Microsoft gaat gebruikers tegen NSA-spionage beschermen
Microsoft gaat extra maatregelen nemen om gebruikers te beschermen tegen spionage door overheidsdiensten, waaronder het gebruik van encryptie bij alle diensten en het geven van toegang tot de broncode zodat overheden kunnen controleren dat er geen backdoors in de software aanwezig zijn.
Volgens Microsoft moeten de maatregelen ervoor zorgen dat overheden het juridische proces volgen in plaats van "bruut technisch geweld" toe te passen. De afgelopen maanden kwamen verschillende programma's aan het licht waarmee de Amerikaanse en Britse inlichtingendiensten internetverkeer onderscheppen. Microsoft stelt dat als de berichtgeving klopt, dit een bedreiging vormt voor het vertrouwen in de veiligheid en privacy van online communicatie.
Daarbij kan de surveillance van de overheid als "advanced persistent threat" worden beschouwd, gaat de softwaregigant verder. Om klanten beter te beschermen worden er drie stappen genomen. Als eerste gaat Microsoft voor alle diensten encryptie gebruiken. Daarnaast wordt de juridische bescherming van klantgegevens versterkt en gaat Microsoft de transparantie van de eigen softwarecode verbeteren, waardoor het eenvoudiger voor bepaalde klanten wordt om er zeker van te zijn dat er geen backdoors in zitten.
Encryptie
Voor eind 2014 zal alle content die tussen klanten en Microsoft wordt uitgewisseld standaard versleuteld zijn. Ook de communicatie tussen datacentra wordt versleuteld. Verder gaat de softwaregigant Perfect Forward Secrecy en 2048-bit encryptiesleutels gebruiken. Ook wordt er met andere bedrijven in de industrie samengewerkt om ervoor te zorgen dat de data die tussen de diensten wordt uitgewisseld beschermd is.
Wat de juridische bescherming betreft wil Microsoft klanten gaan waarschuwen als hun data door de overheid wordt opgevraagd. Als Microsoft dit niet mag doen, zegt het hier bij de rechter in beroep tegen te gaan.
Transparantie
Microsoft stelt dat niet alleen overheden transparanter moeten worden, maar dat het dit zelf ook kan doen. Daarom gaat het aanvullende stappen nemen zodat overheden kunnen controleren dat er geen backdoors in de broncode van Microsoft aanwezig zijn. Hiervoor zal Microsoft allerlei transparantiecentra openen. "Deze nieuwe maatregelen vinden de juiste balans, waarbij de veiligheid die we nodig hebben en privacy die we verdienen worden verbeterd", aldus Microsofts Brad Smith.
Letterlijk gezien staat er: de broncode wordt vrijgegeven EN overheden kunnen het controleren. Je kan het dus ook interpreteren als: 'zodat OOK overheden kunnen controleren..."
Wèlke van de twee interpretaties de goede is, kan je uit die tekst niet afleiden: alleen - of: ook .
Zelf las ik het in eerste instantie als: men geeft de broncode vrij zodat ook overheden de controle op backdoors kunnen doen
Letterlijk gezien staat er: de broncode wordt vrijgegeven EN overheden kunnen het controleren. Je kan het dus ook interpreteren als: 'zodat OOK overheden kunnen controleren..."
Wèlke van de twee interpretaties de goede is, kan je uit die tekst niet afleiden: alleen - of: ook .
Zelf las ik het in eerste instantie als: men geeft de broncode vrij zodat ook overheden de controle op backdoors kunnen doen
https://blogs.technet.com/b/microsoft_blog/archive/2013/12/04/protecting-customer-data-from-government-snooping.aspx?Redirected=true
Increasing Transparency
... We’re therefore taking additional steps to increase transparency by building on our long-standing program that provides government customers with an appropriate ability to review our source code, reassure themselves of its integrity, and confirm there are no back doors...
Kortom: doel bereikt met zo weinig mogelijk risico op diefstal / misbruik van properiaty software...
Was het niet Microsoft die een encrypted berichten service heeft maar deze berichten ongecodeerd doorspeelde aan de NSA voordat deze berichten werden gecodeerd ?
en elders geen hooggeschoolde ICT-ers in overheidsdienst?
Een wassen neus, zoals iedereen met verstand van zaken zich zal beseffen. De NSA zal gewoon de decryptie key vorderen met een national security letter en/of toegang tot een unencrypted versie van de data. Meer encryptie is een goede ontwikkeling, maar bidet tegen deze dreiging geen enkele bescherming.
Leuk allemaal dat HTTPS, en PFS, maar het zo beter zijn als partijen de gebuiker gebruik laat maken van geencrypte mailboxen voorzien van PGP. Een en ander lijkt me niet echt heel moeilijk, want ook Microsoft e.a. kunnen gebruik maken van PGP, zolang de wachtzin maar bij de gebruikers blijft.
Zo niet, gaan overheden gewoon meer verzoeken tot overhandigen van data indienen.
Dan zullen diensten als GMail dit ook nooit doen, want dan is hun verdienmodel weg.
Waar software nu een mail kun doorzoeken, en gerichte advertenties kan tonen, kan dat ik het gavl van echt encryptie niet meer. Voor zover gehoord bij een recente podcast van Meneer Steve Gibson (GRC)
Je kunt ook nu al bij GMail kiezen voor PGP tools, maar als iedereen dat gaat doen, dan zal GMail daar een stokje voor gaan steken.
HTTPS en PFS is leuk en aardig maar niet de oplossing tegen de NSA.
Peter
Wat weet jij meer dan al die experts die zeggen dat PFS juist wel de oplossing tegen NSA e.d. is? Als die experts het namelijk fout hebben, weet ik dat graag ook.
Peter
en elders geen hooggeschoolde ICT-ers in overheidsdienst?
Zolang we dat niet weten is MS nog steeds even onbetrouwbaar.
=====================
Through the Shared Source Initiative Microsoft licenses product source code to qualified customers, enterprises, governments, and partners for debugging and reference purposes. Shared Source Initiative programs currently available are listed below. Each program has a description of its eligibility requirements, intended use, and instructions for requesting enrollment or further contact information.
http://www.microsoft.com/en-us/sharedsource/default.aspx
=====================
Niet elk bedrijf (of elke MVP) kan er aan deelnemen, maar de meeste wel, en er zijn bedrijven in NL die dat ook doen.
Het valt overigens niet mee om iets zinnigs met die toegang te doen. Het is niet alleen gigantisch veel (vele tientallen miljoenen regels code), maar ook uiterst complexe code (net als elk ander modern OS). In de praktijk kunnen alleen ervaren teams van (OS) ontwikkelaars er iets mee.
De volgende halte zal de applicatielayer zijn, maar dat zal nog wel een jaartje of 2 op zich laten wachten.
Ik denk voorts dat overheden momenteel ernstig bezig zijn met het overwegen van alternatieven. Zowel op het niveau van Operating systemen en nog waarschijnlijker op applicatieniveau.
Ik denk voorts dat Microsoft er goed aan zou doen, de drempel tot toegang van deze sources te verlagen, zodat ook startende security-analisten een redelijke kans krijgen.
Mijn 2 centen
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
