Alla fine del 2024, i valutatori federali della sicurezza informatica hanno fornito una valutazione preoccupante di uno dei principali prodotti di cloud computing di Microsoft, concedendogli tuttavia l’autorizzazione nonostante gravi preoccupazioni per la sicurezza.
ProPublica rapporti che i revisori del Federal Risk and Authorization Management Program (FedRAMP) si sono trovati incapaci di verificare la sicurezza del Government Community Cloud High (GCC High) di Microsoft dopo anni di documentazione incompleta da parte del colosso tecnologico. Secondo un rapporto interno del governo, la “mancanza di un’adeguata documentazione dettagliata sulla sicurezza” da parte di Microsoft ha lasciato ai revisori “una mancanza di fiducia nella valutazione della situazione di sicurezza complessiva del sistema”. Un membro del team ha descritto il pacchetto di autorizzazione come “un mucchio di merda”.
Nonostante queste valutazioni, FedRAMP ha comunque autorizzato GCC High nel dicembre 2024, garantendo ciò che equivale al sigillo di approvazione della sicurezza informatica del governo federale. La decisione è arrivata dopo un controverso processo di revisione durato cinque anni, caratterizzato dalla ripetuta incapacità di Microsoft di fornire la documentazione di sicurezza richiesta e i diagrammi che spiegano come il sistema protegge i dati sensibili del governo.
L’autorizzazione è particolarmente significativa dato il ruolo di Microsoft in due importanti attacchi informatici contro il governo degli Stati Uniti. Hacker russi sfruttato una debolezza di Microsoft nel rubare dati sensibili dalle agenzie federali, inclusa la National Nuclear Security Administration. Successivamente, gli hacker cinesi si sono infiltrati negli account di posta elettronica di un membro del gabinetto e di altri alti funzionari attraverso i sistemi Microsoft.
GCC High è entrata nel percorso di autorizzazione federale attraverso il Dipartimento di Giustizia all’inizio del 2020. Quando i revisori di FedRAMP hanno iniziato la loro valutazione, hanno immediatamente identificato la documentazione mancante, concentrandosi sui diagrammi del flusso di dati che dovrebbero illustrare come le informazioni viaggiano attraverso il sistema e come la crittografia le protegge durante il transito.
Microsoft ha lottato per anni per fornire i diagrammi richiesti. Quando Microsoft ha finalmente risposto, dopo mesi di ritardo, ha presentato un white paper in cui discuteva della strategia di crittografia senza i dettagli specifici necessari a FedRAMP. La richiesta era di routine, secondo gli ex membri del team FedRAMP, che hanno affermato che altri importanti fornitori di servizi cloud come Amazon e Google fornivano regolarmente tale documentazione.
Le lunghe trattative hanno rivelato problemi più profondi con l’architettura cloud di Microsoft. Le persone coinvolte nella creazione dei servizi cloud federali di Microsoft hanno affermato che l’azienda deve affrontare sfide uniche perché ha costruito i suoi prodotti cloud su codici software legacy vecchi di decenni. Un revisore ha paragonato il sistema a una “pila di spaghetti”, con i dati che seguono percorsi tortuosi anziché diretti.
Le società di valutazione di terze parti ingaggiate da Microsoft per valutare GCC High hanno fatto eco a queste preoccupazioni. Nel 2020, due aziende, Coalfire e Kratos, hanno dichiarato in via confidenziale a FedRAMP di non essere in grado di ottenere un quadro completo della sicurezza della GCC High. “Coalfire e Kratos hanno entrambi ammesso prontamente che era difficile se non impossibile ottenere da Microsoft le informazioni richieste per effettuare correttamente una valutazione sufficiente”, ha affermato un ex revisore di FedRAMP.
Nonostante la valutazione negativa, FedRAMP ha stabilito che il rifiuto dell’autorizzazione non era fattibile perché più agenzie stavano già utilizzando GCC High. Il programma ha concluso che era un “valore migliore” rilasciare un’autorizzazione con condizioni. GCC High ha ricevuto l’autorizzazione FedRAMP il giorno dopo Natale 2024.
L’anno scorso, Breitbart Notizie segnalato sull’allarmante rivelazione che Microsoft stava utilizzando ingegneri cinesi per aggiornare il codice per gli angoli più sensibili del governo degli Stati Uniti, incluso il Pentagono:
Il sistema si basa su lavoratori statunitensi con autorizzazioni di sicurezza, noti come “scorte digitali”, per supervisionare gli ingegneri cinesi e fungere da firewall contro attività dannose. Tuttavia, ProPublica ha scoperto che a questi accompagnatori spesso mancano le competenze tecniche avanzate necessarie per monitorare efficacemente i lavoratori stranieri, che possiedono competenze di codifica molto maggiori. Alcuni accompagnatori sono ex militari con poca esperienza nell’ingegneria del software e guadagnano poco più del salario minimo.
Mentre Microsoft afferma di aver rivelato i dettagli di questo modello di scorta al governo, gli ex funzionari statunitensi intervistati hanno affermato di non essere a conoscenza dell’accordo. Anche gli esperti di sicurezza informatica sono rimasti sorpresi, sottolineando che questa configurazione rappresenta un’ottima opportunità per gli agenti cinesi di infiltrarsi nelle reti statunitensi.
Leggi di più su ProPublica qui.
Lucas Nolan è un reporter di Breitbart News che si occupa di questioni di libertà di parola e censura online.
