Η Microsoft κάλεσε για «κατάφωρα αμέλειες» πρακτικές κυβερνοασφάλειας

Η Microsoft αντιμετωπίζει αυξανόμενη κριτική μετά την επίθεση στο Azure τον περασμένο μήνα.

Σε ανάρτηση στο LinkedIn

ο Amit Yoran, Διευθύνων Σύμβουλος της εταιρείας κυβερνοασφάλειας Tenable, λέει ότι το ιστορικό της Microsoft στον τομέα της ασφάλειας στον κυβερνοχώρο είναι «ακόμα χειρότερο από όσο νομίζετε» — και έχει ένα παράδειγμα για να το υποστηρίξει.

Στις 12 Ιουλίου, η Microsoft αποκάλυψε μια σημαντική παραβίαση που στόχευε την πλατφόρμα της Azure, την οποία εντόπισε σε μια κινεζική ομάδα hacking γνωστή ως Storm-0558. Η επίθεση επηρέασε περίπου 25 διαφορετικούς οργανισμούς και είχε ως αποτέλεσμα την κλοπή ευαίσθητων email από αξιωματούχους της αμερικανικής κυβέρνησης. Την περασμένη εβδομάδα, ο γερουσιαστής Ron Wyden (D-OR)

έστειλε επιστολή

προς το Υπουργείο Δικαιοσύνης των ΗΠΑ, ζητώντας του να θεωρήσει υπεύθυνη τη Microsoft για «αμελείς πρακτικές ασφάλειας στον κυβερνοχώρο».

Ο Yoran έχει να προσθέσει περισσότερα στα επιχειρήματα του γερουσιαστή, γράφοντας στην ανάρτησή του ότι η Microsoft έχει επιδείξει ένα «επαναλαμβανόμενο μοτίβο αμελών πρακτικών κυβερνοασφάλειας», δίνοντας τη δυνατότητα σε Κινέζους χάκερ να κατασκοπεύουν την κυβέρνηση των ΗΠΑ. Αποκάλυψε επίσης την ανακάλυψη του Tenable για ένα

πρόσθετο ελάττωμα στον κυβερνοχώρο

στο Microsoft Azure και λέει ότι η εταιρεία άργησε να το αντιμετωπίσει.

Ο Tenable ανακάλυψε αρχικά το ελάττωμα τον Μάρτιο και διαπίστωσε ότι θα μπορούσε να δώσει σε κακούς παράγοντες πρόσβαση στα ευαίσθητα δεδομένα μιας εταιρείας, συμπεριλαμβανομένης μιας τράπεζας. Ο Yoran ισχυρίζεται ότι η Microsoft χρειάστηκε «περισσότερες από 90 ημέρες για να εφαρμόσει μια μερική επιδιόρθωση» αφού η Tenable ειδοποίησε την εταιρεία, προσθέτοντας ότι η επιδιόρθωση ισχύει μόνο για «νέες εφαρμογές που έχουν φορτωθεί στην υπηρεσία». Σύμφωνα με τον Yoran, η τράπεζα και όλοι οι άλλοι οργανισμοί «που είχαν ξεκινήσει την υπηρεσία πριν από την επιδιόρθωση» εξακολουθούν να επηρεάζονται από το ελάττωμα – και πιθανότατα δεν γνωρίζουν αυτόν τον κίνδυνο.

Ο Yoran λέει ότι η Microsoft σχεδιάζει να διορθώσει το πρόβλημα μέχρι τα τέλη Σεπτεμβρίου, αλλά αποκαλεί την καθυστερημένη απάντηση “κατάφωρα ανεύθυνη, αν όχι κατάφωρη αμέλεια”. Επισημαίνει επίσης τα δεδομένα από το Project Zero της Google, τα οποία υποδεικνύουν ότι τα προϊόντα της Microsoft αποτελούν το 42,5 τοις εκατό όλων των τρωτών σημείων zero-day που ανακαλύφθηκαν από το 2014.

«Αυτό που ακούτε από τη Microsoft είναι «απλά εμπιστευτείτε μας», αλλά αυτό που λαμβάνετε πίσω είναι πολύ λίγη διαφάνεια και μια κουλτούρα τοξικής συσκότισης», γράφει ο Yoran. «Πώς μπορεί ένας CISO, διοικητικό συμβούλιο ή εκτελεστική ομάδα να πιστέψει ότι η Microsoft θα κάνει το σωστό, δεδομένων των γεγονότων και των τρεχουσών συμπεριφορών;»

Ο ανώτερος διευθυντής της Microsoft, Τζεφ Τζόουνς, απάντησε στην κριτική του Γιόραν σε μια δήλωση που εστάλη μέσω email

Το χείλος

:

Εκτιμούμε τη συνεργασία με την κοινότητα ασφαλείας για την υπεύθυνη αποκάλυψη ζητημάτων προϊόντων. Ακολουθούμε μια εκτεταμένη διαδικασία που περιλαμβάνει ενδελεχή έρευνα, ανάπτυξη ενημέρωσης για όλες τις εκδόσεις των προϊόντων που επηρεάζονται και δοκιμές συμβατότητας μεταξύ άλλων λειτουργικών συστημάτων και εφαρμογών. Σε τελική ανάλυση, η ανάπτυξη μιας ενημέρωσης ασφαλείας είναι μια λεπτή ισορροπία μεταξύ της επικαιρότητας και της ποιότητας, διασφαλίζοντας παράλληλα τη μεγιστοποίηση της προστασίας των πελατών με την ελαχιστοποίηση της αναστάτωσης των πελατών.