Chińczycy pilnowali amerykańskiego bezpieczeństwa. Kogoś mocno pogięło
Zlecanie krytycznych zadań IT zespołom zlokalizowanym w Chinach niesie ze sobą ryzyko nie tylko wycieku danych, ale i przejęcia systemów przez chińskie służby wywiadowcze. Oczywiste, nieprawdaż?
Microsoft przyznał, że hakerzy z Chin wykorzystali luki w SharePoint OnPrem, aby włamać się do systemów setek firm i agencji rządowych, w tym do Narodowej Administracji Bezpieczeństwa Jądrowego i Departamentu Bezpieczeństwa Krajowego. Tymczasem obsługa techniczna tej wersji SharePointa była… realizowana przez chińskich inżynierów od lat, choć pod nadzorem Amerykanów.
Oznacza to, że osoby mające dostęp do newralgicznych sekcji kodu i ścieżek aktualizacji mogły - choć nie ma jeszcze dowodów - mieć przynajmniej techniczną możliwość wprowadzenia backdoorów lub przekazywania narzędzi do włamania. Microsoft zapewnia, iż każdy błąd był analizowany i autoryzowany przez US-based engineer, jednak skala operacji stawia pod znakiem zapytania, czy jedna para oczu amerykańskiego kontrolera wyczerpuje temat.
Czytaj też:
Stróże na papierze
Aby spełnić wymogi Departamentu Obrony (DoD) Microsoft od dekady korzysta z modelu digital escort: zagraniczni specjaliści realizują zadania, a Amerykanie pilnują, by nikt nie zaszalał z przepisami dotyczącymi obiegu wrażliwych danych. Problem? Escorts często nie mają tak głębokiej wiedzy technicznej co ich chińscy koledzy, co sprowadza się do sytuacji, w której stróż widzi, że padł błąd, ale niekoniecznie rozumie, jakie ryzyko techniczne się z nim wiąże.
W rezultacie teoretyczna kontrola może być iluzoryczna - niczym przyglądanie się meczowi z pierwszego rzędu przez osobę nieznającą zasad piłki nożnej. Kluczowe mechanizmy wewnętrznej autoryzacji zmian w kodzie i dostęp do zasobów klienta zostały oddane w ręce osób, które może i znają się na SharePoincie, ale podlegają jurysdykcji prawa chińskiego.
Chińskie prawo i wirtualne kajdany
W Chinach każdy obywatel i firma mają ustawowy obowiązek wsparcia służb bezpieczeństwa. W praktyce brak realnej możliwości odmowy przekazania danych na żądanie władz oznacza, że inżynier pracujący na żywo w Pekinie może być zmuszony do ujawnienia lub wprowadzenia backdoora do amerykańskiego systemu.
Tymczasem Amerykański Dyrektor Wywiadu uznaje Chiny za najaktywniejsze i najbardziej wytrwałe źródło cyberzagrożeń dla rządu Stanów Zjednoczonych i kluczowej infrastruktury. W tym świetle model wsparcia przez chińskie zespoły jawi się jako zapraszanie wilka do kurnika - dopóki kura nie zniknie.
Co na to Microsoft i administracja Stanów Zjednoczonych?
Po fali krytyki Microsoft zapowiedział przeniesienie prac nad SharePoint OnPrem poza Chiny oraz zaprzestanie korzystania z chińskich inżynierów przy obsłudze chmury DoD – i rozważa podobne kroki w stosunku do pozostałych agencji rządowych.
Sekretarz Obrony Pete Hegseth uruchomił przegląd praktyk korzystania przez firmy technologiczne z zagranicznych specjalistów. Listy od senatorów Toma Cottona i Jeanne Shaheen domagają się transparentności w tej sprawie. Działania te przypominają chwilowe poprawki, gdy most zaczyna trzeszczeć. Pytanie tylko, czy zastąpienie jedenastu chińskich inżynierów jedną ekipą w Redmond będzie równie sprawne i taniutkie?
