Ľuboš Moščovič o bezpečnosti
Informačná bezpečnosť sa týka každého!

A tento poznáte? Microsoft dal bezpečnosti najvyššiu prioritu…

/ súkromie, Microsoft, bezpečnosť

Nie je to ani mesiac, čo Microsoft zverejnil vyhlásenie, že bezpečnosť dáva na úplne prvé miesto, a ak nastane situácia, kedy sa budú musieť rozhodnúť medzi bezpečnosťou a funkcionalitou, vyberú si bezpečnosť. Netajím sa, že som tomuto vznešenému vyhláseniu moc neveril, hoc som mu určite veľmi fandil, ale to že pôjde hore komínom takto rýchlo, som ani ja nečakal.


Na minulotýždňovej developerskej konferencii Microsoftu totiž predstavili jednu totálne šialenú funkcionalitu pre nové “Copilot +” počítače, a to Recall. Táto funkcia, okrem toho, že vám zožerie minimálne 50 GB z úložiska, bude každých pár sekúnd robiť screenshoty, ktoré následne spracuje výkonným hardwarom vášho Copilot + počítača, a potom uloží v zašifrovanej podobe na vašom lokálnom disku na minimálne tri mesiace. Prečo? No aby ste si nemuseli všetko - prakticky všetku vašu aktivitu vykonanú na počítači, vrátane obsahu webstránok, či dokumentov na ktorých pracujete - pamätať vy. Stačí sa opýtať Recallu napr. “Nedávno som kdesi na webe videl krásne biele tenisky…” a on vám ich ukáže, dokonca na presne tej stránke kde ste ich pôvodne videli vy.


Na prvý pohľad to možno znie ako zaujímavý, či dokonca lákavý nápad. Napríklad aj chalani v Kliku z toho boli pomerne nekriticky unesení, hoc však aj oni utrúsili aspoň malú poznámku o tom, že z hľadiska ochrany súkromia s tým pár jedincov nemusí byť úplne stotožnených. To však považujem za neskutočný eufemizmus - toto je totižto 50+ gigabytová nočná mora pre ochranu súkromia, poťažmo bezpečnosť každého dotknutého jedinca.


Tri a viac mesiacov záznamov o každom jednom kliknutí, prezeranej stránke, čítanom, či editovanom dokumente, a to bez akejkoľvek “autocenzúry”. Zobrazili ste si heslo v správcovi hesiel? Cvak, môže byť v zázname. Robili ste si registráciu na dvojfaktorové overovanie a služba vám zobrazila QR kód s tým “tajným” seedom? Cvak, môže byť v zázname. Čo zostatok na účte v internetbankingu? Cvak… Kolega vám práve na meetingu vztýčil prostredníček?  Cvak... Hanbatá cica-mica? Cvak…


Myslím, že už tušíte kam smerujem. Takýto podrobný záznam síce môže poskytnúť relatívne fajn službu, obzvlášť pre zlaté rybky ako som ja sám, ale cena v prípade úniku takýchto podrobných údajov, môže byť privysoká. Iste, Microsoft tvrdí, že tieto dáta neopustia váš počítač a sú aj šifrované… ale naozaj to stačí? Samozrejme, že nie! Šifrované sú iba na disku (at rest), keď sa s nimi pracuje, tak už šifrované byť ani nemôžu. Ukradli vám počítač a máte slabé heslo? Whups! Taktiež napr. malware, ktorý si nájde cestu do vášho stroja bude môcť za určitých okolností tieto dáta získať a pochopiteľne aj poslať ďalej (exfiltrovať). To isté platí aj pre útočníka, ktorému sa podarí nejako získať vzdialený prístup na váš systém… Ja viem, ja viem, Microsoft povedal, že sa to nedá - ibaže to je, bez urážky, totálna kravina a evidentná lož a Microsoft to dobre vie. Rovnako dobre vie, že celý Recall je, obzvlášť z hľadiska ochrany súkromia, veľmi sporný, ináč by sa nehrali so slovíčkami a nehovorili o “snapshotoch” ale pekne, po pravde, o “screenshotoch”.


Trinásta komnata je však najtemnejšia. Nežijeme v dokonalom svete - domáce násilie sa nedá ignorovať. Vážne si myslíte, že “partner” - tyran nemá priamy prístup k počítaču aj používateľskému účtu obete? Najlepšie, jednou vetou, to vystihla Eva Galperin z EFF:

"Mám pre Microsoft nejaké novinky o tom ako funguje domáce násilie."


Zhrniem to asi takto - Microsoft nebol nikdy etalónom príkladnej starostlivosti o bezpečnosť a ani nedávne veľkohubé vyhlásenie na tom nič nezmenilo, ináč by do sveta nemohli vypustiť takúto obludnosť, ktorá je nielen filozoficky sporná, ale s jej zabezpečením si hlavu tiež moc nelámali.

Previous Post