⭐ נקודות עיקריות
- מיקרוסופט אישרה כי העבירה ל-FBI מפתחות שחזור של BitLocker, לאחר קבלת צו בית משפט תקף.
- ברירת המחדל ב-Windows מגבה את מפתח ההצפנה לענן של מיקרוסופט, מה שמאפשר לחברה גישה טכנית למידע.
- החברה חושפת כי היא מקבלת כ-20 בקשות מסוג זה בשנה, בניגוד לחברות כמו אפל שבנו מערכות המונעות גישה למפתחות גם מעצמן.
- מומחי אבטחה מזהירים כי ריכוז המפתחות בענן מהווה סיכון אבטחה ופרטיות חמור.
חברת מיקרוסופט (Microsoft) סיפקה לרשויות החוק מפתחות הצפנה של שירות ההצפנה BitLocker, המאפשרים גישה למידע השמור על מחשבים אישיים, וזאת בתגובה לצו חיפוש פדרלי בארה”ב, כך לפי דיווח של פורבס.
האישור הרשמי של החברה הגיע בעקבות חשיפת פרטי חקירה שהתנהלה בגואם (Guam), שם ביקש ה-FBI לפתוח שלושה מחשבים ניידים של חשודים בהונאת כספי סיוע מתקופת הקורונה.
צ’ארלס צ’מברליין, דובר מטעם מיקרוסופט, אישר כי החברה אכן מספקת מפתחות שחזור (Recovery Keys) כאשר יש בידה גישה אליהם וכאשר היא מקבלת צו משפטי תקף. לדבריו, החברה מקבלת כ-20 בקשות מסוג זה מידי שנה.
המקרה הנוכחי עורר לא מעט סערה בתחום הפרטיות מאחר שצורת הגיבוי של החברה הופכת אותה הלכה למעשה לשוער המידע של המשתמשים.
נוחות מול פרטיות
BitLocker היא תוכנת ההצפנה המובנית של מיקרוסופט, המיועדת להגן על הכונן הקשיח כך שהמידע שבו יהיה בלתי קריא ללא סיסמה או מפתח מתאים. במחשבי Windows מודרניים רבים, ההצפנה מופעלת באופן אוטומטי.
נקודת התורפה מבחינת הפרטיות, שהיא גם יתרון מבחינת הנוחות, טמונה בשיטת הגיבוי. כברירת מחדל, בעת הגדרת המחשב עם חשבון מיקרוסופט (אותו החברה מחייבת כיום לשימוש ב-Windows), מפתח השחזור של ה-BitLocker מגובה אוטומטית לשרתי החברה בענן.
מטרת הגיבוי היא לאפשר למשתמש לשחזר את הגישה למחשב אם שכח את הסיסמה. עם זאת, עצם הימצאות המפתח בשרתי מיקרוסופט מאפשרת לחברה גישה טכנית אליו, ולפיכך חושפת אותה לצווים משפטיים המחייבים את מסירתו, זאת על אף שבאופן רשמי החברה מציינת כי היא לא מוסרת מפתחות כאלו לממשלות.
מיקרוסופט היא “חריגה” בתעשייה
החשיפה מדגישה את הפער בגישות הפרטיות בין ענקיות הטכנולוגיה. מומחי אבטחה, ובראשם פרופסור מתיו גרין מאוניברסיטת ג’ונס הופקינס, מציינים כי מיקרוסופט הפכה ל”חריגה” בתעשייה.
“אם אפל יכולה לעשות את זה, ואם גוגל יכולה לעשות את זה, אז גם מיקרוסופט יכולה“, טוען גרין, כאשר הוא מתייחס לאחסון מפתחות ההצפנה של המשתמשים.
לשם השוואה, אפל משתמשת במנגנוני הצפנה (כמו FileVault ב-Mac) ומציעה למשתמשים הגנה מתקדמת ב-iCloud, במסגרתה המפתחות נשמרים רק אצל המשתמש (End-to-End Encryption).
במצב כזה, גם אם אפל מקבלת צו בית משפט, אין לה את היכולת הטכנית לספק את המפתחות משום שהם אינם ברשותה.
הסיכונים ומה ניתן לעשות
ג’ניפר גרניק מהאיגוד האמריקאי לחירויות אזרחיות (ACLU) מזהירה כי הסכנה אינה מסתכמת רק בצווי בית משפט, אלא גם בדרישות מצד משטרים עם רקורד בעייתי של זכויות אדם.
בנוסף, ריכוז מפתחות השחזור בענן אחד הופך את שרתי מיקרוסופט ליעד אטרקטיבי במיוחד עבור האקרים.
באופן רשמי, מיקרוסופט מציינת כי המשתמשים “נמצאים בעמדה הטובה ביותר להחליט כיצד לנהל את המפתחות שלהם”.
החברה אכן מאפשרת לשמור את מפתח השחזור באופן מקומי (למשל על כונן USB) או להדפיס אותו, במקום לגבות אותו לענן. עם זאת, זוהי אינה ברירת המחדל.
עבור משתמשים המעוניינים להבטיח כי רק להם תהיה גישה למידע, ההמלצה היא להיכנס להגדרות ה-BitLocker, למחוק את מפתח השחזור השמור בחשבון המיקרוסופט המקוון, ולשמור עותק שלו במקום בטוח שאינו מחובר לרשת.
