O governo dos EUA pede à Microsoft que melhore a sua segurança - antes de acrescentar novas funcionalidades.

A pirataria da Microsoft na China mostra por que razão a segurança deve ter sempre prioridade sobre as funcionalidades e por que razão não deve existir uma chave geral que possa ser utilizada como "backdoor".

Microsoft got hacked by China, and a new report draws a devastating conclusion.

A China conseguiu piratear os servidores de correio eletrónico da Microsoft em 2023. A Microsoft não detectou o ataque, mas teve de ser informada do mesmo por funcionários do governo dos EUA. Este escândalo de segurança levou os EUA a investigar as normas de segurança da Microsoft. O relatório agora publicado apresenta um quadro devastador: Recomenda que a Microsoft suspenda o lançamento de novas funcionalidades até que tenha corrigido os seus problemas de segurança e estabelecido uma cultura de segurança empresarial adequada.


O que aconteceu

Em julho de 2023, foi revelado um grave problema de segurança nos servidores de correio eletrónico da Microsoft. De acordo com os relatórios, a Microsoft perdeu uma chave de acesso geral a todo o seu sistema de correio eletrónico, o que levou a que o governo dos EUA fosse pirateado. Supostamente, atacantes maliciosos ligados ao governo chinês conseguiram desviar cerca de 60 000 mensagens de correio eletrónico do Departamento de Estado dos EUA, do embaixador dos EUA na China e de outras mensagens de correio eletrónico de funcionários do governo dos EUA.

A própria Microsoft não detectou a violação de dados, que foi abusada pela China desde meados de maio de 2023. Em vez disso, os próprios funcionários do Departamento de Estado conseguiram detectá-la em junho de 2023, notificando a Microsoft. Além disso, o Departamento de Estado dos EUA só conseguiu investigar a violação porque utilizou um plano mais caro da Microsoft, que permitia o acesso aos registos - uma funcionalidade que até então não estava disponível nos planos mais baratos. Após o incidente, a Microsoft deu acesso a esses registos também aos planos mais baratos do seu produto. Esta foi, pelo menos, a medida correcta, porque, na nossa opinião, uma funcionalidade de segurança não deve ser fechada atrás de um acesso pago!

A Microsoft, a empresa mais valiosa do mundo, não foi capaz de detetar a violação por si só. Depois de serem notificados pelas autoridades americanas, os especialistas em segurança da Microsoft investigaram a violação de dados e descobriram que as contas de correio eletrónico do Microsoft Exchange Online de 22 organizações e 503 indivíduos foram afectadas pelo ataque. As suas descobertas revelaram que os atacantes chineses do chamado grupo Storm-0558 conseguiram obter acesso a um código de segurança especial que lhes permitiu aceder a qualquer conta de correio eletrónico na Microsoft. Os serviços secretos norte-americanos revelaram que o ataque foi efectuado por um dos mais poderosos serviços de espionagem de Pequim, o Ministério da Segurança do Estado (MSS), que opera grandes operações de pirataria informática a nível nacional.

Como é compreensível, o alvoroço foi enorme e o Departamento de Segurança Interna anunciou que iria criar um Conselho de Revisão da Segurança Cibernética (CSRB) para analisar as práticas de segurança na nuvem da Microsoft. A principal tarefa do conselho independente era:

“O CSRB avaliará a recente intrusão do Microsoft Exchange Online, inicialmente relatada em julho de 2023, e conduzirá uma revisão mais ampla de questões relacionadas à infraestrutura de identidade e autenticação baseada em nuvem que afeta os CSPs aplicáveis e seus clientes.” … “O Conselho desenvolverá recomendações acionáveis que farão avançar as práticas de segurança cibernética para clientes de computação em nuvem e os próprios CSPs.”

O relatório chega a uma conclusão devastadora para a Microsoft

Agora, o Cyber Safety Review Board independente, mandatado pelo Presidente dos EUA, Biden, publicou as suas conclusões e é mau, muito mau.

O relatório chega à conclusão de que “a intrusão do Storm-0558, um grupo de piratas informáticos considerado afiliado à República Popular da China, era evitável”.

O relatório suscita fortes preocupações, uma vez que a Microsoft ainda não sabe exatamente como é que os chineses conseguiram aceder às caixas de correio do Microsoft Exchange Online e acusa a Microsoft de práticas de segurança cibernética muito deficientes, de uma ausência intencional de transparência e de práticas de segurança empresarial pouco rigorosas.

De acordo com o relatório, a Microsoft cometeu uma “cascata de erros evitáveis” que resultaram diretamente de uma cultura de segurança deficiente. Por exemplo, a chave utilizada para aceder às contas de correio eletrónico já deveria ter sido desactivada em 2021 e nunca deveria ter tido a capacidade de aceder a contas de correio eletrónico do Ministério dos Negócios Estrangeiros.

Um porta-voz da Microsoft disse ao Washington Post que

”os acontecimentos recentes demonstraram a necessidade de adotar uma nova cultura de segurança de engenharia nas nossas próprias redes. Embora nenhuma organização esteja imune a ciberataques de adversários com bons recursos, mobilizámos as nossas equipas de engenharia para identificar e mitigar as infra-estruturas antigas, melhorar os processos e aplicar padrões de segurança”.

O relatório, no entanto, diz que isso não é suficiente: A “cultura de segurança da Microsoft era inadequada e requer uma revisão”.

Cascata de erros da Microsoft

Microsoft ist das wertvollste Unternehmen der Welt, obwohl es eine schlechte Sicherheitskultur hat. Microsoft ist das wertvollste Unternehmen der Welt, obwohl es eine schlechte Sicherheitskultur hat. A Microsoft é a empresa mais valiosa do mundo, apesar de ter uma cultura de segurança deficiente.

O relatório sublinha que vários erros da Microsoft levaram a que as caixas de correio Exchange ficassem vulneráveis.

  1. A antiga chave de assinatura utilizada pelos piratas informáticos chineses para invadir o sistema já devia ter sido desactivada em 2016.
  2. A Microsoft deveria ter passado de uma rotação manual para uma rotação automática de chaves - o que teria desativado automaticamente a chave antiga - mas não o fez.
  3. A chave funcionava como uma porta traseira para redes de consumidores e empresas, o que viola os protocolos de segurança.
  4. Um engenheiro de uma empresa adquirida pela Microsoft em 2020 estava a trabalhar num computador portátil comprometido e, em 2021, acedeu à rede empresarial a partir dessa máquina. Não é certo que este portátil tenha sido a causa principal, mas a Microsoft publicou uma atualização em março de 2024 que afirmava que uma “conta de engenheiro comprometida” era a “principal hipótese” para a causa da violação.
  5. Em vez de deixar que este compromisso passasse despercebido, a Microsoft deveria ter efectuado uma avaliação de segurança adequada da rede da empresa após a sua aquisição - o que não aconteceu.

Em suma, esta cadeia de erros mostra que a segurança não é a prioridade da Microsoft, que é o que o relatório critica fortemente.

O relatório vai ao ponto de dizer que a Microsoft devia ouvir o seu fundador Bill Gates, que sublinha a importância da segurança num e-mail da empresa, já em 2002:

“No passado, tornámos o nosso software e serviços mais atraentes para os utilizadores, acrescentando novas características e funcionalidades. … Por isso, agora, quando temos de escolher entre acrescentar características e resolver problemas de segurança, temos de escolher a segurança.”

Risco para a segurança nacional

A violação de dados causada por uma cultura de segurança pouco rigorosa na Microsoft torna-se ainda mais grave quando se considera que a Microsoft é o principal fornecedor de muitos governos - não só nos EUA, mas também na Alemanha e em muitos outros países europeus.

O risco não se limita apenas à Microsoft. Os grandes fornecedores de serviços de computação em nuvem, como a Google, a Apple, a Amazon e a Microsoft, são alvos lucrativos para os adversários das nações ocidentais e devem concentrar-se na segurança. O relatório do Cyber Safety Review Board termina afirmando que: “toda a indústria deve unir-se para melhorar drasticamente a infraestrutura de identidade e acesso. … A segurança global depende disso”.

Se atacantes maliciosos conseguirem entrar nas contas de correio eletrónico de funcionários governamentais, autoridades públicas, possivelmente até de serviços de informação, países como a China e a Rússia podem deitar a mão a informações muito sensíveis, pondo em risco a nossa segurança nacional.

E parece que os adversários aprenderam a conhecer os pontos fracos da Microsoft.

Em 2021, atacantes maliciosos da China - mais uma vez apoiados pelo governo chinês - conseguiram comprometer os servidores de correio eletrónico Microsoft Exchange, o que afectou pelo menos 30 000 contas organizacionais de entidades empresariais e governamentais.

Também em 2021, a empresa especializada em segurança Wiz divulgou uma vulnerabilidade na infraestrutura do Microsoft Azure que permitiu aos atacantes aceder, modificar e apagar dados de milhares de clientes do Azure. Na altura, esta foi descrita como “a pior vulnerabilidade na nuvem que se pode imaginar” (embora o hack chinês de 2023 tenha superado esta), uma vez que a Wiz podia aceder literalmente a qualquer base de dados de clientes do Microsoft Azure.

Mas a China não é o único adversário:

Em janeiro de 2024, atacantes russos patrocinados pelo Serviço de Informações Externas (SVR) da Rússia atacaram o serviço de correio eletrónico empresarial da Microsoft. A Microsoft identificou os atacantes como Midnight Blizzard; conseguiram entrar nas caixas de correio eletrónico de executivos seniores e funcionários de segurança.

Em 2020, os piratas informáticos russos - mais uma vez financiados pelo governo russo - conseguiram atacar o software de rede da SolarWind, através do qual os atacantes russos desviaram os e-mails de, pelo menos, nove agências federais dos EUA, bem como de 100 empresas. Na sequência deste ataque, a Microsoft apelou à “necessidade de uma resposta forte e global em matéria de cibersegurança”.

Infelizmente, a imagem que o relatório do CSRB está agora a pintar mostra que a Microsoft não deu seguimento ao seu próprio apelo para uma melhor estratégia de segurança.

3 Lições do relatório do CSRB

Uma vez que as vulnerabilidades do serviço de correio eletrónico da Microsoft nos últimos cinco anos foram dramáticas, é importante concentrarmo-nos agora em resolver o problema subjacente: uma cultura de segurança pouco rigorosa. Nós, na Tuta, estamos a criar um serviço de correio eletrónico e calendário encriptado de ponta a ponta com um claro enfoque na privacidade e segurança. Com base na nossa experiência, podemos dizer que as melhores práticas de segurança devem incluir o seguinte:

1. A segurança deve ser sempre priorizada em relação aos recursos.

Esta é uma decisão comercial difícil, porque a segurança, por si só, não vende um produto; para isso, são necessárias funcionalidades. Mas é da maior importância corrigir imediatamente as vulnerabilidades e encriptar o máximo de dados possível, como no Tuta Mail. Também é ótimo ver que o governo alemão quer consagrar na lei o direito à encriptação. Na Alemanha, a importância da segurança já está a ser mais elevada, por exemplo, em Schleswig-Holstein. O estado federal mais setentrional da Alemanha está a migrar do Windows para o Linux, uma grande medida em termos de segurança e soberania digital.

Nós, na Tuta, concordamos plenamente com a conclusão do relatório: A segurança deve ser prioritária em relação às funcionalidades.

2. Não devem existir chaves gerais que possam ser utilizadas como “backdoor”.

O último hack do Microsoft Exchange só foi possível porque os atacantes chineses roubaram uma chave geral que lhes permitiu aceder às caixas de correio do Exchange. Esta foi uma ” backdoor” muito lucrativa para a China, que nunca deveria ter existido. Na Tuta, seguimos a prática de segurança rigorosa de que as chaves de desencriptação privadas só são acessíveis ao utilizador e nunca a nós, enquanto fornecedores de serviços. Não existe uma chave geral para desencriptar os dados do utilizador - e não deve existir por razões de segurança. A ausência de uma chave geral que possa ser usada como backdoor garante que uma violação de dados como a que aconteceu com a Microsoft em 2023 seja impossível com o Tuta Mail.

O nosso fundador Matthias Pfau explica porque é que isto é importante e porque é que as chaves privadas nunca devem ser armazenadas num servidor central.

3. Os recursos de segurança devem estar disponíveis gratuitamente.

O hack do Microsoft Exchange só foi descoberto pelo Departamento de Estado dos EUA porque ele tem acesso a um recurso de logs - que não estava incluído em níveis de preços mais baixos. Na Tuta, todas as funcionalidades de segurança estão sempre disponíveis para todos os utilizadores, mesmo nos planos gratuitos. Isto inclui a nossa novíssima encriptação pós-quântica, bem como a autenticação de dois factores para proteger as credenciais de início de sessão e o tratamento de sessões.

É bom que a Microsoft tenha agora dado aos níveis de preços mais baixos acesso à funcionalidade de registo, mas deveria tê-lo feito desde o início.

Em conclusão, tudo se resume ao que o fundador da Microsoft, Bill Gates, disse em 2002: É importante dar prioridade à segurança em detrimento das funcionalidades - não apenas para a Microsoft, mas para qualquer fornecedor de serviços na nuvem.

O futuro mostrará se este hack da China fará com que a Microsoft finalmente estabeleça uma verdadeira cultura de segurança.

Até lá, sinta-se à vontade para registar uma caixa de correio segura e encriptada com o Tuta Mail.