I början av april publicerade USA:s Department of Homeland Security (DHS) en skarp rapport som kritiserade Microsofts slappa säkerhetsrutiner, som gjorde det möjligt för kinesiska spioner att hacka sig in i konton tillhörande högt uppsatta tjänstemän, däribland handelsminister Gina Raimondo, ambassadören i Kina Nicholas Burns och republikanske kongressledamoten Don Bacon. (Alla är ansvariga för landets förhållande till Kina).
Vanligtvis är statliga utredningar som denna stillsamma affärer, som slutar i bleka rapporter som erbjuder vag kritik och ännu svagare rekommendationer. Men denna 29-sidiga DHS-rapport tog i med hårdhandskarna. Den gav sig på Microsoft, pekade ut dess säkerhetsbrister och pekade på ”den kaskad av Microsofts undvikbara fel som gjorde att detta intrång kunde lyckas”. Microsofts säkerhetsinfrastruktur är så svag, enligt DHS, att företaget misslyckades med att ”upptäcka komprometteringen av sina kryptografiska kronjuveler på egen hand, och förlitade sig istället på att en kund skulle kontakta företaget för att identifiera avvikelser som kunden hade observerat.”
Man tillade att Microsoft avsiktligt hade gjort vilseledande uttalanden om attacken, och att företaget förra hösten hävdade att man hade hittat grundorsaken till intrånget, när man än i dag fortfarande inte vet hur det gick till.
I rapporten dras slutsatsen att företagets säkerhet är ”otillräcklig och kräver en översyn”.
Det finns en lång historia av utländska regeringar som utnyttjar Microsofts säkerhetshål för att hacka högt uppsatta regeringstjänstemän och privata företag. (I januari uppmärksammades till exempel ett intrång där ryssar hackade sig in på företagskonton tillhörande Microsofts högsta ledning och personal och stal e-post och dokument).
Ingenting verkar ha förändrats sedan dess, och det är inte klart om företagets säkerhetspraxis kommer att förändras. För att få en bättre uppfattning om vad företaget kan (eller inte kan) göra, låt oss titta på det kinesiska hacket.
Vad Microsoft gjorde för fel
Rapporten från DHS Cyber Safety Review Board beskriver det kinesiska hacket och Microsofts svar i detalj och avslöjar vad Washington Post kallar Microsofts ”slarviga cybersäkerhetsrutiner, slappa företagskultur och en avsiktlig brist på transparens”.
Attacken iscensattes av hackargruppen Storm-0558 – på uppdrag av Kinas mäktigaste spiontjänst, Ministry of State Security. Storm-0558 har utfört spionrelaterade hackningar av statliga myndigheter och privata företag sedan år 2000. Den hittills mest kända var Operation Aurora, som avslöjades av Google 2010. Council on Foreign Relations kallade den attacken för ”en milstolpe i cyberoperationernas historia eftersom den lyfte fram cyberoperationer som ett verktyg för industrispionage.”
Enligt DHS rapport skedde det senaste hacket efter att Storm-0558 fått tag på en ”Microsoft Services Account (MSA)17 kryptografisk nyckel som Microsoft hade utfärdat 2016.” Med hjälp av nyckeln förfalskade Storm-0558 användaruppgifter och använde dem för att logga in på regeringskonton och stjäla e-postmeddelanden från Raimondo, Burns, Bacon och andra.
Det finns andra olösta mysterier. Nyckeln borde bara ha kunnat användas för att skapa autentiseringsuppgifter för konsumentversionen av Outlook Web Access (OWA), men Storm-0558 använde den för att skapa autentiseringsuppgifter för Enterprise Exchange Online, som regeringen använder. Microsoft kan inte förklara hur det kan gå till.
Det finns värre saker. Nyckeln från 2016 skulle ha pensionerats 2021, men Microsoft gjorde aldrig det eftersom företaget hade problem med att göra sina konsumentnycklar säkrare. Så nyckeln, och förmodligen många andra som den, förblev lika kraftfull som någonsin. Och Storm-0558 gjorde sitt smutsgöra med den.
Denna serie händelser – en nyckel som borde ha pensionerats fick förbli aktiv, Storm-0558 stal nyckeln och Storm-0558 kunde sedan använda den för att förfalska autentiseringsuppgifter för att få tillgång till e-postkonton som används av höga tjänstemän, även om nyckeln inte borde ha tillåtit dem att göra det – utgör den ”kaskad av fel” som DHS sa att Microsoft begick.
Det hela förvärrades av att Microsoft hävdade att man visste hur hackningen hade gått till, vilket inte var sant.
Kommer Microsoft verkligen att ändra sin säkerhetskultur?
Microsoft har kritiserats i åratal för den här typen av attacker, men ändå fortsätter de. Kommer det att bli annorlunda den här gången?
Microsofts offentliga svar låter som om det kommer att bli business as usual. Företaget tog inte ens direkt ansvar för attackerna. Till Washington Post säger man att ”de senaste händelserna har visat att vi måste införa en ny kultur för teknisk säkerhet i våra egna nätverk. Även om ingen organisation är immun mot cyberattacker från motståndare med stora resurser, har vi mobiliserat våra ingenjörsteam för att identifiera och mildra äldre infrastruktur, förbättra processer och genomdriva säkerhetsriktmärken.”
Det är ungefär så mjäkigt uttalande som du kan göra. Och det är särskilt mjäkigt eftersom det här hacket inte krävde någon avancerad hacking – bara användningen av en gammal krypteringsnyckel som borde ha raderats för flera år sedan. Om Microsoft hade följt grundläggande säkerhetspraxis och tagit det där enkla steget hade inget av det här hänt.
Än mer oroande är att det ryska hacket av Microsoft-tjänstemän i januari orsakades av en liknande försummelse: Microsoft glömde att ta bort ett gammalt testkonto, och hackare använde grundläggande tekniker för att ta sig in i det. När de väl hade gjort det använde de kontots behörigheter för att stjäla e-post och dokument från Microsofts högsta ledning och personer som bland annat arbetade på dess cybersäkerhets- och juridiska team.
Biden-administrationen släppte en ny nationell cybersäkerhetsstrategi för mer än ett år sedan. Ett faktablad som följde med det varnar: ”Dålig programvarusäkerhet ökar kraftigt systemrisken i hela det digitala ekosystemet och lämnar amerikanska medborgare med den slutliga kostnaden. Vi måste börja lägga över ansvaret på de aktörer som inte vidtar rimliga försiktighetsåtgärder för att säkra sin programvara.”
När det gäller de ryska och kinesiska hackerattackerna kan man inte på något sätt säga att Microsoft har vidtagit ”rimliga försiktighetsåtgärder” när det gäller cybersäkerhet – snarare tvärtom. Men kongressen har ännu inte vidtagit några åtgärder mot företaget, till exempel genom att ta bort några av de många miljarder dollar per år som regeringen betalar företaget för programvara, molntjänster och andra tjänster.
Det finns inget sätt att veta om Microsoft den här gången kommer att städa upp sin cybersäkerhetsövervakning. Men om så inte sker är det inte bara företaget som bär skulden. Den amerikanska regeringen kommer också att dela skulden, eftersom den hittills inte ens har brytt sig om att slå företaget på fingrarna.