Η Microsoft έχει γίνει σαν έναν εμπρηστή που πουλάει υπηρεσίες πυρόσβεσης στα θύματά του, λέει Αμερικανός γερουσιαστής, παραπέμποντάς το στην FTC λόγω ενός προβλήματος κυβερνοασφάλειας, αν και η Microsoft δηλώνει ότι έχει ένα σχέδιο.

Ο γερουσιαστής Ron Wyden ζήτησε από την FTC να ερευνήσει τη Microsoft για σοβαρή αμέλεια στην κυβερνοασφάλεια, κατηγορώντας την ότι διατηρεί ευάλωτη κρυπτογράφηση RC4 στα Windows, διευκολύνοντας επιθέσεις ransomware. Η Microsoft απαντά πως σχεδιάζει σταδιακή κατάργηση του RC4, αλλά η ενημέρωση ασφαλείας καθυστερεί.
DeSpell
Συντάκτης: DeSpell
Χρόνος αν΄άγνωσης: 3 λεπτά
0

Περιεχόμενα άρθρου

Κατηγορίες για Ελλιπή Κυβερνοασφάλεια

Ο γερουσιαστής των ΗΠΑ Ron Wyden απέστειλε επιστολή στην FTC, ζητώντας να διερευνηθεί η Microsoft για αυτό που αποκαλεί «σοβαρή αμέλεια στην κυβερνοασφάλεια». Η κύρια ανησυχία του αφορά μια μορφή κρυπτογράφησης που εξακολουθεί να υποστηρίζεται από το λειτουργικό σύστημα Windows, την οποία το γραφείο του θεωρεί ευάλωτη σε επιθέσεις ransomware.

Επιστολή και Αποκαλύψεις

Στην επιστολή [Προειδοποίηση PDF], ο Wyden αποκαλύπτει ότι έρευνα του γραφείου του για μια παραβίαση ransomware στην εταιρεία υγείας Ascension πέρυσι έδειξε πως η υποστήριξη του αλγορίθμου RC4 συνέβαλε άμεσα στην επίθεση (μέσω Ars Technica). Ο Wyden αναφέρει ότι λόγω επικίνδυνων επιλογών λογισμικού από τη Microsoft, που δεν γνωστοποιήθηκαν επαρκώς στους πελάτες της, ένα απλό λάθος ενός χρήστη μπορεί να οδηγήσει σε εκτεταμένη μόλυνση με ransomware σε ολόκληρο οργανισμό.

Ιστορικό του RC4 και Εφαρμογή στα Windows

Ο RC4, ή Rivest Cipher 4, δημιουργήθηκε το 1987 και θεωρούνταν ασφαλής μέχρι το 1994, όταν αποκαλύφθηκαν τεχνικές λεπτομέρειες που τον έκαναν ευάλωτο. Παρά τα προβλήματα, ο RC4 χρησιμοποιήθηκε ευρέως σε πρωτόκολλα κρυπτογράφησης μέχρι πριν από περίπου δέκα χρόνια και εξακολουθεί να χρησιμοποιείται από τη Microsoft για την ασφάλεια του Active Directory, το οποίο διαχειρίζεται λογαριασμούς χρηστών στα Windows.

A photo of the Windows update menu, showing that I'm all up to date
Φωτογραφία του μενού ενημερώσεων των Windows, που δείχνει ότι το σύστημα είναι πλήρως ενημερωμένο

Τρωτότητα και Τεχνικές Επίθεσης

Αν και τα Windows χρησιμοποιούν από προεπιλογή κρυπτογράφηση AES, το γραφείο του γερουσιαστή διαπίστωσε ότι οι διακομιστές Windows εξακολουθούν να ανταποκρίνονται σε αιτήματα ταυτοποίησης με RC4, επιτρέποντας επιθέσεις τύπου “Kerberoasting“. Αυτή η τεχνική δίνει διαχειριστικά δικαιώματα μέσω εκμετάλλευσης της κρυπτογράφησης σε ένα μηχάνημα, επιτρέποντας την εγκατάσταση ransomware σε άλλα.

Περιστατικό στην Ascension

Στην περίπτωση της Ascension, ο γερουσιαστής υποστηρίζει ότι ένας εργολάβος που έκανε κλικ σε κακόβουλο σύνδεσμο επέτρεψε στους εισβολείς να κινηθούν εντός του δικτύου, εκμεταλλευόμενοι την αδύναμη κρυπτογράφηση για να διαδώσουν ransomware σε χιλιάδες υπολογιστές και να υποκλέψουν ευαίσθητα δεδομένα 5,6 εκατομμυρίων ασθενών.

A stylised photograph of a person acting as a hacker, break into servers and infecting them with a virus, as show by computer monitors displaying green text and codes Their System with a Virus
Στιλιζαρισμένη φωτογραφία που απεικονίζει χάκερ να παραβιάζει διακομιστές και να τους μολύνει με ιό, όπως φαίνεται από οθόνες υπολογιστών με πράσινο κείμενο και κώδικες

Επικοινωνία με Microsoft και Καθυστερήσεις

Ο γερουσιαστής αναφέρει ότι το γραφείο του επικοινώνησε με τη Microsoft για το πρόβλημα, και η εταιρεία δημοσίευσε σχετικές οδηγίες, αλλά η αναμενόμενη ενημέρωση ασφαλείας δεν έχει ακόμη κυκλοφορήσει. Τονίζει ότι το περιστατικό δείχνει πως το κόστος των επικίνδυνων πρακτικών της Microsoft το επωμίζονται οι πελάτες και το κοινό.

Κριτική για Επιχειρηματικές Πρακτικές

Ο Wyden υποστηρίζει ότι η Microsoft επωφελείται από την κατάσταση, καθώς αντί να προσφέρει ασφαλές λογισμικό, έχει δημιουργήσει μια δευτερεύουσα αγορά δισεκατομμυρίων πουλώντας πρόσθετες υπηρεσίες κυβερνοασφάλειας σε όσους μπορούν να τις πληρώσουν. Παρομοιάζει τη Microsoft με εμπρηστή που πουλά υπηρεσίες πυρόσβεσης στα θύματά του.

Image manipulated symbolic alegory pointing into the mystery of being.
Συμβολική αλληγορία που παραπέμπει στο μυστήριο της ύπαρξης

Κάλεσμα για Διερεύνηση

Ο γερουσιαστής κλείνει την επιστολή του καλώντας την FTC να ερευνήσει τη Microsoft και να την καταστήσει υπεύθυνη για τη «σοβαρή ζημιά που προκάλεσε παρέχοντας επικίνδυνο, μη ασφαλές λογισμικό στην κυβέρνηση των ΗΠΑ και σε κρίσιμες υποδομές, όπως ο τομέας υγείας».

Απάντηση της Microsoft

Η Microsoft ανταποκρίθηκε με δήλωση σε διάφορα μέσα, συμπεριλαμβανομένου του Ars Technica, λέγοντας ότι ο RC4 είναι παλιό πρότυπο και αποθαρρύνουν τη χρήση του τόσο στον σχεδιασμό του λογισμικού όσο και στην τεκμηρίωση προς τους πελάτες, γι’ αυτό και αποτελεί λιγότερο από το 0,1% της κίνησής τους. Ωστόσο, η πλήρης απενεργοποίησή του θα προκαλούσε προβλήματα σε πολλά συστήματα πελατών. Για τον λόγο αυτό, η εταιρεία σχεδιάζει σταδιακή μείωση της χρήσης του RC4, παρέχοντας ισχυρές προειδοποιήσεις και συμβουλές για ασφαλέστερη χρήση, με τελικό στόχο την πλήρη απενεργοποίηση. Η Microsoft δηλώνει ότι έχει επικοινωνήσει με το γραφείο του γερουσιαστή και θα συνεχίσει να απαντά σε ερωτήσεις από κυβερνητικούς φορείς.

Μελλοντικά Μέτρα Ασφαλείας

Η Microsoft αναφέρει ότι το πρώτο τρίμηνο του 2026, κάθε νέα εγκατάσταση Active Directory Domains με Windows Server 2025 θα έχει τον RC4 απενεργοποιημένο από προεπιλογή, διασφαλίζοντας ότι τα νέα domains θα προστατεύονται από επιθέσεις που εκμεταλλεύονται αδυναμίες του RC4. Επιπλέον, σχεδιάζονται πρόσθετα μέτρα για υπάρχουσες εγκαταστάσεις, λαμβάνοντας υπόψη τη συμβατότητα και τη συνέχεια κρίσιμων υπηρεσιών πελατών.

[ Πηγή: PCGamer ]

Άφησε ένα σχόλιο!

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ

Προηγούμενο άρθρο
Η συναυλία BAFTA Games in Concert ξεκινά περιοδεία, παρουσιάζοντας «20 χρόνια μουσικής από παιχνίδια που ήταν υποψήφια για BAFTA».
Επόμενο άρθρο
Nintendo Direct Σεπτέμβριος 2025: Όλες οι Μεγαλύτερες Ανακοινώσεις

Τυχαία

Σχετικά

Tech News

Η Nvidia δηλώνει ότι τα AI chips δεν διαθέτουν διακόπτη απενεργοποίησης και τα χαρακτηρίζει ως ανοιχτή πρόσκληση για καταστροφή.

0
Η Nvidia διαβεβαιώνει ότι τα AI chips της δεν έχουν backdoors ή kill switches, απαντώντας σε ανησυχίες ΗΠΑ και Κίνας για την ασφάλεια. Τονίζει πως τέτοιες λειτουργίες θα έθεταν σε κίνδυνο την παγκόσμια υποδομή δεδομένων και θα διευκόλυναν επιθέσεις, υπονομεύοντας την εμπιστοσύνη στην τεχνολογία.
Game News

Αποκαλύφθηκαν οι ώρες κυκλοφορίας του Battlefield 6, χωρίς να προσφέρεται πρόσβαση για τους παίκτες νωρίτερα.

0
Η Electronic Arts πουλήθηκε σε επενδυτική κοινοπραξία με επικεφαλής το σαουδαραβικό PIF, την Affinity Partners του Kushner και τη Silver Lake, έναντι 55 δισ. δολαρίων. Η συμφωνία υπόσχεται καινοτομία και ανάπτυξη, αλλά προκαλεί ανησυχίες για περικοπές. Η ολοκλήρωση εκκρεμεί λόγω ρυθμιστικών εγκρίσεων.
Game News

Οι δημιουργοί του Diablo ψηφίζουν για ένωση στο Blizzard.

0
Περισσότεροι από 450 developers του Diablo στην Blizzard ψήφισαν υπέρ της συνδικαλιστικής οργάνωσης με την CWA, με τη Microsoft να αναγνωρίζει επίσημα το νέο σωματείο. Η κίνηση αυτή ακολουθεί αντίστοιχες πρωτοβουλίες σε Activision Blizzard και Xbox, καθώς οι εργαζόμενοι διεκδικούν καλύτερη προστασία και συνθήκες εργασίας.
Game News

Την παραμονή της Gamescom, εργαζόμενοι της Microsoft καταλαμβάνουν τις εγκαταστάσεις της Xbox σε ένδειξη διαμαρτυρίας για τις συναλλαγές με τον ισραηλινό στρατό.

0
Δεκάδες εργαζόμενοι της Microsoft κατέλαβαν το campus της εταιρείας διαμαρτυρόμενοι για τη συνεργασία με τον ισραηλινό στρατό και τη χρήση τεχνολογιών Azure και AI κατά Παλαιστινίων. Η αστυνομία διέλυσε τη διαμαρτυρία, ενώ αυξάνονται οι φωνές εντός Microsoft για διακοπή συνεργασίας λόγω της κρίσης στη Γάζα.
Game News

Η Nintendo δηλώνει ότι οι αλλαγές στην τιμή του Switch 2 μπορεί να συμβούν ανάλογα με τους δασμούς.

0
Ο πρόεδρος της Nintendo, Σουντάρο Φουρουκάβα, δήλωσε ότι οι τιμές για το Switch 2 μπορεί να αλλάξουν στο μέλλον, ανάλογα με την κατάσταση των δασμών. Η προτεραιότητα είναι η γρήγορη δημοτικότητα του Switch 2. Αν οι δασμοί αλλάξουν, οι τιμές μπορεί να προσαρμοστούν, αλλά δεν διευκρίνισε αν θα αυξηθούν ή θα μειωθούν.
Tech News

Σύμφωνα με αναφορές, το προσωπικό της King που απολύθηκε αντικαθίσταται τώρα από εργαλεία τεχνητής νοημοσύνης που οι ίδιοι βοήθησαν να δημιουργηθούν.

0
Η Microsoft απέλυσε περίπου 200 εργαζόμενους της King, αντικαθιστώντας τους με εργαλεία τεχνητής νοημοσύνης που οι ίδιοι είχαν αναπτύξει. Οι περικοπές επηρέασαν κυρίως μεσαία στελέχη, σχεδιαστές και κειμενογράφους, ενώ η εταιρεία στοχεύει να γίνει “AI-first”, με στόχο την αποδοτικότητα και το κέρδος.

Κατηγορίες

Game News11143Game Guides1995Movies1579Tech News1157Game Reviews1052Anime1026