דרמה בעולם הדיגיטלי, ענקית הטכנולוגיה מיקרוסופט (Microsoft) אישרה רשמית כי היא מסרה לידי ה-FBI את מפתחות השחזור של מערכת ההצפנה BitLocker.
המהלך, שנחשף בעקבות חקירה פדרלית מורכבת, מטיל צל כבד על הבטחות הפרטיות של Windows ומעלה שאלות נוקבות, האם המידע המוצפן שלנו באמת מוגן מפני עיניים זרות, או שמא לענן של מיקרוסופט יש "דלת אחורית" חוקית שפתוחה לכל דורש עם צו משפטי?
כך ה-FBI הצליח לפרוץ למחשבים מוצפנים
הפרשה החלה בחקירת הונאת ענק בגואם, שבה נגנבו מיליוני דולרים מכספי סיוע לקורונה. סוכני ה-FBI שמו את ידם על שלושה מחשבים ניידים של החשודים, אך נתקלו בחומה בצורה, BitLocker. זוהי מערכת הצפנת הדיסק המובנית של מיקרוסופט, שנחשבת לאחת החזקות בעולם.
במקום לנסות לפרוץ את ההצפנה באמצעים טכנולוגיים יקרים, הבולשת פשוט הגישה צו חיפוש למיקרוסופט. מכיוון שהחשודים שמרו את מפתחות השחזור שלהם בענן של מיקרוסופט (כהגדרת ברירת מחדל), החברה הצליחה לשלוף את המפתחות הדיגיטליים ולמסור אותם לחוקרים, שאפשרו גישה מלאה לכל המידע המפליל.
למה מפתחות ה-BitLocker שלכם לא באמת שלכם?
שורש הבעיה טמון ב"נוחות" שמיקרוסופט מציעה למשתמשיה. כאשר מפעילים את BitLocker, המערכת ממליצה בחום לגבות את מפתח השחזור בן 48 הספרות בחשבון ה-Microsoft שלכם בענן. זהו פתרון מצוין למקרה שבו המשתמש שוכח סיסמה, אך כפי שהוכח כעת, זהו גם חור אבטחה משמעותי.
ברגע שהמפתח נמצא על שרתי החברה, הוא כפוף לחוקי המדינה. מיקרוסופט אישרה כי היא מקבלת כ-20 בקשות דומות בשנה מרשויות החוק, ובמקרים שבהם המפתח אכן מאוחסן אצלה, היא מחויבת על פי חוק למסור אותו. המקרה הנוכחי הוא הפעם הראשונה שבה מתועד שיתוף פעולה כזה שהוביל לפתיחה מוצלחת של מחשבים מוצפנים בחקירה פדרלית.
תגובת מיקרוסופט: "הלקוחות צריכים להחליט"
דובר מיקרוסופט, צ'ארלס צ'מברליין, מסר בתגובה כי החברה פועלת על פי חוק אך מדגישה שהאחריות היא על המשתמש: "בעוד ששחזור מפתחות מציע נוחות, הוא טומן בחובו סיכון של גישה לא רצויה. מיקרוסופט מאמינה שהלקוחות נמצאים בעמדה הטובה ביותר להחליט כיצד לנהל את המפתחות שלהם".
המשמעות ברורה, מיקרוסופט מודה בפה מלא שהצפנה המגובה בענן היא למעשה "הצפנה עם כוכבית". מבקרי הפרטיות, וביניהם הסנאטור רון ויידן, טוענים כי מדובר בהתנהלות חסרת אחריות המאפשרת לממשלות לעקוף את ההגנות הדיגיטליות של אזרחים ללא מאמץ.
איך תגנו על עצמכם? הצעדים שחייבים לנקוט עכשיו
אם אתם משתמשים ב-BitLocker ומעוניינים בפרטיות אמיתית, חוקרי אבטחה ממליצים על הצעדים הבאים:
- מחיקת המפתח מהענן: היכנסו לחשבון המיקרוסופט שלכם ובדקו אם המפתח שמור שם. אם כן, מחקו אותו לאחר שווידאתם שיש לכם עותק אחר.
- גיבוי אופליין: שמרו את מפתח השחזור על החסן נייד (USB) פיזי או הדפיסו אותו ושמרו אותו בכספת.
- שימוש בחומרה חיצונית: שימוש במפתחות אבטחה פיזיים (כמו YubiKey) יכול להוסיף שכבת הגנה שאינה תלויה בשרתים של ענקיות הטכנולוגיה.
בעולם שבו המידע שלכם הוא הנכס היקר ביותר, המקרה של גואם מזכיר לנו שוב: נוחות היא לעיתים קרובות האויב הגדול ביותר של האבטחה.
