參議員懷登批評微軟網路安全失誤
近期,微軟因其在網路安全實踐方面的鬆懈而受到嚴厲批評。此前,該公司曾因相容性問題而選擇不實施一項特定的Windows功能,這項決定引發了批評人士的強烈不滿,他們認為微軟缺乏盡職調查。美國參議員羅恩·懷登介入此事,向聯邦貿易委員會(FTC)提交了一封措辭嚴厲的信函,強調微軟糟糕的網路安全措施及其在企業IT領域的主導地位,事態進一步升級。
對網路安全實踐的擔憂
民主黨參議員懷登將微軟在網路安全方面的疏忽描述為“嚴重”,並認為這直接導致了勒索軟體事件的激增。這在醫療保健領域尤其令人擔憂,因為安全漏洞可能危及患者的生命。鑑於微軟在企業IT市場的巨大控制力,他聲稱這構成了嚴重的國家安全威脅。他指責微軟不重視強大的安全保障,反而透過數十億美元的商業模式牟利,該模式的核心是向網路攻擊受害者出售網路安全插件和服務。他直截了當地將這種行為比喻為「縱火犯向受害者兜售消防服務」。
安全性配置中的預設值
懷登表示,雖然Windows確實自備安全配置,但它們從根本上來說並不安全。儘管用戶可以自訂這些設置,但許多用戶並沒有進行必要的調整,導致系統易受攻擊。這位參議員認為,這些「危險的軟體工程決策」對企業和政府用戶都隱蔽,最終將他們置於網路威脅的風險之中。
案例研究:Ascension 勒索軟體攻擊
參議員以非營利醫療保健提供者 Ascension 遭受的勒索軟體攻擊為例,說明了這些漏洞的存在。這次攻擊利用了「Kerberoasting」技術,該技術允許駭客透過 Bing 上的惡意連結入侵承包商的筆記型電腦。攻擊者透過此入口點,可以瀏覽網絡,取得管理存取權限,部署勒索軟體,並竊取數百萬病患的資料。
過時的安全技術與責任
懷登參議員將這次安全漏洞的大部分責任直接歸咎於微軟。他指出,微軟仍在使用過時的 RC4 加密技術,並且沒有強制 Windows 系統預設使用更安全的 AES 加密。儘管微軟辯稱用戶可以透過建立至少 14 個字元的密碼來減少攻擊面,但該軟體並未強制要求管理員帳號使用這項關鍵加密技術。儘管微軟先前曾向懷登保證將逐步淘汰 RC4 加密技術,但至今仍未兌現這項承諾。
呼籲聯邦貿易委員會調查
懷登致聯邦貿易委員會的信函長達四頁,敦促委員會對微軟採取行動,因其軟體對關鍵的政府和公共基礎設施造成了有害影響。他強調,如果不追究微軟對其有效壟斷和缺乏安全軟體開發實踐的責任,未來很可能還會發生類似的事件。您可以在此處閱讀全文,並參閱《The Register》提供的這篇文章,以了解更多見解。
結論
隨著網路安全格局的不斷演變,強大可靠的安全實踐變得日益重要。忽視這些責任的後果不僅會給公司帶來財務負擔,還會危及公共安全。懷登參議員的強硬立場凸顯了監管機構在確保微軟等大型科技公司問責制方面必須扮演的重要角色。
發佈留言