Especialistas federais em cibersegurança aprovaram serviço de nuvem da Microsoft apesar de dúvidas

 (propublica.org)
1 pontos por GN⁺ 2026-03-19 | 1 comentários | Compartilhar no WhatsApp
  • O programa FedRAMP do governo dos EUA aprovou o serviço Government Community Cloud High (GCC High) da Microsoft apesar de preocupações de segurança
  • Um relatório interno de avaliação afirmava explicitamente que “não havia confiança para avaliar a postura geral de segurança”, e alguns revisores descreveram o sistema como uma “bagunça”
  • A Microsoft não conseguiu completar por anos documentos centrais de segurança, como a arquitetura de criptografia e os diagramas de fluxo de dados, mas a decisão de aprovação foi tomada porque órgãos do governo já estavam usando o serviço
  • No processo de aprovação, atuaram de forma combinada conflitos de interesse de avaliadores terceirizados, pressão entre o Department of Justice e a Microsoft e redução de pessoal do FedRAMP
  • O caso revela que o sistema de verificação de segurança em nuvem do governo dos EUA se degradou em um procedimento formalista, levantando riscos sérios para a proteção de segredos nacionais

Aprovação do FedRAMP e controvérsia sobre o Microsoft GCC High

  • O FedRAMP é um programa que verifica a segurança de serviços de nuvem usados por órgãos do governo, e o GCC High da Microsoft é um serviço voltado ao tratamento de dados governamentais sensíveis
    • Segundo relatórios internos, a Microsoft “carecia de documentação de segurança adequada”, e os avaliadores não conseguiam ter confiança no nível de segurança do sistema
    • Ainda assim, no fim de 2024 o FedRAMP aprovou o GCC High na forma de uma “aprovação condicional”
  • A decisão de aprovar ocorreu porque o Department of Justice e a indústria de defesa já usavam o serviço, e uma recusa poderia causar problemas à operação do governo
  • O documento de aprovação incluía um aviso dizendo que “como existem riscos desconhecidos, cada órgão deve usar o serviço com cautela”

Falhas na documentação de segurança da Microsoft e atraso prolongado

  • Desde 2020, o FedRAMP exigia que a Microsoft enviasse um diagrama de fluxo de criptografia de dados, mas a empresa não forneceu material completo, alegando “complexidade”
    • A Microsoft enviou apenas alguns white papers e não conseguiu explicar com clareza quando os dados eram criptografados e descriptografados
  • Outros provedores de nuvem, como Amazon e Google, forneceram materiais semelhantes, mas a Microsoft repetiu respostas incompletas por meses seguidos
  • Um revisor do FedRAMP comparou o sistema da Microsoft a uma estrutura emaranhada como uma “torta de espaguete”, apontando que a falta de transparência no fluxo de dados eleva o risco de segurança

Avaliadores terceirizados e problema de conflito de interesse

  • Coalfire e Kratos, contratadas pela Microsoft, informaram de forma não oficial ao FedRAMP que não haviam recebido informações suficientes da Microsoft
    • Como essas empresas são pagas diretamente pela Microsoft, surgiram preocupações de comprometimento da independência
  • O FedRAMP notificou a Kratos com um “plano de ação corretiva”, mas a empresa defendeu a legitimidade de sua avaliação
  • A Microsoft afirmou que respondeu de boa-fé a todas as solicitações e negou a existência de relatórios informais por canais paralelos (backchannel)

Pressão de órgãos do governo e distorção no processo de aprovação

  • Em 2023, o FedRAMP interrompeu a revisão devido à resposta insuficiente da Microsoft, mas o processo foi retomado após lobby entre o Department of Justice e a Microsoft
    • Um representante da Microsoft pediu ao Department of Justice que pressionasse pela aprovação no FedRAMP, dizendo que a entrada no mercado estava sendo atrasada
    • Em uma reunião, a CIO do Justice, Melinda Rogers, tomou o lado da Microsoft e criticou a forma como o FedRAMP conduzia a revisão
  • Depois disso, a White House publicou diretrizes afirmando que o FedRAMP deveria realizar revisão rigorosa, mas o GCC High já havia se espalhado por diversos órgãos

Redução de pessoal e limites institucionais

  • Com cortes orçamentários, o FedRAMP foi reduzido a cerca de 20 funcionários e orçamento anual de US$ 10 milhões, tornando-se na prática um órgão de aprovação formal da indústria
  • A GSA declarou que “o papel do programa não é julgar o nível de segurança, mas fornecer informações”, evitando assim a responsabilidade por uma verificação substancial
  • Especialistas criticaram o FedRAMP por ter perdido o papel de vigilante que deveria proteger os dados da população

Repercussões posteriores e controvérsia ética

  • Após a reportagem da ProPublica, a Microsoft anunciou que interromperia a participação de engenheiros baseados na China em trabalhos ligados à defesa
  • O Department of Justice está reprimindo relatórios falsos sobre segurança em nuvem ao indiciar um ex-funcionário da Accenture por fraude relacionada ao FedRAMP
  • Em 2025, Lisa Monaco, ex-vice-procuradora-geral que havia liderado políticas de cibersegurança ligadas ao FedRAMP, foi contratada como presidente de Global Affairs da Microsoft, alimentando controvérsia ética
  • A Microsoft declarou que todas as contratações cumpriram as leis e os padrões éticos

Conclusão: o risco de uma certificação de segurança transformada em formalidade

  • A ProPublica aponta, por meio deste caso, que a certificação do FedRAMP não equivale a uma garantia real de segurança
  • O Microsoft GCC High ainda carrega “riscos desconhecidos (unknown unknowns)”, e os órgãos públicos precisam assumir esses riscos por conta própria
  • Especialistas avaliam que o sistema de segurança em nuvem do governo dos EUA se degradou em um “show de segurança, não segurança de verdade (Security Theater)”

Leituras relacionadas

1 comentários

 
GN⁺ 2026-03-19
Comentários do Hacker News

  • O GCC High se espalhou por todo o governo e pela indústria de defesa porque as agências federais puderam implantar o produto enquanto ele ainda estava em revisão
    No fim, os revisores do FedRAMP não tiveram escolha a não ser aprová-lo, já que ele já estava em uso por toda Washington mesmo sem a revisão completa ter sido concluída
    Em outras palavras, o critério deixou de ser “essa ferramenta é segura?” e passou a ser “isso é arriscado ou politicamente viável o suficiente para rejeitar?”

    • O FedRAMP merece críticas. É lento demais e ignora o feedback do setor
      Como resultado, quase toda startup que quer vender produtos para o governo acaba tendo de pagar o imposto Palantir. Isso gira em torno de US$ 200 mil a 500 mil por ano, e conseguir a certificação FedRAMP por conta própria leva pelo menos US$ 2 a 3 milhões e de 2 a 3 anos
      No fim, a maioria das empresas não tem alternativa além de depender da Palantir (ou da 2F). Isso é uma estrutura de monopólio imposta pela regulação do governo
    • É por isso que os grandes fornecedores querem colocar o pé na porta primeiro, custe o que custar
      Depois que se estabelecem, sair vira impossível, e isso se torna praticamente uma fonte infinita de receita
    • Para garantir segurança de verdade, simplificar importa mais do que ter uma configuração complexa
      O mais seguro é ter alguns servidores trancados no porão rodando apenas software comprovado

  • Usei o Entra ID recentemente, e só para configurar MFA existem 12 opções, 20 formas de desativar usuário, 4 métodos de autenticação, e as políticas de acesso condicional têm 50 variáveis e templates
    A customização é livre, mas depois de configurar os colegas nem conseguem fazer login. Esse é, de certa forma, o jeito deles de reforçar a segurança

    • O fluxo de login SSO da Microsoft é o mais bugado de todos. Tem redirecionamentos demais e o “remember me” nunca funciona
    • A Microsoft tem muitos recursos, mas quase nada funciona direito
    • Existem formas adicionais de configuração, mas estão escondidas no fundo de uma documentação inacessível do SharePoint
    • Tivemos exatamente a mesma experiência. Além disso, eles forçam o envio semanal de e-mails com estatísticas do Entra ID, e não dá nem para cancelar a inscrição
    • O problema da Microsoft moderna é que ela tenta perseguir três coisas ao mesmo tempo
      • lançamentos rápidos no estilo “Move fast and break things
      • obsessão por compatibilidade retroativa no estilo “We do not break user space
      • nunca descontinuar produtos por décadas
        Graças a essa combinação, os produtos da Microsoft viraram um labirinto de APIs sobrepostas e recursos inacabados

  • A Microsoft sempre foi fraca em segurança, e por isso a centralização na nuvem é ainda mais perigosa
    Por exemplo, no caso Storm-0558, uma única chave de assinatura roubada permitia forjar tokens de autenticação para qualquer conta do Azure AD
    Se um nível de acesso desses for explorado em escala estatal, isso seria um desastre econômico

    • Na verdade, houve até uma vulnerabilidade em que nem era preciso roubar a chave de assinatura. Veja esta matéria
    • Mas incidentes assim podem acontecer em qualquer empresa. No fim, é um problema de erro humano

  • Os especialistas estavam certos. O Azure é a plataforma mais bagunçada que já usei
    Produtos novos são encaixados à força em componentes já existentes do Azure, sem consistência alguma, e como não há comunicação entre equipes, não existe integração de verdade
    Do formato dos logs aos conceitos de segurança, cada parte é diferente, a ponto de eu duvidar que a Microsoft sequer saiba o que é um SIEM

    • Trabalhei na Microsoft por mais de 10 anos e sentia os mesmos problemas por dentro
      Por exemplo, o sistema interno Cosmos é um excelente motor de processamento de dados, mas foi exposto externamente tarde demais e com suporte horrível
      O Synapse fracassou, e o Fabric é a nova versão, mas quase ninguém o usa nem internamente
      O ambiente de contas e segurança é tão complexo que trabalhar em si já é doloroso
      O Azure só ganha dinheiro por causa da escala da Microsoft. Na prática, ele está “crescendo enquanto falha
      Link para o artigo sobre o Cosmos
    • Esse tipo de estrutura evolutiva de produto é o padrão da Microsoft desde 2018
      Por causa dos lançamentos rápidos e da melhoria baseada em feedback de usuários, no começo tudo parece experimental, mas depois de alguns anos acaba ficando usável
    • O descaso com o usuário é evidente demais. Como resultado do período antitruste, hoje eles nem sentem necessidade de competir
    • O Azure é da cor de bater no cliente com a carteira do próprio cliente. Em vez de conceder acesso, ele toma a posse e cobra por isso
    • Esse fenômeno também aparece em empresas de “alcançar o líder de mercado” como a GitLab. O que importa não é a maturidade dos recursos, e sim a quantidade de funções na planilha

  • O CIO do Departamento de Justiça pressionou pela aprovação no FedRAMP e, no ano seguinte, foi trabalhar na Microsoft. Isso parece motivo para invalidar a aprovação inteira

  • Quando o artigo chamou de “pile of shit”, provavelmente não estava falando do serviço em si, mas do pacote de documentação de segurança
    O contexto é que a Microsoft não forneceu informações claras, o que dificultou a própria avaliação

    • Segundo o relatório interno, a documentação de segurança deficiente da Microsoft impediu que os avaliadores confiassem no estado de segurança do sistema
      O fato de a ProPublica ter ampliado isso para um problema de toda a nuvem parece um tanto caça-cliques
    • No fim, sem documentação não dava para avaliar, e ainda assim aprovaram… Foi basicamente um “próximo!” e seguiram em frente
    • A Microsoft praticamente demitiu todo mundo de documentação técnica, então agora só sobraram docs de API gerados automaticamente
      Por exemplo 
      Overrides the authorization for an identity.
AuthorizationOverride(string identity);
      Desse jeito, não dá para saber o significado nem o alcance do impacto de configurações relacionadas à segurança

  • Parece que os requisitos foram desenhados para que apenas a nuvem da Microsoft pudesse atendê-los
    Foi assim que o Pentágono acabou com Windows

  • conflitos de interesse demais envolvendo a Microsoft. Pessoas que participaram do processo de aprovação depois foram trabalhar na empresa

    • Lá pelo fim dos anos 90 a Microsoft aprendeu completamente as regras desse jogo. Isso coincide com o período do caso antitruste
    • Claro, nem sempre há má-fé. Às vezes contratados do governo conhecem tão bem o produto que acabam indo para o fornecedor
      No fim, eles veem isso como cumprir a mesma missão em outro time. Como técnicos, às vezes acreditam que é melhor resolver os problemas na linha de frente

  • O FedRAMP é difícil de seguir e, ao mesmo tempo, não garante um nível real de segurança. É um sistema frustrante em dobro

    • Se você nunca trabalhou em um ambiente de compliance, não faz ideia desse sofrimento

  • Ao ler o trecho “os revisores do GCC High encontraram problemas tanto nas partes que podiam avaliar quanto nas que não podiam, mas no fim o FedRAMP e a Microsoft chegaram a um acordo, e a aprovação saiu no dia seguinte ao Natal de 2024”,
    dá vontade de perguntar de quanto foi a doação que circulou nisso tudo