编者按
2009-2017年间,微软与NSA频频携手出现在新闻中,为我们上演了一场场爱恨情仇,其间有合作,有推诿,有争端,剧情跌宕起伏,扑朔迷离。今天界小编就为大家分享其中不得不说的5集。
微软和NSA不得不说的故事
目录:
1、NSA参与Windows7开发 微软否认开后门
2、斯诺登披露NSA与微软非比寻常的关系
3、微软放话:NSA是顽固的网络威胁
4、“WannaCry”事件 微软炮轰NSA
5、事发一个月 微软修复90个漏洞
第一集
NSA参与Windows7开发 微软否认开后门
2009年11月20日,微软否认了Windows 7存在“后门”的言论。美国国家安全局(以下简称“NSA”)一名高官在国会作证时承认NSA参与了Windows7开发后,外界对此提出了质疑。
微软发言人表示,“微软过去没有,将来也不会在Windows中留后门。”
NSA信息安全主管理查德·谢佛(Richard Schaeffer)11月17日在美国参议院作证时表示,在Windows7开发期间,NSA曾与开发人员合作,以确保Windows 7的安全性。隐私保护机构电子隐私信息中心执行主任马克·罗滕伯格(Marc Rotenberg)对NSA参与操作系统开发提出了质疑,“NSA负有双重使命:网络安全和收集情报”。
罗滕伯格提到了NSA是否会向微软等公司施压,要求他们在软件代码中留后门,使NSA能跟踪用户、收集用户的通信数据的问题。他说,这显然是一个令人担忧的问题,各大软件公司很难拒绝NSA的要求,因为联邦政府是他们重要的客户。
微软在否认Windows 7存在后门的同时还澄清了NSA参与Windows7开发的问题,上述微软发言人称,“NSA主要与我们讨论了与‘安全合规管理工具包’(Security Compliance Management Toolkit)有关的问题。”
微软10月发布了Windows 7版安全合规管理工具包。安全合规管理工具包提供了一系列安全设置以及部署这些设置所需要的工具,面向企业、政府机构和其他大型组织。
微软否认Windows 7存在后门并不让安全研究人员感到意外。
反病毒软件公司AVG Technologies首席研究官罗杰·汤普森(Roger Thompson)说,“我认为NSA和微软不会故意在Windows 7中留后门,因为一旦被发现,对他们双方的声誉都将造成极大影响。”
Gartner分析师约翰·佩斯卡托(John Pescatore)表示,“这种担忧被夸大了,NSA在安全配置标准方面与微软、思科等公司都有合作关系。”
罗滕伯格称,“问题的关键在于,NSA并非是促进私营领域计算机安全的合适机构,最终用户将因此面临风险,Clipper加密技术就是一个例子。”
Clipper是NSA在1993年首次提出的一个加密标准,允许执法机构访问采用此标准加密的数据。Clipper在业界引起了轩然大波,最终被放弃。
第二集
斯诺登披露NSA与微软非比寻常的关系
2.1
“棱镜门”事发 九大巨头是同犯
2013年6月,前中情局( CIA)职员爱德华·斯诺登将两份绝密资料交给英国《 卫报》和美国《华盛顿邮报》,并告之媒体何时发表。按照设定的计划,2013年6月5日,英国《卫报》先扔出了第一颗舆论炸弹:美国国家安全局有一项代号为"棱镜"的秘密项目,要求电信巨头威瑞森公司必须每天上交数百万用户的通话记录。
棱镜计划(PRISM)是一项由美国国家安全局(NSA)自2007年小布什时期起开始实施的绝密电子监听计划,该计划的正式名号为“US-984XN”。
6月6日,美国《华盛顿邮报》披露称,过去6年间,美国国家安全局和联邦调查局通过进入微软、谷歌、苹果、雅虎等九大网络巨头的服务器,监控美国公民的电子邮件、聊天记录、视频及照片等秘密资料。美国舆论随之哗然。
美国决策者意识到,互联网在越来越多的国际事件上可以成为达到美国政治目的、塑造美国全球领导力的有效工具。
2011年,以“脸谱网”(facebook)和“ 推特”(twitter)为代表的新媒体,贯穿埃及危机从酝酿、 爆发、升级到转折的全过程,成为事件发展的“催化剂”及反对派力量的“放大器”。
同样,类似的事件也在突尼斯和伊朗等国都上演过。如今,以谷歌为首的美国IT巨头一方面标榜网络自由,反对其他国家的政府监管本国的互联网;另一方面又与美国政府负责监听的机构结盟,这无形之中就把自己献到祭坛上去了。
这项代号为“棱镜”的高度机密行动此前从未对外公开。《华盛顿邮报》获得的文件显示,美国总统的日常简报内容部分来源于此项目,该工具被称作是获得此类信息的最全面方式。
一份文件指出,“国家安全局的报告越来越依赖‘棱镜’项目。该项目是其原始材料的主要来源。报道刊出后外界哗然。
保护公民隐私组织予以强烈谴责,表示不管奥巴马政府如何以反恐之名进行申辩,不管多少国会议员或政府部门支持监视民众,这些项目都侵犯了公民基本权利。这也是一起美国有史以来最大的监控事件,其侵犯的人群之广、程度之深让人咋舌。
2.2
微软配合NSA监控
2013年7月,英国《卫报》称新获得的独家机密文件揭示了微软和NSA的棱镜计划深度合作关系。该报告称,华盛顿雷德蒙公司在收集私人电子邮件和Skype传输数据。
美国前情报人员斯诺登通过英国《卫报》甩出了一颗“震撼弹”。他提供的资料显示,科技巨头微软公司曾与NSA合作,允许其规避自己的加密系统,监视用户的电子邮件、聊天记录及其云存储服务。
《卫报》11日称,斯诺登提供的信息表明,微软帮助NSA和联邦调查局绕过公司自身的加密措施,以便它们能够拦截Outlook.com门户网站和Hotmail邮件等的数据。
微软两年前收购的Skype据说也同情报机构合作,从聊天服务中收集音频和视频资料。不仅如此,微软还允许情报机构在未获独立授权的情况下进入SkyDrive云存储服务端获取信息。这些都是美国“棱镜”项目的一部分,目的是收集互联网通信数据。报道称,在推出Outlook.com门户网站数月前,微软就已同NSA合作,确保其能够拦截和读取网络聊天记录。
美国《环球邮报》网站11日称,人们起初认为Skype能免遭窃听,但实际上,美国政府能够截取约6.63亿Skype用户的视频和音频资料。路透社11日称,斯诺登对微软的最新爆料再度引发广泛担忧。
斯诺登上个月通过《卫报》和美国《华盛顿邮报》披露“棱镜”项目时,微软与其他一些主要技术公司否认向NSA提供客户通信数据。
美国广播公司11日称,微软发表声明回应最新披露内容时强调:“只提供政府要求的特定账户或用户信息……微软没有向任何政府提供全面获取SkyDrive、Outlook.com、Skype或其他微软旗下软件产品数据的渠道。”
卡塔尔半岛电视台网站12日称,《卫报》记者格林沃尔德透露自己之前同斯诺登交谈过,斯诺登强烈否认所谓莫斯科或北京已获取资料的传言。此外,法国人权组织11日在巴黎对政府发起诉讼,试图推动调查斯诺登披露的信息,检查NSA和美国主要互联网公司是否违犯法国的相关法律。
第三集
微软放话:NSA是顽固的网络威胁
3.1
间隙初生——微软:NSA是顽固的网络威胁
2013年12月,微软总法律顾问将美国国安部比作精英黑客,同时微软发表官方博客称,公司将对在不同数据中心之间移动的客户信息进行加密。
在此之前,包括谷歌(微博)、Facebook和雅虎在内的许多互联网公司均已表示将对网络信息进行加密,以回应国家安全部的监听行为。据国安部前官员称,国安部经常会从连接美国公司数据中心的光纤网络上获取客户信息。
微软总法律顾问布莱德史密斯(Brad Smith)称,如果上述说法准确属实,那么国安部就绕过了法律程序。当然,史密斯并未指名道姓地提到国安部,只是含沙射影地暗示他们。
史密斯在博客上表示:“如果这些行为属实,那将严重威胁到公众对网络社区的安全性和隐私性的信任。实际上,政府的监听行为现在可能已经构成了一种‘先进持续的威胁’,与复杂的恶意软件和网络攻击一样令人反感。”
“先进持续的威胁”一词在网络安全界有着特殊的含义,通常被用来指政府部门支持的黑客团队。
史密斯称,微软的加密行动将于2014年底完成。另外,微软还宣布,它将在欧洲、美洲和亚洲开放一些“透明度中心”(transparency center),以便政府部门检查他们的源代码,确认其中没有“后门”程序。
3.2
事态升级——微软:NSA请不要攻击我们的数据中心
2014年1月,微软打出了正面回击NSA监控的第一枪。在接受采访时,微软首席法律顾问Brad Smith宣布,为了保障用户信息安全,微软的国外用户可以决定自己在微软的数据存放在美国境内还是境外,比如欧洲用户可以选择将数据存放在微软在冰岛的服务器中,以避开NSA的监控。
不过有人士担忧称,即使数据存放在国外,但服务器依旧是微软的,如果NSA强制索要的话,微软也只能拱手相让。不管怎么说,微软的这个举动还是有积极意义的,至少会给NSA的监控工作增加一些难度,并且很可能会起到领头羊作用。
2014年7月,震惊世界的“棱镜门”事件过去一周年,微软作为美国国家安全局的监测目标之一,再一次公开表态,企图给政府施压,要求美国政府改变其政策。
微软法律总顾问和执行副总裁布拉德·史密斯写了一篇长篇大论,来阐述其观点,呼吁美国政府不能强迫微软披露其他国家在其所托管的服务器上信息。
其中最重要的一条论点,就是微软要求国家安全局(NSA)不能入侵或其电缆设备。微软认为,其加密措施可以暂时保护数据的安全性,但是只要情报部分的数据收集工作不停止,也就不会有绝对意义上的安全。
微软希望通过和其他公司的合作,通过他们国际上的影响力来向美国政府游说,虽然不指望一夜之间就能成功,但是这些史密斯认为建议应该会得到关注,并且其效果将影响整个行业。
3.3
愈演愈烈——微软修复18年前漏洞
2014年11月,微软在周二补丁日前紧急发布了大量漏洞补丁,数量规模创下历史新高,其中一个高危漏洞(CVE-2014-6332)存在于IE浏览器的安全隧道(Schannel)层,也就是SSL和TLS安全协议的部署层,这个漏洞可以让攻击者远程完全控制主机并执行代码。
发现该漏洞的IBM X-Force团队主管Robert Freeman在博客中指出,微软IE浏览器的SSL高危漏洞至少从windows 95开始就存在于微软的桌面操作系统中,“洞龄”迄今已经超过18年。
通过这种远程代码执行漏洞,黑客可以在目标主机中安装恶意软件,从事各种非法活动,例如键盘记录、屏幕摄录、信息窃取等。
值得注意的是,微软爆出高危SSL/TLS漏洞之前,包括谷歌(SSL3.0“贵宾犬”漏洞,洞龄15年)苹果(gotofail安全漏洞)、OpenSSL(心脏出血漏洞,洞龄12年)、LibreSSL(伪随机数生成器缺陷)GnuTLS(应用于GNOME等处)以及Mozilla火狐浏览器的NSS漏洞先后爆出SSL/TLS安全协议漏洞,而且这些致命的漏洞无所不在,而且“洞龄”短则数年,长则十数年,潜伏之久令人发指。
斯诺登曾指责NSA操控SSL/TLS标准,蓄意弱化安全协议标准,但NSA如何对互联网安全基础协议和标准进行渗透和操控?是否在SSL /TLS、802.11i、IPSec等基础安全协议和标准中留下“蓄意缺陷”,从而达到其大规模破解和监控的目的?这依然是业界不可言说的“阴谋论”。
其实早在心脏出血漏洞爆发时,Vox公司的Tim Lee就曾在博客中指出,OpenSSL的漏洞对NSA这样的情报部门来说更有价值,NSA与运营商和互联网服务商存在合作关系,可从互联网骨干网大规模解密OpenSSL加密的数据。
如果说Tim的阴谋论还仅仅是一种假设,那么,随着苹果、谷歌、火狐以及微软等用户基数极为庞大的“棱镜”公司的HTTPS基础安全机制接连发现致命漏洞,任何一位神志清醒的专家都不会认为这是巧合。
第四集
“WannaCry”事件 微软炮轰NSA
4.1
“WannaCry”病毒蔓延让人想哭 微软甩锅NSA
2017年5月,“WannaCry”勒索病毒继续蔓延,全球150多个国家沦陷。最新数据显示,全球近百个国家的超过10万家组织和机构被攻陷,有1600家美国组织,11200家俄罗斯组织。中国有近3万家机构有计算机遭受影响,涉及高校、加油站、火车站、自助终端、邮政、医院、甚至政府企事业办事终端等领域。美国国家安全局NSA也因此站在了舆论的风口浪尖。
勒索病毒的大范围蔓延,微软和NSA负首要责任,但NSA更令人担心。有观点认为是微软对漏洞的麻木和疏漏,要为此病毒背锅。微软总裁兼首席法务官Brad Smith甩锅给NSA,称美国国家安全局撰写的黑客软件被盗,给了犯罪组织可乘之机,其应为勒索病毒危机负主要责任。并表示他们私自握有黑客工具,并对系统漏洞隐瞒不报造成了这次大规模攻击事件,最终带来了这一次攻击了150个国家的勒索病毒。
Brad Smith称,这一事件的严重性等同于美国的战斧导弹被盗。我们需要政府考虑囤积这些漏洞和使用这些漏洞的对平民的危害。
连斯诺登也站出来指责NSA早就发现这些漏洞,但未向微软及社会公开,反而利用漏洞进行间谍活动。
台北《中国时报》也表示,NSA成为“帮凶”。日文雅虎网站上有日本网民称,美国国家安全局是一个“豢养了很多怪物的地方”。
这句话的意思差不多就是,美国国家安全局研发了很强大的病毒软件。
我们知道,WannaCry这一勒索病毒的发行者,是利用了去年被盗的美国国家安全局(NSA)自主设计的Windows系统黑客工具Eternal Blue,把今年2月的一款勒索病毒升级。而去年斯诺登曾经发文称,美国国家安全局留下了灾难性的网络漏洞,但“三年多宁愿去攻击,也不去修复”。
据悉NSA旗下的“方程式黑客组织”使用的网络武器有十款工具最容易影响Windows个人用户,包括永恒之蓝、永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。
这其中的网络武器,包括可以远程攻破全球约70%Windows机器的漏洞利用工具。这次事件是美国国家安全局(NSA)黑客武器库泄露出来的永恒之蓝实现的。
从微软甩锅NSA的角度想,NSA私藏这些漏洞以待日后可用的做法,对微软等硅谷巨头来说都是不利的,因为硅谷巨头给外界的形象往往是站在政府与公权力的对立面去维护用户隐私安全,比如去年美国联邦调查局(FBI)要求苹果协助破解恐怖分子iPhone的密码事件的纠纷中,苹果与FBI对抗升级,硅谷一众巨头都在高调驰援苹果。
因为无论是微软、苹果还是谷歌等巨头,都拥有着最容易作恶的最大、最有价值的数据,却有绝不作恶的承诺,加之西方用户向来有注重个人隐私的传统,这是科技公司开展商业营收的底线,科技公司和用户间的信任关系是整个业务的核心,如果人们有一天发现它们与政府之间走的太近甚至有着某种交易或者不为人知的契约,科技巨头们建立起来的品牌公信力往往也会很快坍塌。而且微软还需要考虑,那些依然潜在未修复而NSA却可能已经知道却瞒报的漏洞可能会对普通用户以及它自身的业务造成多大的影响。
在当前,全球大部分国家的计算机、和其他科技互联网类电子设备通常都使用美国硅谷巨头的软件,这一事件也警醒世人美国国家安全局研发了多么强大的病毒软件。
这也是为何微软甩锅给美国国安局的重要原因,因为微软也担心民众有一天会质疑其在Windows操作系统权限上曾经给NSA开了后门,而用户隐私数据一旦被黑客组织或者政府监管、安全部门利用,造成的危害无法预估。对这些硅谷巨头而言,用户不信任会极大的波及其核心业务与用户增长以及稳定性。
4.2
微软的无奈:从 Win2K 到 Windows 8 没一个逃得过NSA黑客工具
2017年4月,“影子经纪人”(ShadowBrokers)再泄一批NSA“方程式小组”黑客工具。这次的料杀伤面更广,从古早的 Windows 2000 到 近几年广泛使用的 Server 2012 和 Windows 7 和8,无一幸免,而且还都是些简单易用的漏洞利用工具。
ShadowBrokers披露的软件是NSA用来攻击全球计算机的。据称其可入侵Windows系统,对此微软在官方博客回应称该公司正在评估这些漏洞且大部分漏洞已被修复。披露的资料包括一些软件,这些软件用奇怪的代号命名,比如ODDJOB、ZIPPYBEER、ESTEEMAUDIT,软件可以入侵Windows计算机,只要系统比Windows 10老就可能被恶意软件感染,有时还可以控制计算机。
根据Net Market Share的数据,从上个月的上网信息分析,全球65%的桌面计算机安装的都是不安全的Windows系统。
最引人注目的植入式程序名叫FUZZBUNCH,它可以自动部署NSA恶意软件,允许“特定入侵行动办公室”(Tailored Access Operations)的成员从自己的计算机上让目标计算机感染恶意软件。
安全研究员、黑客、Hacker House联合创始人马修·希基(Matthew Hickey)认为,这些软件是公众可以获得的,根据之前披露的漏洞可以发起“零日漏洞攻击”,其影响不容低估。他还说:“在我的整个一生中,还没有看到过如此多的漏洞和零日攻击漏洞在同一时间出现,要知道我在计算机黑客、安全领域干了20年。”
如果出现零日漏洞,在微软发布补丁之前计算机一直都是不安全的,更准确的讲,只有当计算机主人安装补丁之后才能真正安全。
希基表示:“这是一个大问题。任何人只要想下载,就可以下载国家开发的攻击工具……从字面上讲,它就是网络武器,可以入侵计算机……在未来许多年里,有人会使用这些攻击手段。”
在一段视频中,希基用FUZZBUNCH入侵一台运行Windows Server 2008的虚拟计算机。
第五集
事发一个月 微软修复90个漏洞
6月8日,微软宣布收购波士顿安全公司Hexadite,收购价格未透露。Hexadite的AIRS自动化事件响应解决方案产品是其杀手锏,按照Hexadite自己的说法这是一款融合顶级分析师的决策技能,并由AI驱动,调查后进行建模的工具。微软表示当前正基于WDATP及其网络针对高级威胁采用Windows 10帮助企业来检测、调查和响应,本次收购就是建立在此基础上的。
微软Windows与设备团队执行副总裁Terry Myerson表示:“我们期望采用新一代安全能力,来帮助客户保护、检测和响应持续变化中的网络威胁。Hexadite的技术和人才能够强化我们的能力,为微软的企业安全产品加入新的工具和服务。”
6月14日,微软通过媒体称,从今年秋季开始,也就是下一个版本的Windows 10更新(红石3)发布之时,微软计划在绝大部分Windows版本中禁用SMBv1。
SMBv1实际上是微软早在90年代开发的文件共享协议,实际上微软已经在Windows 10 Enterprise和Server 2016的内部编译版中禁用了SMBv1。更多细节微软尚未透露。不过消息提到,早在5年以前,微软就曾计划禁用SMBv1,主要原因就是安全性。
微软13日发布本月Patch Tuesday,修复超过90个漏洞,其中有两个是Critical级别的RCE漏洞,这两个漏洞已经被利用到攻击中。
其中一个漏洞CVE-2017-8464是LNK远程代码执行漏洞,某个恶意构造的快捷方式文件图标显示时即可触发,这和先前震网病毒利用的漏洞很相似——不过如果用户并没有管理员权限,则漏洞危害有限;另一个CVE-2017-8543是影响Windows搜索的RCE漏洞,攻击者发送恶意构造的SMB信息至Windows Search服务即可触发,攻击者可利用该漏洞实现提权和设备控制。本次微软修复的漏洞中,有18个为Critical级别,其它的均为Important级别。
微软又为Windows XP提供了安全更新,在WannaCry事件之后微软也曾为XP推过一次补丁。
本次XP补丁包含在微软的6月Patch Tuesday中,除了XP,微软还为Server 2003提供了修复补丁——考虑到这两款系统实际上都已经不再受微软支持,现在发布补丁还是比较罕见的。微软这次为XP和Server 2003修复的补丁,主要针对的还是先前泄露的NSA入侵工具,分别是ENGLISHMANSDENTISH(针对Outlook)、EXPLODINGCAN(针对IIS 6.0)和ESTEEMAUDIT(针对RDP)。其它漏洞修复可参见微软的公告,值得一提的是上个月月末有安全公司曾针对XP发布非官方ESTEEMAUDIT入侵工具的补丁。
