美參議員指責(zé)微軟壟斷和疏忽安全:靠增值服務(wù)獲利,像“縱火犯向受害者推銷滅火服務(wù)”快訊
微軟在安全不足的同時(shí),微軟在安全策略上做出,并在系統(tǒng)中植入勒索軟件。
9 月 12 日消息,美國民主黨參議員羅恩?懷登(Ron Wyden)致信聯(lián)邦貿(mào)易委員會(FTC),指責(zé)微軟在企業(yè) IT 領(lǐng)域幾近壟斷,卻在 Windows 安全上存在“嚴(yán)重疏忽”,導(dǎo)致勒索軟件攻擊激增,在醫(yī)療行業(yè)尤為明顯。
該信共 4 頁,懷登措辭強(qiáng)烈,點(diǎn)名批評微軟在網(wǎng)絡(luò)安全方面存在嚴(yán)重問題。他指出,微軟在企業(yè) IT 市場幾乎處于壟斷地位,卻未能提供足夠安全的系統(tǒng),這不僅引發(fā)勒索軟件攻擊增多,更對國家安全構(gòu)成威脅。附上首頁截圖如下:
懷登特別提到,微軟在安全策略上做出“危險(xiǎn)的工程決策”,例如 Windows 默認(rèn)配置并不安全,且這些問題往往對企業(yè)和政府用戶隱而不宣。雖然用戶可以手動修改設(shè)置,但大多數(shù)人并未采取行動,從而增加了安全風(fēng)險(xiǎn)。
信中引用了 2024 年非營利醫(yī)療機(jī)構(gòu) Ascension 的勒索軟件事件。攻擊者利用 Bing 中的惡意鏈接誘騙承包商員工中招,隨后通過“Kerberoasting”技術(shù)入侵系統(tǒng),橫向移動、獲取管理員權(quán)限,并在系統(tǒng)中植入勒索軟件,同時(shí)竊取了數(shù)百萬患者的數(shù)據(jù)。
懷登將矛頭直指微軟默認(rèn)使用過時(shí)的 RC4 加密,而非更安全的 AES。他指出,微軟雖建議使用 14 位以上密碼來降低風(fēng)險(xiǎn),但自身軟件并未強(qiáng)制要求,即便是管理員賬戶也不例外。微軟曾承諾停用 RC4,但一年過去仍未兌現(xiàn)。
懷登認(rèn)為,微軟在安全不足的同時(shí),卻能建立起數(shù)十億美元的業(yè)務(wù),其中一個(gè)主要原因是向因漏洞受害的客戶額外銷售網(wǎng)絡(luò)安全服務(wù),他將此比作“縱火犯向受害者推銷滅火服務(wù)”。他呼吁 FTC 調(diào)查微軟,并追究其對政府及公共基礎(chǔ)設(shè)施安全事件的責(zé)任,否則未來類似攻擊將不可避免。(故淵)
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會明確標(biāo)注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
