Il senatore Wyden accusa Microsoft di fallimenti nella sicurezza informatica
Negli ultimi sviluppi, Microsoft è stata duramente criticata per il suo approccio lassista alle pratiche di sicurezza informatica. Ciò è avvenuto a seguito di un incidente in cui l’azienda ha scelto di non implementare una specifica funzionalità di Windows a causa di problemi di compatibilità, una decisione che ha scatenato le critiche dei critici, che l’hanno etichettata come una mancanza di diligenza. La situazione si è aggravata quando il senatore statunitense Ron Wyden è intervenuto, inviando una lettera dura alla Federal Trade Commission (FTC) che sottolinea le scarse misure di sicurezza informatica di Microsoft e la sua posizione dominante nel settore IT aziendale.
Preoccupazioni sollevate sulle pratiche di sicurezza informatica
Il senatore Wyden, membro del Partito Democratico, ha definito “grave” la negligenza di Microsoft in materia di sicurezza informatica e sostiene che abbia contribuito direttamente all’aumento degli episodi di ransomware. Ciò è particolarmente allarmante nel settore sanitario, dove la sicurezza compromessa può avere ripercussioni potenzialmente letali per i pazienti. Dato il sostanziale controllo di Microsoft sul mercato IT aziendale, sostiene che ciò rappresenti una grave minaccia per la sicurezza nazionale. Invece di dare priorità a una sicurezza solida, accusa Microsoft di trarre profitto da un modello di business multimiliardario incentrato sulla vendita di componenti aggiuntivi e servizi di sicurezza informatica alle vittime di attacchi informatici. Paragona senza mezzi termini questo comportamento a quello di un “piromane che vende servizi antincendio alle proprie vittime”.
Impostazioni predefinite nelle configurazioni di sicurezza
Secondo Wyden, sebbene Windows sia dotato di configurazioni di sicurezza integrate, queste sono fondamentalmente insicure. Sebbene gli utenti possano personalizzare queste impostazioni, molti non apportano le modifiche necessarie, lasciandole vulnerabili. Il senatore sostiene che queste “decisioni pericolose di ingegneria del software” siano nascoste sia agli utenti aziendali che a quelli governativi, esponendoli in ultima analisi al rischio di minacce informatiche.
Caso di studio: l’attacco ransomware Ascension
Il senatore ha citato l’attacco ransomware ad Ascension, un’organizzazione sanitaria no-profit, come un chiaro esempio di queste vulnerabilità. La violazione ha sfruttato la tecnica del “Kerberoasting”, che ha permesso agli hacker di infiltrarsi nel computer portatile di un appaltatore tramite un link dannoso trovato su Bing. Attraverso questo punto di ingresso, gli aggressori hanno potuto navigare nella rete, ottenere l’accesso amministrativo, distribuire ransomware e compromettere i dati di milioni di pazienti.
Tecnologie di sicurezza obsolete e responsabilità
Il senatore Wyden attribuisce la maggior parte della colpa di questa violazione della sicurezza a Microsoft. Sottolinea che l’azienda continua a utilizzare l’obsoleta tecnologia di crittografia RC4 e non impone la crittografia AES, più sicura, come impostazione predefinita in Windows. Sebbene Microsoft sostenga che gli utenti possano ridurre la superficie di attacco creando password di almeno 14 caratteri, il software non impone questo requisito cruciale per gli account amministrativi. Sebbene Microsoft abbia precedentemente assicurato a Wyden che avrebbe eliminato gradualmente RC4, non ha ancora rispettato tale impegno.
Richiesta di indagine della FTC
La lettera di Wyden alla FTC, lunga quattro pagine, esorta la commissione a intervenire contro Microsoft per gli impatti dannosi che il suo software infligge alle infrastrutture critiche governative e pubbliche. Sottolinea che, senza ritenere Microsoft responsabile del suo monopolio di fatto e della mancanza di pratiche di sviluppo software sicure, è probabile che incidenti simili si verifichino in futuro.È possibile accedere alla lettera completa qui, mentre ulteriori approfondimenti sono disponibili in questo articolo grazie a The Register.
Conclusione
Con la continua evoluzione del panorama della sicurezza informatica, la necessità di pratiche di sicurezza solide e affidabili diventa sempre più critica. Le conseguenze derivanti dal trascurare queste responsabilità possono comportare non solo oneri finanziari per le aziende, ma anche mettere a repentaglio la sicurezza pubblica. La ferma posizione del senatore Wyden evidenzia il ruolo significativo che gli enti regolatori devono svolgere nel garantire la responsabilità delle principali aziende tecnologiche come Microsoft.
Articoli correlati:
Windows 10 riceve un nuovo aggiornamento di anteprima prima della fine del supporto il mese prossimo
17:42
KB5065790: Microsoft risolve i problemi di accesso a Windows 11 e fornisce aggiornamenti aggiuntivi nella build 22631.5982
17:36
Microsoft risolve i problemi e i bug di pulizia dei file temporanei in Windows 11 Build 27943
17:32
Lascia un commento