Microsoft przekazuje klucze BitLocker FBI, narażając użytkowników na poważną lukę w prywatności

Microsoft przekazał klucze odzyskiwania BitLocker FBI po otrzymaniu ważnego nakazu, narażając prywatność użytkowników Windows. Ujawnienie nastąpiło po śledztwie FBI na Guam, gdzie Microsoft dostarczył klucze szyfrowania w celu odblokowania laptopów trzech podejrzanych w sprawie o oszustwo na Guam.

Federalni śledczy na Guam uważali, że laptopy zawierały informacje, które udowodniłyby, że osoby odpowiedzialne za program pomocy dla bezrobotnych w związku z COVID-19 na wyspie były zaangażowane w plan defraudacji pieniędzy.

Ujawnienie klucza Microsoft BitLocker wywołuje globalne obawy o prywatność 

Microsoft dostarczył klucze odzyskiwania śledczym FBI, ponieważ dane były chronione za pomocą BitLocker. To oprogramowanie chroni wszystkie dane na dysku twardym komputera i jest automatycznie aktywowane na wielu współczesnych komputerach z systemem Windows. Dane są szyfrowane przez BitLocker tak, że tylko ci, którzy posiadają klucz, mogą je odszyfrować.

Chociaż użytkownicy mogą przechowywać swoje klucze na urządzeniu osobistym, Microsoft zaleca klientom BitLocker przechowywanie kluczy na swoich serwerach dla łatwiejszego zarządzania. To naraża ludzi na ryzyko pozwów sądowych i nakazów organów ścigania, chociaż oznacza to również, że mogą uzyskać dostęp do swoich danych, jeśli zapomną hasła lub zablokują urządzenie po wielu nieudanych próbach logowania.

Korporacja z Redmond w stanie Waszyngton nigdy wcześniej nie przekazała organom ścigania klucza szyfrowania, o ile wiadomo, aż do sprawy na Guam, gdzie przekazała klucze szyfrowania śledczym. Jednak Microsoft potwierdził, że udostępnia klucze odzyskiwania BitLocker w przypadku prawomocnego nakazu sądowego. 

Chamberlayne dodał, że Microsoft otrzymuje około 20 wniosków o klucze BitLocker rocznie. W wielu z tych przypadków klienci nie zapisali swoich kluczy w chmurze, co uniemożliwia firmie udzielenie pomocy.

Jednak przekazanie kluczy organom ścigania wywołało obawy o prywatność. W oświadczeniu złożonym przez senatora Rona Wydena dla Forbes, "po prostu nieodpowiedzialne jest, aby firmy technologiczne dostarczały produkty w sposób, który pozwala im potajemnie przekazywać klucze szyfrowania użytkowników. Dodał, że pozwolenie ICE lub innym bandytom Trumpa na kradzież kluczy szyfrowania użytkownika naraża użytkowników i ich rodziny na ryzyko osobiste bezpieczeństwo i daje im dostęp do całej cyfrowej egzystencji użytkownika.

Ten problem nie ogranicza się do Stanów Zjednoczonych. Radca ds. nadzoru i cyberbezpieczeństwa ACLU, Jennifer Granick, zauważyła, że kraje o wątpliwych zapisach w zakresie praw człowieka również żądają danych od gigantów technologicznych, takich jak Microsoft. Dodała, że zdalne przechowywanie kluczy deszyfrowania może być bardzo ryzykowne.

Jeden z uczestników na Hacker News stwierdził, że problemem było to, że Microsoft już posiadał te klucze. Jeśli klucz jest dostępny i można go swobodnie używać, to po co jest szyfrowanie? iCloud Email jest taki sam, dodał użytkownik.

Użytkownik argumentował również, że stworzone przez ludzi prawa i przepisy nie mogą zapewnić prywatności, ponieważ są nadużywane i podlegają zmianom. Źródłem prywatności jest matematyka, która nie liczy się z zasadami i przepisami.

Rządy na całym świecie naciskają na firmy technologiczne o backdoory szyfrowania

Organy ścigania często żądają od korporacji komputerowych kluczy szyfrowania, dostępu backdoor lub innych luk w zabezpieczeniach. Apple był wielokrotnie proszony o dostęp do zaszyfrowanych danych w swojej chmurze lub na swoich urządzeniach. W październiku ubiegłego roku rząd Wielkiej Brytanii wznowił konfrontację z Apple w sprawie dostępu do danych klientów. Rząd zażądał backdoora do serwerów przechowywania w chmurze firmy technologicznej, celując tylko w brytyjskich użytkowników.

W szeroko relacjonowanej konfrontacji z rządem w 2016 roku Apple opierał się nakazowi FBI o pomoc w otwieraniu telefonów terrorystów, którzy zastrzelili i zabili 14 osób w San Bernardino w Kalifornii. Ostatecznie FBI udało się znaleźć wykonawcę, który włamał się do iPhone'ów.

W oddzielnym raporcie w kwietniu ubiegłego roku prawodawcy z Florydy jednogłośnie zatwierdzili projekt ustawy, który nakazywałby firmom mediów społecznościowych zapewnienie funkcjonariuszom organów ścigania dostępu do kont użytkowników za pomocą backdoorów szyfrowania.

Nie tylko czytaj wiadomości o krypto. Zrozum je. Zapisz się do naszego newslettera. Jest darmowy.