মাল্টি-লাইসেন্স ডিসকাউন্ট উদ্ধৃতি
কম্পিউটার নিরাপত্তা র‍্যানসমওয়্যারের দুর্বলতা নিয়ে মাইক্রোসফটের বিরুদ্ধে...

র‍্যানসমওয়্যারের দুর্বলতা নিয়ে মাইক্রোসফটের বিরুদ্ধে এফটিসি তদন্তের আহ্বান জানালেন সিনেটর ওয়াইডেন

কম্পিউটার নিরাপত্তা সালে Sandos দ্বারা
এতে অনুবাদ করুন:

স্বাস্থ্যসেবা প্রদানকারী অ্যাসেনশনের উপর র‍্যানসমওয়্যার আক্রমণের পর মাইক্রোসফটের "গুরুতর সাইবার নিরাপত্তা অবহেলার" জন্য মার্কিন সিনেটর রন ওয়াইডেন আনুষ্ঠানিকভাবে ফেডারেল ট্রেড কমিশন (FTC) কে তদন্ত করার আহ্বান জানিয়েছেন। সিনেটরের উদ্বেগের কেন্দ্রবিন্দুতে রয়েছে কীভাবে মাইক্রোসফটের ডিফল্ট সফ্টওয়্যার কনফিগারেশনগুলি গুরুতর অবকাঠামো নেটওয়ার্কগুলিকে আক্রমণের জন্য উন্মুক্ত করেছিল বলে অভিযোগ রয়েছে।

ট্রিগার: অ্যাসেনশন লঙ্ঘন এবং প্রযুক্তিগত দুর্বলতা

  • ঘটনা সারসংক্ষেপ: গত বছর, অ্যাসেনশন, একটি প্রধান স্বাস্থ্যসেবা ব্যবস্থা, ব্ল্যাক বাস্তা নামে পরিচিত গোষ্ঠীর দ্বারা পরিচালিত একটি র‍্যানসমওয়্যার আক্রমণের শিকার হয়েছিল, যার ফলে প্রায় ৫.৬ মিলিয়ন ব্যক্তি প্রভাবিত হয়েছিল। এই লঙ্ঘনের মধ্যে ডেটা চুরি, সেইসাথে ইলেকট্রনিক স্বাস্থ্য রেকর্ডের ব্যাঘাত ঘটে।
  • প্রাথমিক ভেক্টর: অ্যাসেনশনের জন্য কর্মরত একজন ঠিকাদার মাইক্রোসফ্টের বিং সার্চ ইঞ্জিনের মাধ্যমে আবিষ্কৃত একটি ক্ষতিকারক লিঙ্কে ক্লিক করেছিলেন। এই ক্লিকের ফলে চেইন প্রতিক্রিয়া শুরু হয়েছিল যা আক্রমণকারীদের মাইক্রোসফ্ট সফ্টওয়্যারের অনিরাপদ ডিফল্টগুলিকে কাজে লাগাতে সক্ষম করেছিল।
  • ডিফল্ট সফটওয়্যার দুর্বলতা: সিনেটরের চিঠি অনুসারে, মাইক্রোসফটের সফটওয়্যারে বিপজ্জনকভাবে অনিরাপদ ডিফল্ট সেটিংস রয়েছে। একটি মূল সমস্যা হল Kerberos প্রমাণীকরণ প্রোটোকলের মধ্যে RC4 এনক্রিপশনের জন্য সমর্থন। RC4 হল একটি লিগ্যাসি সাইফার যা ক্রিপ্টোগ্রাফিক গবেষণা দ্বারা অনিরাপদ বলে বিবেচিত হয়। যদিও অনেক আধুনিক সিস্টেমে এটি অপ্রচলিত, মাইক্রোসফটের ক্ষেত্রে এটি ডিফল্টরূপে সক্রিয় ছিল। এটি আক্রমণকারীদের অ্যাক্টিভ ডিরেক্টরি থেকে পরিষেবা অ্যাকাউন্টের শংসাপত্রগুলি বের করার জন্য Kerberoasting নামে পরিচিত একটি কৌশল ব্যবহার করার অনুমতি দেয়।

প্রযুক্তিগত বৈশিষ্ট্য: কার্বেরোস্টিং, ডিফল্ট সাইফার এবং শোষণযোগ্য দুর্বলতা

  • Kerberoasting ব্যাখ্যা: একটি অ্যাক্টিভ ডিরেক্টরি পরিবেশে, Service Principal Names (SPN) সহ পরিষেবা অ্যাকাউন্টগুলি Kerberos টিকিটের অনুরোধ করে। যদি সেই টিকিটগুলি RC4 এর মতো দুর্বল সাইফার ব্যবহার করে এনক্রিপ্ট করা হয়, তাহলে একজন আক্রমণকারী টিকিটটি পেতে পারে, তারপর পরিষেবা অ্যাকাউন্টের প্লেইনটেক্সট শংসাপত্র বা গোপনীয়তা পুনরুদ্ধার করতে অফলাইন আক্রমণ (যেমন, ব্রুট ফোর্স বা ক্রিপ্ট্যানালাইসিস) করতে পারে। এই ক্ষেত্রে, Wyden এর অফিস দাবি করে যে লঙ্ঘনটি এই RC4-সুরক্ষিত টিকিটগুলিকে ব্যবহার করেছে।
  • RC4 গুরুত্বপূর্ণ: RC4 (Rivest Cipher 4), ১৯৮০-এর দশকের শেষের দিকে তৈরি একটি স্ট্রিম সাইফার, কয়েক দশক ধরে দুর্বলতাগুলির জন্য পরিচিত - এর মূলধারায় পক্ষপাত এবং প্লেইনটেক্সট পুনরুদ্ধারের প্রতি সংবেদনশীলতা। স্ট্যান্ডার্ড বডিগুলি (যেমন, IETF) ২০১০-এর দশকের মাঝামাঝি থেকে সুরক্ষিত চ্যানেলগুলিতে, বিশেষ করে TLS-এ এর ব্যবহার নিষিদ্ধ করেছে, কারণ এই ত্রুটিগুলি ছিল। মাইক্রোসফ্ট এখনও ডিফল্টরূপে Kerberos-এ RC4-এর জন্য সমর্থন অন্তর্ভুক্ত করেছে, যা Wyden বলেছে যে দুর্বল পাসওয়ার্ড ব্যবহার করা হলে গ্রাহকরা "অপ্রয়োজনীয়ভাবে প্রকাশ করে"।
  • পাসওয়ার্ডের শক্তি এবং পরিষেবা অ্যাকাউন্ট: সিনেটর আরও উল্লেখ করেছেন যে মাইক্রোসফ্ট পরিষেবা অ্যাকাউন্টগুলির জন্য শক্তিশালী পাসওয়ার্ড নীতি (যেমন, ন্যূনতম 14-অক্ষর, এলোমেলোভাবে তৈরি পাসওয়ার্ড) প্রয়োগ করে না, এবং SPN জড়িত থাকলে Kerberos পরিষেবা টিকিট এনক্রিপশনের জন্য শক্তিশালী এনক্রিপশন সাইফার (AES-128 বা AES-256) ব্যবহারের প্রয়োজন হয় না। দুর্বল ডিফল্ট এনক্রিপশনের সাথে মিলিত এই দুর্বল নীতিগুলি শংসাপত্রের আপসের ঝুঁকি বাড়িয়ে তোলে।
  • মাইক্রোসফটের সুপারিশ প্রশমন: ওয়াইডেনের চিঠির জবাবে, মাইক্রোসফট নির্দেশিকা প্রকাশ করেছে এবং জানিয়েছে যে তারা RC4 ব্যবহার পর্যায়ক্রমে বন্ধ করার পরিকল্পনা করছে। এটি গ্রুপ ম্যানেজড সার্ভিস অ্যাকাউন্ট (gMSA) বা ডেলিগেটেড ম্যানেজড সার্ভিস অ্যাকাউন্ট (dMSA) ব্যবহার, SPN-এর সাথে অ্যাকাউন্টগুলির অডিট, টিকিট এনক্রিপশন অ্যালগরিদম আপডেট করা এবং বিশেষাধিকারপ্রাপ্ত অ্যাকাউন্টগুলির জন্য শক্তিশালী, এলোমেলোভাবে তৈরি পাসওয়ার্ড সেট করার মতো পদক্ষেপগুলিও তুলে ধরেছে। মাইক্রোসফট আরও প্রকাশ করেছে যে Windows Server 2025 ব্যবহার করে নতুন অ্যাক্টিভ ডিরেক্টরি ডোমেনগুলি 2026 সালের প্রথম প্রান্তিক থেকে ডিফল্টরূপে RC4 অক্ষম করা হবে।

    • নিয়ন্ত্রক এবং নীতিগত অভিযোগ

    • সিনেটর ওয়াইডেনের সমালোচনা একটি একক লঙ্ঘনের বাইরেও বিস্তৃত। এফটিসি চেয়ারম্যান অ্যান্ড্রু ফার্গুসনকে লেখা তার চার পৃষ্ঠার চিঠিতে, তিনি মাইক্রোসফটকে একটি পদ্ধতিগত সমস্যা হিসেবে চিহ্নিত করেছেন: এন্টারপ্রাইজ অপারেটিং সিস্টেমের উপর এর প্রায় একচেটিয়া ক্ষমতার দ্বারা বৃদ্ধিপ্রাপ্ত "অবহেলা সাইবার নিরাপত্তার সংস্কৃতি"। ওয়াইডেন তীক্ষ্ণ রূপক ভাষা ব্যবহার করে মাইক্রোসফটকে "একজন অগ্নিনির্বাপক ব্যক্তি যিনি তাদের ক্ষতিগ্রস্থদের কাছে অগ্নিনির্বাপক পরিষেবা বিক্রি করছেন" বলে অভিহিত করেছেন।
    • চিঠিতে দাবি করা হয়েছে যে মাইক্রোসফটের ডিফল্ট কনফিগারেশন (অর্থাৎ, লিগ্যাসি সক্ষম করা, ডিফল্টরূপে অনিরাপদ এনক্রিপশন, নমনীয় পাসওয়ার্ড নীতি) সময়ের সাথে সাথে অনেক প্রতিষ্ঠানের বেসলাইন সুরক্ষা দুর্বল করে দিয়েছে—বিশেষ করে স্বাস্থ্যসেবা এবং গুরুত্বপূর্ণ অবকাঠামোর ক্ষেত্রে। পরামর্শ হল যে ডিফল্ট এবং কনফিগারেশনে অবহেলা কেবল একটি আইটি সমস্যা নয় বরং একটি জাতীয় নিরাপত্তা উদ্বেগ।

    মাইক্রোসফটের প্রতিক্রিয়া

    • RC4 পুরনো হওয়ার কথা স্বীকার করা, এবং মাইক্রোসফট "আমাদের সফ্টওয়্যার তৈরির পদ্ধতি এবং গ্রাহকদের কাছে আমাদের ডকুমেন্টেশনে" এর ব্যবহারকে নিরুৎসাহিত করে। কোম্পানি দাবি করে যে তাদের ট্র্যাফিকের 0.1% এরও কম এখনও RC4 ব্যবহার করে। তবে, মাইক্রোসফট আরও উদ্বেগ প্রকাশ করে যে RC4 অবিলম্বে সম্পূর্ণরূপে অক্ষম করলে বিদ্যমান পরিবেশের সাথে সামঞ্জস্যের সমস্যা দেখা দিতে পারে।
  • মাইক্রোসফট ধীরে ধীরে RC4 সাপোর্ট বন্ধ করার প্রতিশ্রুতিবদ্ধ, একই সাথে গ্রাহকদের কঠোর সতর্কতা এবং নির্দেশনা প্রদান অব্যাহত রেখেছে। অতিরিক্তভাবে, মাইক্রোসফট উল্লেখ করেছে যে Windows Server 2025-এ নতুন AD ডোমেনগুলি, ডিফল্টরূপে, RC4 এনক্রিপশন অক্ষম করবে।

    • নিরাপত্তা ঝুঁকি মূল্যায়ন

    • আক্রমণের পৃষ্ঠ এবং ক্যাসকেডিং ফলাফল: যখন সফ্টওয়্যার বিক্রেতারা ডিফল্টভাবে দুর্বল এনক্রিপশন বা দুর্বল পাসওয়ার্ড নীতি অনুমোদন করে, তখন তারা আক্রমণকারীদের জন্য একটি "সহজ পছন্দ" প্রদান করে। এমনকি নিরাপত্তা-সচেতন সিস্টেম প্রশাসকরাও এমন কনফিগারেশন উত্তরাধিকারসূত্রে পেতে পারেন যা RC4 অনুমোদন করে বা দুর্বল শংসাপত্র অনুমোদন করে, বিশেষ করে এমন পরিবেশে যেখানে ধারাবাহিকতা এবং উত্তরাধিকার সামঞ্জস্যকে অত্যন্ত মূল্য দেওয়া হয়।
    • দুর্বলতার সুযোগ: কার্বেরোস্টিং আক্রমণগুলি অনুমানমূলক নয়; এগুলি পরিচিত, নথিভুক্ত এবং একাধিক লঙ্ঘনের ঘটনায় সফলভাবে ব্যবহৃত হয়েছে। একবার পরিষেবা অ্যাকাউন্টের শংসাপত্রগুলি আপোস করা হলে, আক্রমণকারীরা পার্শ্বীয়ভাবে স্থানান্তর করতে পারে, সুবিধাগুলি বাড়িয়ে তুলতে পারে এবং সংবেদনশীল সম্পদগুলিতে অ্যাক্সেস করতে পারে। স্বাস্থ্যসেবা সেটিংসে, এর মধ্যে ব্যক্তিগত স্বাস্থ্য ডেটা, আইওটি মেডিকেল ডিভাইস এবং গুরুত্বপূর্ণ অবকাঠামো অন্তর্ভুক্ত থাকতে পারে।
    • নিয়ন্ত্রক এবং বিশ্বাসের প্রভাব: যেহেতু মাইক্রোসফট অনেক গুরুত্বপূর্ণ অবকাঠামো এবং এন্টারপ্রাইজ পরিবেশে গভীরভাবে নিহিত, তাই ডিফল্টভাবে সুরক্ষা কনফিগার করতে ব্যর্থতাগুলি স্বয়ংক্রিয়ভাবে প্রতিরক্ষার দায়িত্ব এমন সংস্থাগুলির উপর চাপিয়ে দেয় যাদের এই ধরনের দুর্বলতাগুলি সনাক্ত করার জন্য দক্ষতা, সম্পদ বা দৃশ্যমানতার অভাব থাকতে পারে। সুনামের ক্ষতি এবং দায়বদ্ধতার ঝুঁকি যথেষ্ট।

    নিয়ন্ত্রক প্রভাব

    • সিনেটর ওয়াইডেনের অভিযোগ পণ্যের দায়বদ্ধতা , ডিফল্ট সুরক্ষিত সেটিংস এবং বিক্রেতার দায়িত্ব সম্পর্কে গুরুত্বপূর্ণ প্রশ্ন উত্থাপন করে। অনিরাপদ ডিফল্টের জন্য সফ্টওয়্যার বিক্রেতাদের কতটা জবাবদিহি করা উচিত?
    • "অন্যায় বা প্রতারণামূলক কাজ বা অনুশীলন" তদন্ত করার জন্য FTC-এর কর্তৃত্বের মতো নিয়ন্ত্রক সরঞ্জামগুলি সফ্টওয়্যার সুরক্ষা অবহেলার ক্ষেত্রে প্রয়োগ করা যেতে পারে। যদি মাইক্রোসফ্ট অবহেলা করে বলে প্রমাণিত হয়, তাহলে এটি বহুল ব্যবহৃত সফ্টওয়্যারে ডিফল্ট কনফিগারেশন, এনক্রিপশন মান এবং পাসওয়ার্ডের প্রয়োজনীয়তা কীভাবে নিয়ন্ত্রিত হয় তার জন্য একটি নজির স্থাপন করতে পারে।
    • একটি বৃহত্তর আদর্শিক সমস্যাও রয়েছে: সিকিউর-বাই-ডিফল্ট বনাম সিকিউর-বাই-অপশন । ওয়াইডেনের অবস্থান থেকে বোঝা যায় যে ডিফল্টগুলি নিরাপত্তার দিক থেকে ভুল হওয়া উচিত, উচ্চতর পাসওয়ার্ড শক্তি, দুর্বল ক্রিপ্টোগ্রাফিক অ্যালগরিদমের অবমূল্যায়ন এবং নিরাপদ কনফিগারেশন বেকড - ঐচ্ছিক টগল হিসাবে নয়।
  • এফটিসি-তে সিনেটর ওয়াইডেনের চিঠি সাইবার নিরাপত্তা, নিয়ন্ত্রণ এবং কর্পোরেট জবাবদিহিতার একটি মিলনস্থল তুলে ধরেছে। অ্যাসেনশন লঙ্ঘন কেবল একটি ঘটনার চেয়েও বেশি কিছু; এটি কীভাবে বহুল ব্যবহৃত সফ্টওয়্যার ডিফল্ট, দুর্বল এনক্রিপশন মান এবং লিগ্যাসি সামঞ্জস্যতা একত্রিত হয়ে গুরুত্বপূর্ণ অবকাঠামোর উপর বৃহৎ আকারের আক্রমণের সূত্রপাত করতে পারে তার একটি কেস স্টাডি হিসেবে কাজ করে।

    • এফটিসি-তে সিনেটর ওয়াইডেনের চিঠি সাইবার নিরাপত্তা, নিয়ন্ত্রণ এবং কর্পোরেট জবাবদিহিতার একটি মিলনস্থল তুলে ধরেছে। অ্যাসেনশন লঙ্ঘন কেবল একটি ঘটনার চেয়েও বেশি কিছু; এটি কীভাবে বহুল ব্যবহৃত সফ্টওয়্যার ডিফল্ট, দুর্বল এনক্রিপশন মান এবং লিগ্যাসি সামঞ্জস্যতা একত্রিত হয়ে গুরুত্বপূর্ণ অবকাঠামোর উপর বৃহৎ আকারের আক্রমণের সূত্রপাত করতে পারে তার একটি কেস স্টাডি হিসেবে কাজ করে।

    মাইক্রোসফট যখন অনিরাপদ সাইফারগুলি পর্যায়ক্রমে বাদ দিতে এবং নির্দেশিকা প্রকাশ করতে শুরু করছে, তখন কেন্দ্রীয় প্রশ্নটি রয়ে গেছে যে নিয়ন্ত্রক ব্যবস্থাগুলি আরও দ্রুত পরিবর্তন দাবি করবে, আরও ভাল ডিফল্ট প্রয়োগ করবে এবং ঝুঁকি সক্ষম করার জন্য বিক্রেতাদের দায়ী করবে কিনা। এই বিষয়টি কেবল নিরাপত্তা গবেষকদের কাছ থেকে নয়, নিয়ন্ত্রকদের, এন্টারপ্রাইজ গ্রাহকদের এবং বৃহত্তর জনসাধারণের কাছ থেকেও নিবিড়ভাবে তদন্তের দাবি রাখে।

    লোড হচ্ছে...