Conform unor documente sifonate de la Biroul German pentru Securitate în Informatică (BSI) și obținute de Die Zeit, experții IT și-au dat seama că sistemul de operare Windows 8 al Microsoft este periculos pentru securitatea (confidențialitatea) datelor. Acesta îi permite companiei Microsoft să controleze computerul de la distanță printr-un back-door construit direct în sistem. (Și) Este posibil că aceste chei de acces sunt disponibile și către NSA – și, într-o ironie neintenționată – poate chiar și către chinezi.

Back-door-ul se cheamă „Trusted Computing” și este dezvoltat și promovat de către Trusted Computing Group, fondat acum un deceniu de către companiile americane AMD, Cisco, HP, IBM, Intel, Microsoft și Wave Systems.  (Iar) Elementul de bază fiind un cip, Trusted Platform Module (TPM) și un sistem de operare dezvoltat pentru el, ca de exemplu Windows 8.

Testosterone Pit

Vă dați seama, după ce am citit asta mi-au luat foc neuronii și am început să sap, să văd cât de profundă este mizeria, să nu fie doar vreo aberație. Am rămas prost.

Printre altele,  am vrut să văd dacă nu cumva și Nokia a intrat în hora aceasta, înainte de a fi achiziționată de Microsoft, și m-am apucat să sap și să sap și să sap și să întreb, inclusiv pe Twitter, unde cei ce oferă suport pentru Windows au fost suficient de drăguți să-mi răspundă:

1. robintel ‏@robintel17h

   Dear @Microsoft , could you please describe the techincal differences between @Windows 8 and Windows @windowsphone 8? cc @nokia

2. Windows ‏@Windows14h

   @robintel Great question – here a helpful link that compares the two platforms: http://msft.it/6011wQa9 

3. robintel ‏@robintel11h

   @Windows Thank you for the link. However, it does not say anything about Trusted Platform Module. Can you provide me with that?

4. Windows Support ‏@WindowsSupport10h

   @robintel Perhaps we can assist? Does the information at http://spr.ly/6018wvZq  provide any assistance to your question? ^AM

5. robintel ‏@robintel10h

   @WindowsSupport Yes, it does. Thank you!

6. Windows Support ‏@WindowsSupport9h

   @robintel You’re welcome! May we assist with any other questions? Do not hesitate to ask. ^AM

Am aflat, apoi, că și Nokia este contributor către acest grup, alături de Sony, Huawei și Samsung. Dezamăgitor.

Dar. revenind la Microsoft Windows, avem așa:

1. Windows 8 cu TPM, de nefolosit. Nu-mi fac iluzii că se va face un patch care să-l scoată. N-au muncit atâta, ca să-l scoată. Eventual, îl vom ascunde mai bine.
2. Windows Server 2012, care are același codebase cu Windows 8, cu TPM, de nefolosit. La fel, nu-mi fac iluzii că se va scoate cu un patch. S-au chinuit să construiască un sistem de operare în jurul TPM, care să nu fie detectat de niciun antivirus, și acum să-l dezactiveze? Nicio șansă.
3. Windows Phone 5/ 6/ 7/ / 7.5/ 7.8 fără TPM. Nu știu nimic de NSA key.
4. Windows Phone 8 are același kernel ca și Windows XP și este compatibil la nivel de .Net Framewok cu versiunea Windows 8 pentru desktop/ PC. Întrucât cheia NSA este foarte aproape de kernel, nu m-aș mira ca aceasta să fie fost ortată și în Windows Phone 8.
5. Windows 95 SP1/ 98/ 98 SE/ ME/ NT/ 2000/ XP/ 2003/ Vista/ 2008/ 2008 R2/ 7 sunt fără TPM, dar toate au cheie de acces NSA prin ele. Cu ocazia asta am aflat și ce face kernelul de XP (și mai nou) la fiecare 60- 70 de milisecunde, că vedeau și programatorii că face ceva, dar nimeni nu știa exact ce anume.

Dar stați că, din păcate, mai este!

De-a lungul timpului, diverse companii din grupul Trusted Computing au sponsorizat (cu intervenția NSA, desigur) dezvoltarea componentei SELinux a platformelor Linux, FreeBSD și Solaris, după cum însăși NSA declară:

The results of several previous research projects in this area have yielded a strong, flexible mandatory access control architecture called Flask. A reference implementation of this architecture was first integrated into a security-enhanced Linux® prototype system in order to demonstrate the value of flexible mandatory access controls and how such controls could be added to an operating system. The architecture has been subsequently mainstreamed into Linux and ported to several other systems, including the Solaris™ operating system, the FreeBSD® operating system, and the Darwin kernel, spawning a wide range of related work.

NSA

Plus de asta, RedHat Linux este unul dintre contribuitori. Asta înseamnă că platformele bazate pe RedHat Linux sunt susceptibile de a fi compromise: OEL, CentOS etc. Cum ar veni, nicio distribuție de Linux în care s-a introdus SE Linux nu mai este sigură, dacă se activează SELinux. Ceea ce este foarte nașpa, că nu prea mai avem de ales, iar Apple a făcut roll-out la tehnologie NSA începând cu 2009, ceea ce înseamnă că, din păcate, suntem cam legați de mâini.

Și totuși, acest articol nu este despre Linux și Solaris, ci despre Windows 8, o versiune de Windows pe care mi-am dorit-o și eu până zilele trecute, când am început să mă documentez pentru acest material și a cărui redactare a durat mai multe zile, încercând să nu-l încarc prea tare cu informații de tot felul.

Revenind la TPM, acesta nu doar monitorizează, ci permite controlul total de la distanță, la un nivel care utilizatorului de drept îi este interzis și, pur și simplu, mi se pare inacceptabil ca o asemenea tehnologie să fie încorporată în dispozitivele cetățenilor obișnuiți, care n-au nici în clin, nici în mânecă cu terorismul, NSA și alte asemenea chestiuni.

De aceea, am demarat procedura cetățenească de a-i cere Comisiei Europene să ia măsurile necesare pentru a stopa acest abuz nesimțit, inclusiv prin măsura de a interzice vânzarea produselor Windows 8 în Uniunea Europeană.

Evident, este o măsură extremă, cu implicații foarte mari. Nu cred că se va lua, în ciuda faptului că ceva trebuie făcut în legătură cu siguranța electronică a cetățenilor europeni. Până atunci, însă, mă gândesc să trec pe Open SuSE, că este o distribuție gratuită de Linux cvasi-nemțesc. Desigur, o să țin SELinux dezactivat.

Oricum, de cât timp scriu la acest articol și-l tot rafinez, am și acționat, trimițându-le următorul e-mail celor de la Comitetul European pentru Libertăți, Justiție și Afaceri Interne.

September 19, 2013

Cluj-Napoca, România

Dear LIBE Committee,

I’m writing you to request that you take every step necessary in order to ensure my privacy against USA’s NSA mass-surveillance and remote-control program.

You see, it’s not only surveillance that I’m worried about. Rather, I am worried that by means of Trusted Platform Module, NSA could control and plant „evidence” in virtually every European’s Windows computer, condemning innocent people for disgusting things such as pedophilia or planning terrorist acts.

I am blogger. I am an activist and I speak up.

In the light of the recent incidents related to Edward Snowden and Julian Assange, as a free thinker and as a European citizen, I am terrified that, given the NSA key is built-in into every major device or operating system, in spite of my innocence, I may – one day – be silenced with evidence planted on my computer, like I am some terrorist or some other felon.

You see, I am not anti-American. Rather, I am profoundly pro-European. They are our ally, but they are not, and act not, like our partners. They are our ally and sometimes allies do betray or otherwise try to conquer. In Europe, we have a long and bloody history of that. But I digress.

I don’t love America. Not since it started prosecuting free thinkers and war resisters, like the aforementioned two, just a couple of the steadily growing plethora of so-called traitors that dare to tell the truth to the world, like Barret Brown, the unfortunate and abused Texas journalist held in custody and facing over a century of prison time for sharing an internet link to a material he did not produce. I can, no longer, love an America that wrestles freedom of speech.

But I do love the European Union and I respect you, dear representatives, trusting you will do whatever is deemed necessary to protect me, to protect us, to protect the E.U. against all espionage, be American or not.

I am terrified that I can no longer trust I have control of my Windows computers and that I can no longer trust that the Linux servers I own for my blog are under my control. At anytime, with NSA’s SELinux back-door, they could be made to store something incriminating outside of my control.

I am afraid that I could be held liable for something I did not do. Or that someone close to me might get under the silencing scope of NSA or some other malevolent entity and have their computers do something outside of their control, and they will be held legally liable for evidence that was planted there in the first place.

I am terrified that, by planting evidence, the European Justice can be used against innocent European citizens. I feel like the system is crumbling right in front of our eyes.

I am afraid that the risks we are subjected to are too high. Not only NSA records every phone conversation in Europe. Now they can even control European computers to not only plant evidence, but to also act as zombie computers targeting European IT infrastructure.

Can you imagine that we, in Europe, have no European-only data center to resist such attacks as Distributed Denial Of Service (DDoS) from millions of European computers requesting data from the targeted institution, be it bank, the European Parliament or something else? We have a decent IT infrastructure, we need it, and they could use it against us by controlling every piece of the puzzle.

Can you accept that digital evidence of all sorts be not only planted, but also deleted from police computers or from journalists’ ones and that sensitive reports will not reach you, due to your NSA-zombied computer? On mine? Or of some service provider that links us?

Can you imagine the leverage USA could get against us, by reading sensitive national contracts or secret meeting notes and every other secret document in between?

It is terrible, my fellow Europeans, and it is up to you to stop the disaster that may lie ahead of us.

This is why I have been writing you today. Because I don’t want my freedom and my European independence, my innocence, my justice and – basically – all my fundamental rights be taken away from me, turning me into a slave of the American political system that’s outside of my power to elect and correct.

Please, dear Committee, please take strong and decisive action to not only stop this, but prevent such severe citizen’s rights abuses in the future.

Ban Windows 8 usage in the E.U., if needed. Ban Windows 2012, if needed. Ban everything American, if needed, just don’t let European information leak away.

We need to be safe. This abuse has to end. Now.

Respectfully,

Ms. ing. Robin Molnar

_________

Useful links:

1. German Government Warns Key Entities Not To Use Windows 8 – Links The NSA.

2. The Other Reason Why IBM Throws A Billion At Linux (With NSA- Designed Backdoor).

3. SELinux by NSA: Security-Enhanced Linux.

4. Trusted Platform Module Technology

5. How NSA access was built into Windows

Puteți să le scrieți și voi. Ar fi bine să le scrieți și voi.

Ca atare, din motivele enumerate mai sus, în ciuda experienței foarte plăcute pe care Windows 8 o oferă în utilizare, și mie mi-a plăcut foarte mult, și în ciuda noii experiențe pe care acest sistem de operare Windows o aduce în viața utilizatorilor, din motive ce țin strict de respectarea drepturilor fundamentale ale omului, chiar nu pot să recomand acest sistem de operare. Din contră.

Mai mult decât atât, dacă:

1. Protestați activ împotriva gazelor de șist (Chevron și alte companii americane);
2. Aveți cea mai mică legătură cu WikiLeaks;
3. Practicați jurnalismul de investigație în mod independent;
4. Sunteți o persoană publică sau vizibilă, formator de opinie sau gură spartă.

Vă contra-recomand să instalați Windows 8, să nu deveniți ținte ale vreunui program de anulare a vocii opiniei publice, program în urma căruia cine știe ce mizerii vă vor fi puse și apoi descoperite pe computer. Am zis în mail de pedofilie, dar poate fi și altceva. De obicei astea sexuale sunt mai de efect, dar nu vreau să dăm în teorii conspiraționiste, vreau doar să nu fim papagali.

Dacă, în schimb, nu citiți mailul de pe astfel de dispozitive, sau dacă nu accesați rețele de socializare de pe astfel de dispozitive, luați-vă cu duiumul. Presimt că le va scădea prețul.

P.S. Am săpat un pic și am găsit lista membrilor. Dell, al doilea cel mai mare producător de computere și ervere, după HP, e bine-mersi acolo, alături de alții față de care mă simt complet dezamăgit.

Asta este, trecem complet pe Asus, Siemens, Acer, LG, Raspberry PI, HTC, Novell…

P.P.S. Nu știu dacă mașinile virtuale sunt expuse, probabil depinde și de tehnologia de virtualizare. Din punct de vedere tehnic, însă, nu văd de ce n-ar fi, din moment ce American Megratrends este „contributor” la mizeria asta, alături de marii producători de hardware. Până la urmă, mașinile virtuale emulează hardware-ul fizic, iar dacă hardware-ul fizic este compromis, cred că și cel simulat este compromis.

L. E. Am primit două remarci pertinente azi:

1. Windows 8 se poate instala și pe un sistem care nu are cip TPM pe placa de bază, așa că recomandarea s-ar aplica mai degrabă pentru cip-urile TPM și nu pentru sistemele de operare care îl folosesc. (Tudor Damian)
2. TPM-ul e un cip pe placa de baza. Poti sa-l ai sau poti sa nu-l ai. (Auraș Dumanovschi)

Foarte corect. Dar ia să ne mai uităm încă o dată pe lista neagră a TPM: Intel, Via și nVidia, principalii producători de Northbridge-uri și Southbrudge-uri pentru plăci de bază. Credeți că ar avea vreo greață să includă TPM într-un alt cip de pe placa de bază, ca să nu-l dezlipim noi, manual? Vă asumați un asemenea risc?

Ați văzut câți producători de hardware/ circuite integrate sunt în lista aia? Care ar fi șansele să fie parteneri TPM și să nu-l fi inclus în produsele lor? Adică, ai putea să adopți o tehnologie, să-i devii partener, dar să n-o incluzi în produsele tale?

Șansa de a avea hardware compatibil cu Windows 8, fără modulul de TPM, este minusculă. Poate există plăci de bază, la modul teoretic ar putea fi. Dar nu știu sigur.

Și mai este o chestie. Dacă modulul lipsește fizic, putem presupune că, după zece ani de dezvoltare, nu poate fi simulat?