker op applicatieniveau.

Ik denk voorts dat Microsoft er goed aan zou doen, de drempel tot toegang van deze sources te verlagen, zodat ook startende security-analisten een redelijke kans krijgen.

Mijn 2 centen
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.