Правительство США просит Microsoft исправить ситуацию с безопасностью - прежде чем добавлять новые функции.

Что случилось

В июле 2023 года была обнаружена серьезная проблема с безопасностью в почтовых серверах Microsoft. Согласно сообщениям, Microsoft потеряла общий ключ для входа в систему электронной почты, что привело к взлому правительства США. Предположительно, злоумышленники, связанные с китайским правительством, смогли перехватить ~60 000 электронных писем из Госдепартамента США, посла США в Китае и других американских чиновников.

Сама компания Microsoft не обнаружила утечку данных, которой Китай злоупотреблял с середины мая 2023 года. Вместо этого сотрудники Госдепартамента смогли обнаружить ее самостоятельно в июне 2023 года, уведомив об этом Microsoft. Более того, Госдепартамент США смог расследовать инцидент только потому, что использовал более дорогой тарифный план Microsoft, который позволял получить доступ к журналам - функция, которая до тех пор была недоступна в менее дорогих тарифных планах. После инцидента Microsoft предоставила доступ к этим журналам и более дешевым уровням своего продукта. По крайней мере, это был правильный шаг, потому что, по нашему мнению, функция безопасности не должна быть заперта за платной стеной!

Microsoft, самая дорогая компания в мире, не смогла самостоятельно обнаружить взлом. Получив уведомление от американских властей, эксперты по безопасности Microsoft провели дополнительное расследование и обнаружили, что атаке подверглись учетные записи электронной почты Microsoft Exchange Online 22 организаций и 503 частных лиц. Как выяснилось, китайские злоумышленники из так называемой группы Storm-0558 смогли получить доступ к специальному коду безопасности, который позволил им получить доступ к любой учетной записи электронной почты Microsoft. Американская разведка установила, что атака была проведена по заказу одной из самых мощных шпионских служб Пекина - Министерства государственной безопасности (MSS), которое осуществляет крупные хакерские операции на территории государства.

Понятно, что это вызвало большой резонанс, и Министерство внутренней безопасности США объявило о создании Совета по проверке кибербезопасности (CSRB) для проверки практики безопасности облачных вычислений Microsoft. Основной задачей независимого совета было:

"CSRB оценит недавнее вторжение в Microsoft Exchange Online, о котором первоначально сообщалось в июле 2023 года, и проведет более широкий обзор проблем, связанных с облачной инфраструктурой идентификации и аутентификации, затрагивающих соответствующих CSP и их клиентов"... "Совет разработает действенные рекомендации, которые улучшат практику кибербезопасности как для клиентов облачных вычислений, так и для самих CSP".

Отчет содержит катастрофические выводы для Microsoft

Независимый совет по проверке кибербезопасности, созданный по поручению президента США Байдена, опубликовал свои выводы, и они плохие, очень плохие.

В отчете делается вывод, что "вторжение Storm-0558, хакерской группы, связанной, по оценкам, с Китайской Народной Республикой, можно было предотвратить", а утечка данных "не должна была произойти".

Отчет вызывает серьезные опасения, поскольку Microsoft до сих пор не знает, как именно китайцы смогли получить доступ к почтовым ящикам Microsoft Exchange Online, и обвиняет Microsoft в очень плохой практике кибербезопасности, намеренном отсутствии прозрачности и небрежном отношении к корпоративной безопасности.

Согласно отчету, Microsoft совершила "каскад ошибок, которых можно было избежать", что стало прямым следствием низкой культуры безопасности. Например, ключ, использовавшийся для доступа к учетным записям электронной почты, должен был быть деактивирован еще в 2021 году и вообще не должен был иметь возможности доступа к учетным записям электронной почты Министерства иностранных дел.

Представитель Microsoft сообщил Washington Post, что

"Недавние события продемонстрировали необходимость принятия новой культуры инженерной безопасности в наших собственных сетях. Хотя ни одна организация не застрахована от кибератак со стороны хорошо обеспеченных ресурсами противников, мы мобилизовали наши инженерные команды для выявления и устранения недостатков в унаследованной инфраструктуре, улучшения процессов и обеспечения соблюдения стандартов безопасности".

Однако в отчете говорится, что этого недостаточно: Культура безопасности Microsoft "неадекватна и требует пересмотра".

Каскад ошибок Microsoft

Microsoft является самой дорогой компанией в мире, несмотря на то, что культура безопасности в ней оставляет желать лучшего.

В отчете подчеркивается, что многочисленные ошибки со стороны Microsoft привели к тому, что почтовые ящики Exchange оказались уязвимыми.

1. Старый ключ подписи, использованный китайскими хакерами для взлома системы, должен был быть отключен еще в 2016 году.

2. Microsoft должна была перейти с ручной на автоматическую ротацию ключей - что автоматически отключило бы старый ключ, - но не сделала этого.

3. Ключ работал как черный ход в потребительские и деловые сети, что является нарушением протоколов безопасности.

4. Один инженер из фирмы, приобретенной Microsoft в 2020 году, работал на взломанном ноутбуке и в 2021 году получил доступ к корпоративной сети с этой машины. Нет уверенности в том, что именно этот ноутбук стал первопричиной, но в марте 2024 года Microsoft опубликовала обновление, в котором говорится, что "взломанная учетная запись инженера" является "ведущей гипотезой" о причине взлома.

5. Вместо того чтобы оставить этот взлом незамеченным, Microsoft должна была провести надлежащую оценку безопасности сети компании после ее приобретения, чего она не сделала.

В целом, эта цепочка ошибок показывает, что безопасность не является приоритетом для Microsoft, что и вызывает резкую критику в отчете.

В нем говорится о том, что Microsoft следует прислушаться к мнению своего основателя Билла Гейтса, который уже в 2002 году подчеркивает важность безопасности в электронном письме компании:

"В прошлом мы делали наше программное обеспечение и сервисы более привлекательными для пользователей, добавляя новые возможности и функциональность. ... Поэтому сейчас, когда мы стоим перед выбором между добавлением функций и решением проблем безопасности, мы должны выбрать безопасность".

Риск для национальной безопасности

Утечка данных, вызванная слабой культурой безопасности в Microsoft, становится еще более серьезной, если учесть, что Microsoft является основным поставщиком для многих правительств - не только в США, но и в Германии и многих других европейских странах.

Риск не ограничивается только Microsoft. Крупные облачные провайдеры, такие как Google, Apple, Amazon и Microsoft, являются прибыльными целями для противников западных стран и должны уделять особое внимание безопасности. В конце отчета, подготовленного Советом по оценке кибербезопасности, говорится следующее: "Вся индустрия должна объединиться, чтобы кардинально улучшить инфраструктуру идентификации и доступа. ... Глобальная безопасность зависит от этого".

Если злоумышленникам удастся взломать электронные почтовые ящики правительственных чиновников, государственных органов, возможно, даже спецслужб, такие страны, как Китай и Россия, смогут получить в свои руки очень важную информацию, поставив под угрозу нашу национальную безопасность.

И похоже, что противники узнали о слабых местах Microsoft.

В 2021 году злоумышленники из Китая - опять же при поддержке китайского правительства - смогли скомпрометировать почтовые серверы Microsoft Exchange, в результате чего пострадали по меньшей мере 30 000 учетных записей коммерческих и государственных организаций.

Также в 2021 году компания Wiz, специализирующаяся на безопасности, раскрыла уязвимость в инфраструктуре Microsoft Azure, которая позволяла злоумышленникам получать доступ, изменять и удалять данные тысяч клиентов Azure. Тогда это было названо "худшей облачной уязвимостью, которую только можно себе представить" (хотя китайский взлом 2023 года все же превзошел ее), поскольку Wiz могла получить доступ буквально к любой базе данных клиентов Microsoft Azure.

Но Китай - не единственный противник:

В январе 2024 года российские злоумышленники, спонсируемые Службой внешней разведки (СВР) России, атаковали корпоративную службу электронной почты Microsoft. Microsoft идентифицировала злоумышленников как Midnight Blizzard; им удалось проникнуть в почтовые ящики руководителей высшего звена и сотрудников службы безопасности.

В 2020 году российские хакеры - опять же при финансовой поддержке российского правительства - смогли атаковать сетевое программное обеспечение компании SolarWind, с помощью которого злоумышленники похитили электронную почту как минимум девяти федеральных агентств США, а также 100 компаний. После этой атаки Microsoft призвала к "необходимости сильной и глобальной реакции на кибербезопасность".

К сожалению, картина, которую сейчас рисует отчет CSRB, показывает, что Microsoft не выполнила свой собственный призыв к улучшению стратегии безопасности.

3 урока из отчета CSRB

Поскольку уязвимости почтовой службы Microsoft за последние пять лет были весьма значительными, сейчас важно сосредоточиться на устранении основной проблемы: слабой культуры безопасности. Мы в Tuta создаем сквозной шифрованный сервис электронной почты и календаря, уделяя особое внимание конфиденциальности и безопасности. Исходя из нашего опыта, мы можем сказать, что лучшие методы обеспечения безопасности должны включать в себя следующее:

1. Безопасность всегда должна быть приоритетнее возможностей.

Это непростое бизнес-решение, поскольку безопасность сама по себе не продает продукт; для этого нужны функции. Но очень важно сразу же устранять уязвимости и шифровать как можно больше данных, как в Tuta Mail. Приятно видеть, что правительство Германии хочет закрепить право на шифрование в законе. В Германии уже сейчас уделяется повышенное внимание безопасности, например, в Шлезвиг-Гольштейне. Самая северная федеральная земля Германии находится в процессе перехода с Windows на Linux, что является отличным шагом с точки зрения безопасности и цифрового суверенитета.

Мы в Tuta полностью согласны с выводами отчета: Безопасность должна быть приоритетнее возможностей.

2. Общие ключи, которые могут быть использованы в качестве "черного хода", не должны существовать.

Последний взлом Microsoft Exchange стал возможен только потому, что китайские злоумышленники украли общий ключ, который позволил им войти в почтовые ящики Exchange. Для Китая это был очень выгодный " черный ход", который вообще не должен был существовать. В компании Tuta мы придерживаемся строгой практики безопасности, согласно которой частные ключи расшифровки доступны только пользователю и никогда нам как поставщику услуг. Общего ключа для расшифровки пользовательских данных не существует - и не должно существовать по соображениям безопасности. Отсутствие общего ключа, который можно использовать в качестве черного хода, делает невозможной утечку данных, подобную той, что произошла с Microsoft в 2023 году, с Tuta Mail.

Наш основатель Матиас Пфау объясняет, почему это важно и почему закрытые ключи никогда не должны храниться на центральном сервере.

3. Функции безопасности должны быть бесплатными.

Взлом Microsoft Exchange был обнаружен Госдепартаментом США только потому, что у него был доступ к функции журналов, которая не была включена в более дешевые уровни. В Tuta все функции безопасности всегда доступны всем пользователям, даже на бесплатных тарифных планах. Сюда входит наше новое постквантовое шифрование, а также двухфакторная аутентификация для защиты учетных данных и обработки сеансов.

Хорошо, что теперь Microsoft предоставила доступ к функции ведения журнала и пользователям более низких ценовых уровней, но это следовало сделать с самого начала.

В заключение можно сказать, что все действительно сводится к словам основателя Microsoft Билла Гейтса, сказанным в 2002 году: Важно отдавать предпочтение безопасности, а не функциям - не только для Microsoft, но и для любого поставщика облачных услуг.

Будущее покажет, заставит ли этот китайский хакерский взлом, наконец, Microsoft создать настоящую культуру безопасности.

А пока не стесняйтесь регистрировать защищенный и зашифрованный почтовый ящик с помощью Tuta Mail.