El presidente de Microsoft, Brad Smith, adoptó un tono conciliador con respecto a las repetidas fallas de seguridad informática de su gigante de TI durante una audiencia en el Congreso el jueves, al tiempo que afirmó que el fabricante de Windows está por encima del estado de derecho, al menos en China. Respondió casi tres horas de preguntas de representantes de la Cámara de Representantes de Estados Unidos sobre las deficiencias en seguridad de la información de Microsoft. Ahora es el momento de que la Casa Blanca y el Congreso hagan su trabajo y se aseguren de que no nos enteremos de otro error garrafal de Redmond explotado por un gobierno extranjero dentro de seis meses. Y el gobierno estadounidense tiene varias herramientas a su disposición, desde órdenes ejecutivas hasta gasto federal, para evitar otra brecha de seguridad relacionada con Microsoft. Smith inició su testimonio ante el Congreso esta semana aceptando «la responsabilidad de todos y cada uno de los temas» citados en un informe reciente de Seguridad Nacional que criticó a Microsoft por una serie de «errores evitables». La investigación encontró que estos errores permitieron a los ciberespías respaldados por Beijing robar decenas de miles de correos electrónicos confidenciales de las bandejas de entrada de Exchange Online alojadas en Microsoft de funcionarios de alto rango del gobierno estadounidense. Ese robo fue posible porque China robó una clave criptográfica de un archivo de volcado de memoria que se había dejado en la red corporativa interna de Microsoft conectada a Internet; la clave no debería haber salido del entorno de producción aislado de la megacorporación. A pesar de esta importante intrusión de seguridad por parte de China, Smith defendió el negocio de Microsoft en el Reino Medio. Las leyes de inteligencia nacional en China pueden usarse para obligar a las empresas que operan allí a proporcionar servicios de espionaje para el gobierno, o entregar códigos propietarios si se les presiona para que lo hagan. Pero Microsoft no tiene que cumplir con eso, afirmó Smith, ante algunos miembros incrédulos del Congreso. Mea culpa, luego desvía. Obtiene una A por presentación, pero una D por contenido. Smith emitió un mea culpa, pero también desvió algunas de las preguntas difíciles de los legisladores sobre China y por qué Microsoft no está haciendo un trabajo muy importante (asegurar su código, que en este caso también es una cuestión de seguridad nacional) que el gobierno está haciendo. pagándole millones de dólares para hacerlo. Smith también dijo que no había leído un informe de ProPublica que salió antes de la audiencia del subcomité de Seguridad Nacional y que fue objeto de varias preguntas al ejecutivo. Ese informe de investigación citó a un ahora ex ingeniero denunciante de Microsoft que afirmó haber advertido repetidamente a los jefes desde 2017 sobre una falla de autenticación que dejaba a los usuarios de Microsoft y sus cuentas de trabajo vulnerables a verse comprometidas. Si algo como esto sucediera con nosotros… no sólo destruiría nuestro producto en el mercado sino que el gobierno simplemente nos echaría. Esa falla, que nos dicen implica explotar las debilidades del Servicio de Federación Active Directory de Microsoft y SAML, supuestamente fue utilizado por el gobierno ruso fisgones detrás de la puerta trasera de SolarWinds. Según el denunciante, los espías del Kremlin utilizaron la falla de autenticación basada en SAML para obtener acceso completo a los archivos y mensajes de las organizaciones después de infiltrarse en las redes de TI de esas víctimas a través del software SolarWinds con puerta trasera. En otras palabras, se trataba de una vulnerabilidad posterior a la explotación. Se alegó además que Microsoft se negó a solucionar este problema de años porque, al hacerlo, la corporación tendría que admitir que su software Active Directory era defectuoso, lo que podría haberle costado miles de millones de dólares mientras el negocio competía por un contrato masivo de TI. con el gobierno federal de Estados Unidos en ese momento. A raíz de la intrusión en Exchange Online, todas las promesas de Microsoft de mejorar la seguridad y revisar toda su cultura de seguridad son voluntarias o, con ideas como vincular el salario de los altos ejecutivos al desempeño de la seguridad, serán realmente difíciles de medir. . «Si se tratara de cualquier otro proveedor, si algo así sucediera con nosotros, donde tuviéramos un agujero de seguridad tan grande que los gobiernos extranjeros pudieran entrar en nuestro entorno de nube, no sólo destruiría nuestro producto en el mercado porque no tenemos credibilidad, sino que el gobierno simplemente nos echaría», dijo a The Register el director tecnológico de Trellix, Karan Sondhi. Las repetidas intrusiones de ciberespías rusos y chinos resaltan los riesgos para la seguridad nacional de la creciente dependencia del Tío Sam de un único proveedor de tecnología, nos dijo Sondhi. Específico para Microsoft y Estados Unidos: el gobierno de EE. UU. utiliza de todo, desde la infraestructura de nube de la supercorporación hasta su sistema operativo y herramientas de productividad, y luego también agrega los productos de seguridad de Redmond, que según Trellix y otros proveedores de seguridad de la información desalientan la competencia en el mercado. «Sólo le estamos diciendo al gobierno: realice una evaluación independiente de las herramientas de seguridad», dijo Sondhi. «Mida la efectividad de las herramientas de seguridad, independientemente del paquete que ofrezca Microsoft, y elija su favorita. Si somos nosotros, genial. Si es CrowdStrike, más poder para usted. Si es Sentinel One, genial». Microsoft, añadió, «debería corregir las vulnerabilidades de sus productos. Deberían centrarse directamente en eso en lugar de intentar venderle herramientas de seguridad». Microsoft… debería corregir las vulnerabilidades de sus productos. Deberían centrarse directamente en eso. Cuando se le preguntó durante la audiencia en el Congreso sobre las prácticas de paquetes de Microsoft, que pueden disuadir al gobierno y a otros clientes de seleccionar un proveedor externo para su seguridad, Smith respondió: «No tengo conocimiento de ningún supuesto prácticas que limitan lo que nuestros clientes pueden hacer en términos de protección de ciberseguridad». No hay incentivo real para cambiar Mientras los dólares federales sigan fluyendo hacia las arcas de Microsoft, no habrá ningún incentivo real para cambiar. Los datos del gobierno de EE. UU. mostraron al menos 498 millones de dólares en pagos a Microsoft solo en 2023. En una carta del 29 de mayo al CIO del Departamento de Defensa de EE.UU., John Sherman, los senadores Ron Wyden (D-OR) y Eric Schmitt (R-MO) cuestionaron por qué el Pentágono está «duplicando» su inversión en productos Microsoft a pesar de los serios avances del gigante de TI. fallas. Esto, después de que la Junta de Revisión de Seguridad Cibernética del Departamento de Seguridad Nacional criticara la «cascada» de problemas de seguridad de Microsoft que hicieron posible la intrusión digital de China en las bandejas de entrada del gobierno. Microsoft abre un nuevo centro de auditoría de código fuente en China para tranquilizar a Beijing A PARTIR DE 2016 «¿Qué debería hacer el gobierno? Probablemente no otorgar un contrato del Departamento de Defensa de 10 mil millones de dólares a Microsoft para un producto comercial listo para usar», dijo Cory Simpson, director ejecutivo de la Instituto de Tecnología de Infraestructura Crítica y asesor principal de la Comisión Solarium del Ciberespacio. «Hay una entidad responsable de la seguridad nacional que dice que hay una entidad que representa un riesgo, y luego está el Departamento de Defensa, otra entidad responsable de la seguridad nacional, que duplica su apuesta por Microsoft», dijo Simpson a The Register. «Tenemos que tener esa conversación y debe ser con la Casa Blanca». Lo primero que debe suceder, según Simpson, es la clasificación, que debe surgir de una Orden Ejecutiva de la Casa Blanca. Luego está la atención a largo plazo, que proviene del Congreso. Si bien la administración no controla los fondos del gobierno, podría poner una pausa en futuras integraciones de Microsoft mientras el gobierno explora los productos de seguridad de otros proveedores, explicó. «Eso podría hacerse con una orden ejecutiva», señaló Simpson. La Oficina del Director Nacional Cibernético de la Casa Blanca declinó hacer comentarios para esta historia. La atención a largo plazo, por otro lado, implica la acción del Congreso para codificar las mejores prácticas de seguridad e incluso otras más simples, como exigir que los productos de Microsoft sean interoperables con los de sus pares. «Los dos extremos del continuo son un desacoplamiento de Microsoft y, en el otro extremo, no hacer nada», dijo Simpson. «Y hay una variedad de opciones intermedias». Es hora de que la administración Biden «predica con el ejemplo» Bajo el liderazgo del presidente Joe Biden, la administración ha promocionado su compromiso de apuntalar las redes de la nación. Esto incluyó la publicación de la Estrategia Nacional de Ciberseguridad en marzo de 2023. Parte de la estrategia se centra en responsabilizar a los fabricantes de software por las fallas de seguridad en sus productos, trasladando así la defensa de TI de los usuarios finales de la tecnología a los proveedores. También dice que la administración trabajará con el Congreso y el sector privado para desarrollar legislación sobre software y servicios seguros. Microsoft parchea el error pwn-me-by-Wi-Fi en Windows ESTA SEMANA Además, este es el enfoque del compromiso de seguridad por diseño de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., firmado por casi 70 compañías de software, incluida Microsoft, en la Conferencia RSA del mes pasado. . Otra parte de la estrategia implica invertir en prácticas de seguridad a largo plazo a nivel gubernamental y empresarial, en lugar de depender de soluciones a corto plazo, como parches y soluciones más temporales a los problemas. «No se pueden lograr ambas cosas con una regulación mínima», dijo Simpson. «La mejor manera de hacerlo es aprovechar plenamente al gobierno como el mayor consumidor del mundo. Se trata de poder adquisitivo. Si no cambian las prácticas de adquisiciones, la vergüenza es para ellos. Tienen que predicar con el ejemplo de su estrategia». ®