Il governo degli Stati Uniti chiede a Microsoft di mettere a punto la sicurezza, prima di aggiungere nuove funzionalità.

L'hacking cinese di Microsoft dimostra perché la sicurezza deve essere sempre prioritaria rispetto alle funzionalità e perché non deve esistere una chiave generale che possa essere utilizzata come "backdoor".

Microsoft got hacked by China, and a new report draws a devastating conclusion.

La Cina è riuscita a violare i server di posta elettronica di Microsoft nel 2023. Microsoft non ha rilevato l'attacco, ma è stata informata da funzionari del governo statunitense. Questo scandalo di sicurezza ha indotto gli Stati Uniti a indagare sugli standard di sicurezza di Microsoft. Il rapporto ora pubblicato traccia un quadro devastante: Raccomanda a Microsoft di sospendere l'introduzione di nuove funzionalità fino a quando non avrà risolto i suoi problemi di sicurezza e stabilito un'adeguata cultura della sicurezza aziendale.


Cosa è successo

Nel luglio 2023 è stato rivelato un grave problema di sicurezza nei server di posta elettronica di Microsoft. Secondo quanto riportato, Microsoft ha perso una chiave di accesso generale all’intero sistema di posta elettronica, che ha portato all’hackeraggio del governo statunitense. Presumibilmente malintenzionati collegati al governo cinese sono riusciti a sottrarre circa 60.000 e-mail del Dipartimento di Stato americano, dell’ambasciatore americano in Cina e di altri funzionari governativi statunitensi.

Microsoft stessa non ha rilevato la violazione dei dati, di cui la Cina ha abusato da metà maggio 2023. Invece i funzionari del Dipartimento di Stato sono stati in grado di rilevarla da soli nel giugno 2023, notificandola a Microsoft. Inoltre, il Dipartimento di Stato degli Stati Uniti ha potuto indagare sulla violazione solo perché ha utilizzato un piano Microsoft più costoso, che consentiva l’accesso ai registri, una funzione che fino a quel momento non era disponibile nei piani meno costosi. In seguito all’incidente, Microsoft ha concesso l’accesso ai registri anche ai piani meno costosi del suo prodotto. Almeno questa è stata la mossa giusta, perché a nostro avviso una funzione di sicurezza non deve essere chiusa dietro un paywall!

Microsoft, l’azienda di maggior valore al mondo, non è stata in grado di rilevare la violazione da sola. Dopo la notifica da parte di funzionari statunitensi, gli esperti di sicurezza di Microsoft hanno indagato ulteriormente sulla violazione dei dati e hanno scoperto che gli account di posta elettronica di Microsoft Exchange Online di 22 organizzazioni e 503 persone sono stati colpiti dall’attacco. I risultati hanno rivelato che gli aggressori cinesi del cosiddetto gruppo Storm-0558 sono riusciti a ottenere l’accesso a uno speciale codice di sicurezza che ha permesso loro di accedere a qualsiasi account e-mail di Microsoft. L’intelligence statunitense ha rivelato che l’attacco è stato condotto per conto di uno dei più potenti servizi di spionaggio di Pechino, il Ministero della Sicurezza di Stato (MSS), che gestisce grandi operazioni di hacking dello Stato nazionale.

Comprensibilmente, il clamore è stato enorme e il Dipartimento della Sicurezza Nazionale ha annunciato che avrebbe avviato un Cyber Safety Review Board (CSRB) per esaminare le pratiche di sicurezza del cloud di Microsoft. Il compito principale del comitato indipendente era:

“Il CSRB valuterà la recente intrusione in Microsoft Exchange Online, segnalata inizialmente nel luglio 2023, e condurrà una revisione più ampia delle questioni relative alle infrastrutture di identità e autenticazione basate su cloud che interessano i CSP applicabili e i loro clienti” … “Il comitato svilupperà raccomandazioni attuabili che faranno progredire le pratiche di sicurezza informatica sia per i clienti del cloud computing che per i CSP stessi”.

Il rapporto trae conclusioni devastanti per Microsoft

Ora l’indipendente Cyber Safety Review Board, incaricato dal Presidente degli Stati Uniti Biden, ha pubblicato i suoi risultati e sono pessimi, davvero pessimi.

Il rapporto giunge alla conclusione che “l’intrusione da parte di Storm-0558, un gruppo di hacker che si ritiene affiliato alla Repubblica Popolare Cinese, era evitabile” e che la violazione dei dati “non si sarebbe mai dovuta verificare”.

Il rapporto solleva forti preoccupazioni in quanto Microsoft non sa ancora come esattamente i cinesi siano riusciti ad accedere alle caselle di posta elettronica di Microsoft Exchange Online e accusa Microsoft di pratiche di sicurezza informatica molto scarse, di assenza intenzionale di trasparenza e di pratiche di sicurezza aziendale poco rigorose.

Secondo il rapporto, Microsoft ha commesso una “cascata di errori evitabili” che derivano direttamente da una scarsa cultura della sicurezza. Ad esempio, la chiave utilizzata per accedere agli account di posta elettronica avrebbe dovuto essere disattivata già nel 2021 e non avrebbe mai dovuto essere in grado di accedere agli account di posta elettronica del Ministero degli Esteri.

Un portavoce di Microsoft ha dichiarato al Washington Post che

”I recenti eventi hanno dimostrato la necessità di adottare una nuova cultura della sicurezza ingegneristica nelle nostre reti. Sebbene nessuna organizzazione sia immune da attacchi informatici da parte di avversari dotati di buone risorse, abbiamo mobilitato i nostri team di ingegneri per identificare e mitigare le infrastrutture esistenti, migliorare i processi e applicare i parametri di sicurezza”.

Il rapporto, tuttavia, afferma che questo non è sufficiente: La “cultura della sicurezza di Microsoft era inadeguata e richiede una revisione”.

Cascata di errori Microsoft

Microsoft ist das wertvollste Unternehmen der Welt, obwohl es eine schlechte Sicherheitskultur hat. Microsoft ist das wertvollste Unternehmen der Welt, obwohl es eine schlechte Sicherheitskultur hat. Microsoft è l’azienda di maggior valore al mondo, nonostante abbia una scarsa cultura della sicurezza.

Il rapporto sottolinea che diversi errori da parte di Microsoft hanno portato alla vulnerabilità delle caselle di posta elettronica di Exchange.

  1. La vecchia chiave di firma utilizzata dagli hacker cinesi per entrare nel sistema avrebbe dovuto essere disattivata già nel 2016.
  2. Microsoft avrebbe dovuto passare da una rotazione manuale a una automatica delle chiavi, che avrebbe disattivato automaticamente la vecchia chiave, ma non l’ha fatto.
  3. La chiave funzionava come una backdoor per le reti dei consumatori e delle aziende, in violazione dei protocolli di sicurezza.
  4. Un ingegnere di un’azienda acquisita da Microsoft nel 2020 stava lavorando su un portatile compromesso e nel 2021 ha avuto accesso alla rete aziendale da quella macchina. Non è certo che questo portatile sia la causa principale, ma Microsoft ha pubblicato un aggiornamento nel marzo 2024 in cui si afferma che un “account ingegneristico compromesso” è la “principale ipotesi” per la causa della violazione.
  5. Invece di lasciare che questa compromissione passasse inosservata, Microsoft avrebbe dovuto eseguire un’adeguata valutazione della sicurezza della rete dell’azienda dopo la sua acquisizione, cosa che non ha fatto.

Tutto sommato, questa catena di errori dimostra che la sicurezza non è la priorità per Microsoft, cosa che il rapporto critica pesantemente.

Il rapporto si spinge fino a dire che Microsoft dovrebbe ascoltare il suo fondatore Bill Gates, che sottolinea l’importanza della sicurezza già in un’e-mail aziendale del 2002:

“In passato, abbiamo reso i nostri software e servizi più interessanti per gli utenti aggiungendo nuove caratteristiche e funzionalità. … Quindi ora, quando dobbiamo scegliere tra l’aggiunta di funzionalità e la risoluzione di problemi di sicurezza, dobbiamo scegliere la sicurezza”.

Rischio per la sicurezza nazionale

La violazione dei dati causata da una cultura della sicurezza lassista in Microsoft diventa ancora più grave se si considera che Microsoft è il principale fornitore di molti governi, non solo negli Stati Uniti, ma anche in Germania e in molti altri Paesi europei.

Il rischio non è limitato alla sola Microsoft. I grandi fornitori di cloud, come Google, Apple, Amazon e Microsoft, sono obiettivi lucrativi per gli avversari delle nazioni occidentali e devono concentrarsi sulla sicurezza. Il rapporto del Cyber Safety Review Board termina affermando che: “l’intero settore deve unirsi per migliorare drasticamente l’infrastruttura di identità e accesso. … La sicurezza globale si basa su di essa”.

Se i malintenzionati riescono a introdursi negli account di posta elettronica dei funzionari governativi, delle autorità pubbliche e forse anche dei servizi di intelligence, Paesi come la Cina e la Russia possono mettere le mani su informazioni molto sensibili, mettendo a repentaglio la nostra sicurezza nazionale.

E sembra che gli avversari abbiano imparato a conoscere le debolezze di Microsoft.

Nel 2021, malintenzionati provenienti dalla Cina - sempre con il supporto del governo cinese - sono riusciti a compromettere i server di posta elettronica Microsoft Exchange, colpendo almeno 30.000 account organizzativi di aziende ed enti governativi.

Sempre nel 2021 la società specializzata in sicurezza Wiz ha rivelato una vulnerabilità nell’infrastruttura Microsoft Azure che ha permesso agli aggressori di accedere, modificare e cancellare i dati di migliaia di clienti Azure. All’epoca questa fu descritta come “la peggiore vulnerabilità del cloud che si possa immaginare” (mentre l’hack cinese del 2023 la superò), poiché Wiz poteva accedere letteralmente a qualsiasi database dei clienti di Microsoft Azure.

Ma la Cina non è l’unico avversario:

Nel gennaio 2024, aggressori russi sponsorizzati dal Foreign Intelligence Service (SVR) della Russia hanno attaccato il servizio di posta elettronica aziendale di Microsoft. Microsoft ha identificato gli aggressori come Midnight Blizzard, che sono riusciti a penetrare nelle caselle di posta elettronica di dirigenti e dipendenti della sicurezza.

Nel 2020, hacker russi - sempre finanziati dal governo russo - sono riusciti ad attaccare il software di rete di SolarWind, attraverso il quale gli aggressori russi hanno sottratto le e-mail di almeno nove agenzie federali statunitensi e di 100 aziende. A seguito di questo attacco Microsoft ha chiesto “la necessità di una risposta forte e globale alla cybersicurezza”.

Purtroppo, il quadro delineato dal rapporto del CSRB mostra che Microsoft non ha dato seguito al suo stesso appello per una migliore strategia di sicurezza.

3 lezioni dal rapporto del CSRB

Poiché le vulnerabilità del servizio di posta elettronica di Microsoft negli ultimi cinque anni sono state drammatiche, è importante ora concentrarsi sulla risoluzione del problema di fondo: una cultura della sicurezza lassista. Noi di Tuta stiamo costruendo un servizio di posta elettronica e calendario crittografato Ende-zu-Ende con una chiara attenzione alla privacy e alla sicurezza. In base alla nostra esperienza, possiamo dire che le migliori pratiche di sicurezza devono includere quanto segue:

1. La sicurezza deve essere sempre prioritaria rispetto alle funzionalità.

Si tratta di una decisione aziendale difficile, perché la sicurezza di per sé non fa vendere un prodotto; per questo sono necessarie le funzionalità. Ma è di estrema importanza risolvere subito le vulnerabilità e criptare il maggior numero di dati possibile, come avviene in Tuta Mail. È anche bello vedere che il governo tedesco vuole sancire per legge il diritto alla crittografia. In Germania, l’importanza della sicurezza è già stata attribuita, ad esempio nello Schleswig-Holstein. Lo stato federale più settentrionale della Germania sta migrando da Windows a Linux, un’ottima mossa in termini di sicurezza e sovranità digitale.

Noi di Tuta siamo pienamente d’accordo con le conclusioni del rapporto: La sicurezza deve essere prioritaria rispetto alle funzionalità.

2. Le chiavi generiche che possono essere utilizzate come “backdoor” non devono esistere.

L’ultimo hack di Microsoft Exchange è stato possibile solo perché gli aggressori cinesi hanno rubato una chiave generale che ha permesso loro di accedere alle caselle di posta elettronica di Exchange. Si trattava di una backdoor molto redditizia per la Cina, che non sarebbe mai dovuta esistere. Noi di Tuta seguiamo la rigorosa prassi di sicurezza secondo cui le chiavi di decodifica private sono accessibili solo all’utente e mai a noi come fornitore di servizi. Non esiste una chiave generale per decriptare i dati dell’utente, e non deve esistere per motivi di sicurezza. L’assenza di una chiave generale che possa essere utilizzata come backdoor fa sì che una violazione dei dati come quella avvenuta con Microsoft nel 2023 sia impossibile con Tuta Mail.

Il nostro fondatore Matthias Pfau spiega perché questo è importante e perché le chiavi private non devono mai essere memorizzate su un server centrale.

3. Le funzioni di sicurezza devono essere disponibili gratuitamente.

L’hack di Microsoft Exchange è stato scoperto dal Dipartimento di Stato americano solo perché ha avuto accesso a una funzione di log - che non era inclusa nei livelli di prezzo più bassi. In Tuta tutte le funzioni di sicurezza sono sempre disponibili per tutti gli utenti, anche nei piani gratuiti. Questo include la nostra nuovissima crittografia post-quantum e l’autenticazione a due fattori per proteggere le credenziali di accesso e la gestione delle sessioni.

È positivo che Microsoft abbia dato accesso alla funzione di log anche ai livelli di prezzo più bassi, ma avrebbe dovuto farlo fin dall’inizio.

In conclusione, si tratta davvero di ciò che ha detto il fondatore di Microsoft Bill Gates nel 2002: È importante dare priorità alla sicurezza rispetto alle funzionalità, non solo per Microsoft, ma per qualsiasi fornitore di servizi cloud.

Il futuro ci dirà se questo hacking cinese farà sì che Microsoft instauri una vera cultura della sicurezza.

Fino ad allora, non esitate a registrare una casella di posta sicura e crittografata con Tuta Mail.