参议员怀登批评微软网络安全失误
近期,微软因其在网络安全实践方面的松懈而受到严厉批评。此前,该公司曾因兼容性问题而选择不实施一项特定的Windows功能,这一决定引发了批评人士的强烈不满,他们认为微软缺乏尽职调查。美国参议员罗恩·怀登介入此事,向联邦贸易委员会(FTC)提交了一封措辞严厉的信函,强调微软糟糕的网络安全措施及其在企业IT领域的主导地位,事态进一步升级。
对网络安全实践的担忧
民主党参议员怀登将微软在网络安全方面的疏忽描述为“严重”,并认为这直接导致了勒索软件事件的激增。这在医疗保健领域尤其令人担忧,因为安全漏洞可能危及患者的生命。鉴于微软在企业IT市场的巨大控制力,他声称这构成了严重的国家安全威胁。他指责微软不重视强大的安全保障,反而通过数十亿美元的商业模式牟利,该模式的核心是向网络攻击受害者出售网络安全插件和服务。他直截了当地将这种行为比作“纵火犯向受害者兜售消防服务”。
安全配置中的默认值
怀登表示,虽然Windows确实自带安全配置,但它们从根本上来说并不安全。尽管用户可以自定义这些设置,但许多用户并没有进行必要的调整,导致系统易受攻击。这位参议员认为,这些“危险的软件工程决策”对企业和政府用户都隐蔽,最终将他们置于网络威胁的风险之中。
案例研究:Ascension 勒索软件攻击
参议员以非营利性医疗保健提供商 Ascension 遭受的勒索软件攻击为例,说明了这些漏洞的存在。此次攻击利用了“Kerberoasting”技术,该技术允许黑客通过 Bing 上的恶意链接入侵承包商的笔记本电脑。攻击者通过该入口点,可以浏览网络,获取管理访问权限,部署勒索软件,并窃取数百万患者的数据。
过时的安全技术和责任
怀登参议员将此次安全漏洞的大部分责任直接归咎于微软。他指出,微软仍在使用过时的 RC4 加密技术,并且没有强制 Windows 系统默认使用更安全的 AES 加密。尽管微软辩称用户可以通过创建至少 14 个字符的密码来减少攻击面,但该软件并未强制要求管理员账户使用这一关键加密技术。尽管微软此前曾向怀登保证将逐步淘汰 RC4 加密技术,但至今仍未兑现这一承诺。
呼吁联邦贸易委员会调查
怀登致联邦贸易委员会的信函长达四页,敦促委员会对微软采取行动,因其软件对关键的政府和公共基础设施造成了有害影响。他强调,如果不追究微软对其有效垄断和缺乏安全软件开发实践的责任,未来很可能还会发生类似的事件。您可以在此处阅读全文,并参阅《The Register》提供的这篇文章,了解更多见解。
结论
随着网络安全格局的不断演变,强大可靠的安全实践变得日益重要。忽视这些责任的后果不仅会给公司带来财务负担,还会危及公共安全。怀登参议员的强硬立场凸显了监管机构在确保微软等大型科技公司问责制方面必须发挥的重要作用。
发表回复