ਮਲਟੀ-ਲਾਈਸੈਂਸ ਛੂਟ ਦਾ ਹਵਾਲਾ
ਕੰਪਿਊਟਰ ਸੁਰੱਖਿਆ ਸੈਨੇਟਰ ਵਾਈਡਨ ਨੇ ਰੈਨਸਮਵੇਅਰ ਕਮਜ਼ੋਰੀਆਂ 'ਤੇ ਮਾਈਕ੍ਰੋਸਾਫਟ ਵਿੱਚ...

ਸੈਨੇਟਰ ਵਾਈਡਨ ਨੇ ਰੈਨਸਮਵੇਅਰ ਕਮਜ਼ੋਰੀਆਂ 'ਤੇ ਮਾਈਕ੍ਰੋਸਾਫਟ ਵਿੱਚ FTC ਜਾਂਚ ਨੂੰ ਅੱਗੇ ਵਧਾਇਆ

ਕੰਪਿਊਟਰ ਸੁਰੱਖਿਆ ਵਿੱਚ Sandos ਦੁਆਰਾ
ਇਸ ਵਿੱਚ ਅਨੁਵਾਦ ਕਰੋ:

ਅਮਰੀਕੀ ਸੈਨੇਟਰ ਰੌਨ ਵਾਈਡਨ ਨੇ ਸਿਹਤ ਸੰਭਾਲ ਪ੍ਰਦਾਤਾ ਅਸੈਂਸ਼ਨ 'ਤੇ ਹੋਏ ਰੈਨਸਮਵੇਅਰ ਹਮਲੇ ਤੋਂ ਬਾਅਦ, ਫੈਡਰਲ ਟਰੇਡ ਕਮਿਸ਼ਨ (FTC) ਨੂੰ ਰਸਮੀ ਤੌਰ 'ਤੇ ਮਾਈਕ੍ਰੋਸਾਫਟ ਦੀ "ਘੋਰ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਲਾਪਰਵਾਹੀ" ਲਈ ਜਾਂਚ ਕਰਨ ਦੀ ਮੰਗ ਕੀਤੀ ਹੈ। ਸੈਨੇਟਰ ਦੀ ਚਿੰਤਾ ਇਸ ਗੱਲ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਹੈ ਕਿ ਮਾਈਕ੍ਰੋਸਾਫਟ ਦੇ ਡਿਫਾਲਟ ਸਾਫਟਵੇਅਰ ਕੌਂਫਿਗਰੇਸ਼ਨਾਂ ਨੇ ਕਥਿਤ ਤੌਰ 'ਤੇ ਮਹੱਤਵਪੂਰਨ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਨੈੱਟਵਰਕਾਂ ਨੂੰ ਹਮਲੇ ਲਈ ਕਿਵੇਂ ਉਜਾਗਰ ਕੀਤਾ।

ਟਰਿੱਗਰ: ਅਸੈਂਸ਼ਨ ਉਲੰਘਣਾ ਅਤੇ ਤਕਨੀਕੀ ਕਮਜ਼ੋਰੀਆਂ

  • ਘਟਨਾ ਦਾ ਸੰਖੇਪ ਜਾਣਕਾਰੀ: ਪਿਛਲੇ ਸਾਲ, ਅਸੈਂਸ਼ਨ, ਇੱਕ ਪ੍ਰਮੁੱਖ ਸਿਹਤ ਸੰਭਾਲ ਪ੍ਰਣਾਲੀ, ਬਲੈਕ ਬਾਸਟਾ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਸਮੂਹ ਦੁਆਰਾ ਕੀਤੇ ਗਏ ਇੱਕ ਰੈਨਸਮਵੇਅਰ ਹਮਲੇ ਦਾ ਸ਼ਿਕਾਰ ਹੋਈ ਸੀ, ਜਿਸ ਨਾਲ ਲਗਭਗ 5.6 ਮਿਲੀਅਨ ਵਿਅਕਤੀ ਪ੍ਰਭਾਵਿਤ ਹੋਏ ਸਨ। ਇਸ ਉਲੰਘਣਾ ਵਿੱਚ ਡੇਟਾ ਚੋਰੀ, ਅਤੇ ਨਾਲ ਹੀ ਇਲੈਕਟ੍ਰਾਨਿਕ ਸਿਹਤ ਰਿਕਾਰਡਾਂ ਵਿੱਚ ਵਿਘਨ ਸ਼ਾਮਲ ਸੀ।
  • ਸ਼ੁਰੂਆਤੀ ਵੈਕਟਰ: ਅਸੈਂਸ਼ਨ ਲਈ ਕੰਮ ਕਰਨ ਵਾਲੇ ਇੱਕ ਠੇਕੇਦਾਰ ਨੇ ਮਾਈਕ੍ਰੋਸਾਫਟ ਦੇ ਬਿੰਗ ਸਰਚ ਇੰਜਣ ਦੁਆਰਾ ਲੱਭੇ ਗਏ ਇੱਕ ਖਤਰਨਾਕ ਲਿੰਕ 'ਤੇ ਕਲਿੱਕ ਕੀਤਾ। ਇਸ ਕਲਿੱਕ ਨੇ ਚੇਨ ਪ੍ਰਤੀਕ੍ਰਿਆਵਾਂ ਨੂੰ ਸ਼ੁਰੂ ਕੀਤਾ ਜਿਸ ਨਾਲ ਹਮਲਾਵਰਾਂ ਨੂੰ ਮਾਈਕ੍ਰੋਸਾਫਟ ਸੌਫਟਵੇਅਰ ਵਿੱਚ ਅਸੁਰੱਖਿਅਤ ਡਿਫਾਲਟਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਦੀ ਆਗਿਆ ਮਿਲੀ।
  • ਡਿਫਾਲਟ ਸਾਫਟਵੇਅਰ ਕਮਜ਼ੋਰੀ: ਸੈਨੇਟਰ ਦੇ ਪੱਤਰ ਦੇ ਅਨੁਸਾਰ, ਮਾਈਕ੍ਰੋਸਾਫਟ ਦੇ ਸਾਫਟਵੇਅਰ ਵਿੱਚ ਖ਼ਤਰਨਾਕ ਤੌਰ 'ਤੇ ਅਸੁਰੱਖਿਅਤ ਡਿਫਾਲਟ ਸੈਟਿੰਗਾਂ ਸ਼ਾਮਲ ਹਨ। ਇੱਕ ਮੁੱਖ ਮੁੱਦਾ ਕਰਬੇਰੋਸ ਪ੍ਰਮਾਣੀਕਰਨ ਪ੍ਰੋਟੋਕੋਲ ਦੇ ਅੰਦਰ RC4 ਐਨਕ੍ਰਿਪਸ਼ਨ ਲਈ ਸਮਰਥਨ ਹੈ। RC4 ਇੱਕ ਵਿਰਾਸਤੀ ਸਾਈਫਰ ਹੈ ਜਿਸਨੂੰ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਖੋਜ ਦੁਆਰਾ ਅਸੁਰੱਖਿਅਤ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ। ਹਾਲਾਂਕਿ ਬਹੁਤ ਸਾਰੇ ਆਧੁਨਿਕ ਸਿਸਟਮਾਂ ਵਿੱਚ ਬਰਤਰਫ਼ ਕੀਤਾ ਗਿਆ ਹੈ, ਮਾਈਕ੍ਰੋਸਾਫਟ ਦੇ ਮਾਮਲੇ ਵਿੱਚ ਇਹ ਡਿਫਾਲਟ ਤੌਰ 'ਤੇ ਸਮਰੱਥ ਰਿਹਾ। ਇਸਨੇ ਹਮਲਾਵਰਾਂ ਨੂੰ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਤੋਂ ਸੇਵਾ ਖਾਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰ ਕੱਢਣ ਲਈ ਕਰਬੇਰੋਸਟਿੰਗ ਵਜੋਂ ਜਾਣੀ ਜਾਂਦੀ ਤਕਨੀਕ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੱਤੀ।

ਤਕਨੀਕੀ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ: ਕਰਬਰੋਸਟਿੰਗ, ਡਿਫਾਲਟ ਸਿਫਰ, ਅਤੇ ਸ਼ੋਸ਼ਣਯੋਗ ਕਮਜ਼ੋਰੀਆਂ

  • ਕਰਬੇਰੋਸਟਿੰਗ ਸਮਝਾਈ ਗਈ: ਇੱਕ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਵਾਤਾਵਰਣ ਵਿੱਚ, ਸਰਵਿਸ ਪ੍ਰਿੰਸੀਪਲ ਨੇਮ (SPN) ਵਾਲੇ ਸਰਵਿਸ ਖਾਤੇ ਕਰਬੇਰੋਸ ਟਿਕਟਾਂ ਦੀ ਬੇਨਤੀ ਕਰਦੇ ਹਨ। ਜੇਕਰ ਉਹ ਟਿਕਟਾਂ RC4 ਵਰਗੇ ਕਮਜ਼ੋਰ ਸਾਈਫਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਏਨਕ੍ਰਿਪਟ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ, ਤਾਂ ਇੱਕ ਹਮਲਾਵਰ ਟਿਕਟ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦਾ ਹੈ, ਫਿਰ ਸੇਵਾ ਖਾਤੇ ਦੇ ਪਲੇਨਟੈਕਸਟ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਜਾਂ ਭੇਦਾਂ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਔਫਲਾਈਨ ਹਮਲੇ (ਜਿਵੇਂ ਕਿ, ਬਰੂਟ ਫੋਰਸ ਜਾਂ ਕ੍ਰਿਪਟੈਨਾਲਿਸਿਸ) ਕਰ ਸਕਦਾ ਹੈ। ਇਸ ਮਾਮਲੇ ਵਿੱਚ, ਵਾਈਡਨ ਦੇ ਦਫਤਰ ਦਾ ਦਾਅਵਾ ਹੈ ਕਿ ਉਲੰਘਣਾ ਨੇ ਇਹਨਾਂ RC4-ਸੁਰੱਖਿਅਤ ਟਿਕਟਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ।
  • RC4 ਮਾਇਨੇ ਰੱਖਦਾ ਹੈ: RC4 (Rivest Cipher 4), 1980 ਦੇ ਦਹਾਕੇ ਦੇ ਅਖੀਰ ਵਿੱਚ ਵਿਕਸਤ ਕੀਤਾ ਗਿਆ ਇੱਕ ਸਟ੍ਰੀਮ ਸਾਈਫਰ, ਦਹਾਕਿਆਂ ਤੋਂ ਕਮਜ਼ੋਰੀਆਂ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ - ਇਸਦੀ ਮੁੱਖ ਧਾਰਾ ਵਿੱਚ ਪੱਖਪਾਤ ਅਤੇ ਪਲੇਨਟੈਕਸਟ ਰਿਕਵਰੀ ਲਈ ਸੰਵੇਦਨਸ਼ੀਲਤਾ। ਸਟੈਂਡਰਡ ਬਾਡੀਜ਼ (ਜਿਵੇਂ ਕਿ, IETF) ਨੇ 2010 ਦੇ ਦਹਾਕੇ ਦੇ ਮੱਧ ਤੋਂ ਸੁਰੱਖਿਅਤ ਚੈਨਲਾਂ, ਖਾਸ ਕਰਕੇ TLS ਵਿੱਚ ਇਸਦੀ ਵਰਤੋਂ 'ਤੇ ਪਾਬੰਦੀ ਲਗਾਈ ਹੈ, ਕਿਉਂਕਿ ਉਨ੍ਹਾਂ ਖਾਮੀਆਂ ਹਨ। ਮਾਈਕ੍ਰੋਸਾਫਟ ਨੇ ਅਜੇ ਵੀ ਡਿਫੌਲਟ ਰੂਪ ਵਿੱਚ Kerberos ਵਿੱਚ RC4 ਲਈ ਸਮਰਥਨ ਸ਼ਾਮਲ ਕੀਤਾ ਹੈ, ਜਿਸਨੂੰ Wyden ਕਹਿੰਦਾ ਹੈ ਕਿ ਕਮਜ਼ੋਰ ਪਾਸਵਰਡ ਵਰਤੋਂ ਵਿੱਚ ਹੋਣ 'ਤੇ ਗਾਹਕਾਂ ਨੂੰ "ਬੇਲੋੜਾ ਪਰਦਾਫਾਸ਼" ਕਰਦਾ ਹੈ।
  • ਪਾਸਵਰਡ ਤਾਕਤ ਅਤੇ ਸੇਵਾ ਖਾਤੇ: ਸੈਨੇਟਰ ਇਹ ਵੀ ਉਜਾਗਰ ਕਰਦਾ ਹੈ ਕਿ ਮਾਈਕ੍ਰੋਸਾਫਟ ਸੇਵਾ ਖਾਤਿਆਂ ਲਈ ਮਜ਼ਬੂਤ ਪਾਸਵਰਡ ਨੀਤੀਆਂ (ਜਿਵੇਂ ਕਿ 14-ਅੱਖਰਾਂ ਦੇ ਘੱਟੋ-ਘੱਟ, ਬੇਤਰਤੀਬੇ ਤੌਰ 'ਤੇ ਤਿਆਰ ਕੀਤੇ ਪਾਸਵਰਡ) ਲਾਗੂ ਨਹੀਂ ਕਰਦਾ ਹੈ, ਅਤੇ ਨਾ ਹੀ ਇਸਨੂੰ SPN ਸ਼ਾਮਲ ਹੋਣ 'ਤੇ Kerberos ਸੇਵਾ ਟਿਕਟ ਇਨਕ੍ਰਿਪਸ਼ਨ ਲਈ ਮਜ਼ਬੂਤ ਇਨਕ੍ਰਿਪਸ਼ਨ ਸਾਈਫਰ (AES-128 ਜਾਂ AES-256) ਦੀ ਵਰਤੋਂ ਦੀ ਲੋੜ ਹੈ। ਇਹ ਕਮਜ਼ੋਰ ਨੀਤੀਆਂ, ਕਮਜ਼ੋਰ ਡਿਫਾਲਟ ਇਨਕ੍ਰਿਪਸ਼ਨ ਦੇ ਨਾਲ ਮਿਲ ਕੇ, ਪ੍ਰਮਾਣ ਪੱਤਰ ਨਾਲ ਸਮਝੌਤਾ ਹੋਣ ਦੇ ਜੋਖਮ ਨੂੰ ਵਧਾਉਂਦੀਆਂ ਹਨ।
  • ਮਾਈਕ੍ਰੋਸਾਫਟ ਵੱਲੋਂ ਸਿਫ਼ਾਰਸ਼ਾਂ ਨੂੰ ਘਟਾਉਣਾ: ਵਾਈਡਨ ਦੇ ਪੱਤਰ ਦੇ ਜਵਾਬ ਵਿੱਚ, ਮਾਈਕ੍ਰੋਸਾਫਟ ਨੇ ਮਾਰਗਦਰਸ਼ਨ ਪ੍ਰਕਾਸ਼ਿਤ ਕੀਤਾ ਹੈ ਅਤੇ ਕਿਹਾ ਹੈ ਕਿ ਉਹ RC4 ਵਰਤੋਂ ਨੂੰ ਪੜਾਅਵਾਰ ਬੰਦ ਕਰਨ ਦੀ ਯੋਜਨਾ ਬਣਾ ਰਿਹਾ ਹੈ। ਇਸਨੇ ਗਰੁੱਪ ਮੈਨੇਜਡ ਸਰਵਿਸ ਅਕਾਊਂਟਸ (gMSA) ਜਾਂ ਡੈਲੀਗੇਟਿਡ ਮੈਨੇਜਡ ਸਰਵਿਸ ਅਕਾਊਂਟਸ (dMSA) ਦੀ ਵਰਤੋਂ, SPN ਵਾਲੇ ਖਾਤਿਆਂ ਦਾ ਆਡਿਟਿੰਗ, ਟਿਕਟ ਐਨਕ੍ਰਿਪਸ਼ਨ ਐਲਗੋਰਿਦਮ ਨੂੰ ਅਪਡੇਟ ਕਰਨਾ, ਅਤੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਖਾਤਿਆਂ ਲਈ ਮਜ਼ਬੂਤ, ਬੇਤਰਤੀਬ ਤੌਰ 'ਤੇ ਤਿਆਰ ਕੀਤੇ ਪਾਸਵਰਡ ਸੈੱਟ ਕਰਨ ਵਰਗੇ ਕਦਮਾਂ ਦੀ ਰੂਪਰੇਖਾ ਵੀ ਦਿੱਤੀ। ਮਾਈਕ੍ਰੋਸਾਫਟ ਨੇ ਅੱਗੇ ਖੁਲਾਸਾ ਕੀਤਾ ਕਿ ਵਿੰਡੋਜ਼ ਸਰਵਰ 2025 ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੇ ਨਵੇਂ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਡੋਮੇਨਾਂ ਵਿੱਚ 2026 ਦੀ ਪਹਿਲੀ ਤਿਮਾਹੀ ਤੋਂ RC4 ਡਿਫੌਲਟ ਰੂਪ ਵਿੱਚ ਅਯੋਗ ਹੋ ਜਾਵੇਗਾ।

    • ਰੈਗੂਲੇਟਰੀ ਅਤੇ ਨੀਤੀਗਤ ਦੋਸ਼

    • ਸੈਨੇਟਰ ਵਾਈਡਨ ਦੀ ਆਲੋਚਨਾ ਇੱਕ ਇਕੱਲੀ ਉਲੰਘਣਾ ਤੋਂ ਪਰੇ ਹੈ। FTC ਚੇਅਰਮੈਨ ਐਂਡਰਿਊ ਫਰਗੂਸਨ ਨੂੰ ਲਿਖੇ ਆਪਣੇ ਚਾਰ ਪੰਨਿਆਂ ਦੇ ਪੱਤਰ ਵਿੱਚ, ਉਹ ਮਾਈਕ੍ਰੋਸਾਫਟ ਨੂੰ ਇੱਕ ਪ੍ਰਣਾਲੀਗਤ ਸਮੱਸਿਆ ਦੇ ਰੂਪ ਵਿੱਚ ਫਰੇਮ ਕਰਦਾ ਹੈ: ਇੱਕ "ਲਾਪਰਵਾਹੀ ਵਾਲੀ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਦੀ ਸੰਸਕ੍ਰਿਤੀ" ਜੋ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮਾਂ ਉੱਤੇ ਇਸਦੇ ਲਗਭਗ ਏਕਾਧਿਕਾਰ ਦੁਆਰਾ ਵਧਾਈ ਗਈ ਹੈ। ਵਾਈਡਨ ਤਿੱਖੀ ਅਲੰਕਾਰਿਕ ਭਾਸ਼ਾ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਮਾਈਕ੍ਰੋਸਾਫਟ ਨੂੰ "ਆਪਣੇ ਪੀੜਤਾਂ ਨੂੰ ਅੱਗ ਬੁਝਾਉਣ ਵਾਲੀਆਂ ਸੇਵਾਵਾਂ ਵੇਚਣ ਵਾਲੇ ਇੱਕ ਅੱਗ ਲਗਾਉਣ ਵਾਲੇ" ਦੇ ਸਮਾਨ ਕਹਿੰਦਾ ਹੈ।
    • ਪੱਤਰ ਵਿੱਚ ਦਾਅਵਾ ਕੀਤਾ ਗਿਆ ਹੈ ਕਿ ਮਾਈਕ੍ਰੋਸਾਫਟ ਦੀਆਂ ਡਿਫਾਲਟ ਸੰਰਚਨਾਵਾਂ (ਭਾਵ, ਵਿਰਾਸਤ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣਾ, ਡਿਫਾਲਟ ਰੂਪ ਵਿੱਚ ਅਸੁਰੱਖਿਅਤ ਇਨਕ੍ਰਿਪਸ਼ਨ, ਨਰਮ ਪਾਸਵਰਡ ਨੀਤੀਆਂ) ਨੇ ਸਮੇਂ ਦੇ ਨਾਲ ਕਈ ਸੰਗਠਨਾਂ ਵਿੱਚ ਬੇਸਲਾਈਨ ਸੁਰੱਖਿਆ ਨੂੰ ਕਮਜ਼ੋਰ ਕਰ ਦਿੱਤਾ ਹੈ - ਖਾਸ ਕਰਕੇ ਸਿਹਤ ਸੰਭਾਲ ਅਤੇ ਮਹੱਤਵਪੂਰਨ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ। ਸੁਝਾਅ ਇਹ ਹੈ ਕਿ ਡਿਫਾਲਟ ਅਤੇ ਸੰਰਚਨਾ ਵਿੱਚ ਲਾਪਰਵਾਹੀ ਸਿਰਫ਼ ਇੱਕ ਆਈਟੀ ਮੁੱਦਾ ਨਹੀਂ ਹੈ, ਸਗੋਂ ਇੱਕ ਰਾਸ਼ਟਰੀ ਸੁਰੱਖਿਆ ਚਿੰਤਾ ਹੈ।

    ਮਾਈਕ੍ਰੋਸਾਫਟ ਦਾ ਜਵਾਬ

    • ਇਹ ਸਵੀਕਾਰ ਕਰਨਾ ਕਿ RC4 ਪੁਰਾਣਾ ਹੈ , ਅਤੇ ਇਹ ਕਿ ਮਾਈਕ੍ਰੋਸਾਫਟ ਇਸਦੀ ਵਰਤੋਂ ਨੂੰ "ਅਸੀਂ ਆਪਣੇ ਸੌਫਟਵੇਅਰ ਨੂੰ ਕਿਵੇਂ ਇੰਜੀਨੀਅਰ ਕਰਦੇ ਹਾਂ ਅਤੇ ਗਾਹਕਾਂ ਨੂੰ ਸਾਡੇ ਦਸਤਾਵੇਜ਼ਾਂ ਵਿੱਚ" ਨਿਰਾਸ਼ ਕਰਦਾ ਹੈ। ਕੰਪਨੀ ਦਾਅਵਾ ਕਰਦੀ ਹੈ ਕਿ ਇਸਦੇ 0.1% ਤੋਂ ਘੱਟ ਟ੍ਰੈਫਿਕ ਅਜੇ ਵੀ RC4 ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਮਾਈਕ੍ਰੋਸਾਫਟ ਇਹ ਵੀ ਚਿੰਤਾ ਪ੍ਰਗਟ ਕਰਦਾ ਹੈ ਕਿ RC4 ਨੂੰ ਤੁਰੰਤ ਪੂਰੀ ਤਰ੍ਹਾਂ ਅਯੋਗ ਕਰਨ ਨਾਲ ਮੌਜੂਦਾ ਵਾਤਾਵਰਣਾਂ ਨਾਲ ਅਨੁਕੂਲਤਾ ਸਮੱਸਿਆਵਾਂ ਪੈਦਾ ਹੋ ਸਕਦੀਆਂ ਹਨ।
  • ਮਾਈਕ੍ਰੋਸਾਫਟ ਨੇ ਗਾਹਕਾਂ ਨੂੰ ਸਖ਼ਤ ਚੇਤਾਵਨੀਆਂ ਅਤੇ ਮਾਰਗਦਰਸ਼ਨ ਪ੍ਰਦਾਨ ਕਰਨਾ ਜਾਰੀ ਰੱਖਦੇ ਹੋਏ, ਹੌਲੀ-ਹੌਲੀ RC4 ਸਹਾਇਤਾ ਨੂੰ ਖਤਮ ਕਰਨ ਲਈ ਵਚਨਬੱਧ ਕੀਤਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਮਾਈਕ੍ਰੋਸਾਫਟ ਨੋਟ ਕਰਦਾ ਹੈ ਕਿ ਵਿੰਡੋਜ਼ ਸਰਵਰ 2025 ਵਿੱਚ ਨਵੇਂ AD ਡੋਮੇਨ, ਡਿਫੌਲਟ ਰੂਪ ਵਿੱਚ, RC4 ਐਨਕ੍ਰਿਪਸ਼ਨ ਨੂੰ ਅਯੋਗ ਕਰ ਦੇਣਗੇ।

    • ਸੁਰੱਖਿਆ ਜੋਖਮ ਮੁਲਾਂਕਣ

    • ਹਮਲੇ ਦੀ ਸਤ੍ਹਾ ਅਤੇ ਕੈਸਕੇਡਿੰਗ ਨਤੀਜੇ: ਜਦੋਂ ਸਾਫਟਵੇਅਰ ਵਿਕਰੇਤਾ ਡਿਫੌਲਟ ਤੌਰ 'ਤੇ ਕਮਜ਼ੋਰ ਏਨਕ੍ਰਿਪਸ਼ਨ ਜਾਂ ਕਮਜ਼ੋਰ ਪਾਸਵਰਡ ਨੀਤੀਆਂ ਦੀ ਆਗਿਆ ਦਿੰਦੇ ਹਨ, ਤਾਂ ਉਹ ਹਮਲਾਵਰਾਂ ਨੂੰ ਇੱਕ "ਆਸਾਨ ਚੋਣ" ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ। ਇੱਥੋਂ ਤੱਕ ਕਿ ਸਿਸਟਮ ਪ੍ਰਸ਼ਾਸਕ ਜੋ ਸੁਰੱਖਿਆ-ਜਾਗਰੂਕ ਹਨ, ਉਹ ਵੀ ਅਜਿਹੀਆਂ ਸੰਰਚਨਾਵਾਂ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦੇ ਹਨ ਜੋ RC4 ਦੀ ਆਗਿਆ ਦਿੰਦੀਆਂ ਹਨ ਜਾਂ ਕਮਜ਼ੋਰ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਆਗਿਆ ਦਿੰਦੀਆਂ ਹਨ, ਖਾਸ ਕਰਕੇ ਉਹਨਾਂ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਜਿੱਥੇ ਨਿਰੰਤਰਤਾ ਅਤੇ ਵਿਰਾਸਤੀ ਅਨੁਕੂਲਤਾ ਦੀ ਬਹੁਤ ਜ਼ਿਆਦਾ ਕਦਰ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।
    • ਕਮਜ਼ੋਰੀ ਦੇ ਕਾਰਨਾਮੇ: ਕਰਬਰੋਸਟਿੰਗ ਹਮਲੇ ਅੰਦਾਜ਼ੇ ਵਾਲੇ ਨਹੀਂ ਹਨ; ਉਹ ਜਾਣੇ ਜਾਂਦੇ ਹਨ, ਦਸਤਾਵੇਜ਼ੀ ਤੌਰ 'ਤੇ ਦਰਜ ਕੀਤੇ ਗਏ ਹਨ, ਅਤੇ ਕਈ ਉਲੰਘਣਾ ਦੀਆਂ ਘਟਨਾਵਾਂ ਵਿੱਚ ਸਫਲਤਾਪੂਰਵਕ ਵਰਤੇ ਗਏ ਹਨ। ਇੱਕ ਵਾਰ ਜਦੋਂ ਸੇਵਾ ਖਾਤੇ ਦੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨਾਲ ਸਮਝੌਤਾ ਹੋ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਹਮਲਾਵਰ ਪਾਸੇ ਵੱਲ ਵਧ ਸਕਦੇ ਹਨ, ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨੂੰ ਵਧਾ ਸਕਦੇ ਹਨ, ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਸੰਪਤੀਆਂ ਤੱਕ ਪਹੁੰਚ ਕਰ ਸਕਦੇ ਹਨ। ਸਿਹਤ ਸੰਭਾਲ ਸੈਟਿੰਗਾਂ ਵਿੱਚ, ਇਸ ਵਿੱਚ ਨਿੱਜੀ ਸਿਹਤ ਡੇਟਾ, IoT ਮੈਡੀਕਲ ਡਿਵਾਈਸਾਂ ਅਤੇ ਮਹੱਤਵਪੂਰਨ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਸ਼ਾਮਲ ਹੋ ਸਕਦਾ ਹੈ।
    • ਰੈਗੂਲੇਟਰੀ ਅਤੇ ਟਰੱਸਟ ਪ੍ਰਭਾਵ: ਕਿਉਂਕਿ ਮਾਈਕ੍ਰੋਸਾਫਟ ਬਹੁਤ ਸਾਰੇ ਮਹੱਤਵਪੂਰਨ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਅਤੇ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਡੂੰਘਾਈ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ, ਡਿਫਾਲਟ ਤੌਰ 'ਤੇ ਸੁਰੱਖਿਆ ਨੂੰ ਸੰਰਚਿਤ ਕਰਨ ਵਿੱਚ ਅਸਫਲਤਾਵਾਂ ਆਪਣੇ ਆਪ ਹੀ ਰੱਖਿਆ ਦਾ ਬੋਝ ਉਹਨਾਂ ਸੰਗਠਨਾਂ 'ਤੇ ਤਬਦੀਲ ਕਰ ਦਿੰਦੀਆਂ ਹਨ ਜਿਨ੍ਹਾਂ ਕੋਲ ਅਜਿਹੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ ਮੁਹਾਰਤ, ਸਰੋਤ ਜਾਂ ਦ੍ਰਿਸ਼ਟੀ ਦੀ ਘਾਟ ਹੋ ਸਕਦੀ ਹੈ। ਸਾਖ ਨੂੰ ਨੁਕਸਾਨ ਅਤੇ ਦੇਣਦਾਰੀ ਦਾ ਜੋਖਮ ਕਾਫ਼ੀ ਹੈ।

    ਰੈਗੂਲੇਟਰੀ ਪ੍ਰਭਾਵ

    • ਸੈਨੇਟਰ ਵਾਈਡਨ ਦਾ ਦੋਸ਼ ਉਤਪਾਦ ਦੇਣਦਾਰੀ , ਡਿਫਾਲਟ ਸੁਰੱਖਿਅਤ ਸੈਟਿੰਗਾਂ , ਅਤੇ ਵਿਕਰੇਤਾ ਦੀ ਜ਼ਿੰਮੇਵਾਰੀ ਬਾਰੇ ਮਹੱਤਵਪੂਰਨ ਸਵਾਲ ਉਠਾਉਂਦਾ ਹੈ। ਅਸੁਰੱਖਿਅਤ ਡਿਫਾਲਟਾਂ ਲਈ ਸਾਫਟਵੇਅਰ ਵਿਕਰੇਤਾਵਾਂ ਨੂੰ ਕਿਸ ਹੱਦ ਤੱਕ ਜਵਾਬਦੇਹ ਠਹਿਰਾਇਆ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ?
    • "ਅਨਿਆਂਯੁਕਤ ਜਾਂ ਧੋਖੇਬਾਜ਼ ਕਾਰਵਾਈਆਂ ਜਾਂ ਅਭਿਆਸਾਂ" ਦੀ ਜਾਂਚ ਕਰਨ ਲਈ FTC ਦੇ ਅਧਿਕਾਰ ਵਰਗੇ ਰੈਗੂਲੇਟਰੀ ਟੂਲ ਸਾਫਟਵੇਅਰ ਸੁਰੱਖਿਆ ਅਣਗਹਿਲੀ 'ਤੇ ਲਾਗੂ ਕੀਤੇ ਜਾ ਸਕਦੇ ਹਨ। ਜੇਕਰ Microsoft ਨੂੰ ਲਾਪਰਵਾਹੀ ਪਾਈ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਇਹ ਇਸ ਗੱਲ ਲਈ ਇੱਕ ਮਿਸਾਲ ਕਾਇਮ ਕਰ ਸਕਦਾ ਹੈ ਕਿ ਡਿਫਾਲਟ ਕੌਂਫਿਗਰੇਸ਼ਨ, ਏਨਕ੍ਰਿਪਸ਼ਨ ਮਿਆਰ, ਅਤੇ ਪਾਸਵਰਡ ਜ਼ਰੂਰਤਾਂ ਨੂੰ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਸਾਫਟਵੇਅਰ ਵਿੱਚ ਕਿਵੇਂ ਨਿਯੰਤ੍ਰਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
    • ਇੱਕ ਵਿਆਪਕ ਆਦਰਸ਼ ਮੁੱਦਾ ਵੀ ਹੈ: ਸੁਰੱਖਿਅਤ-ਦੁਆਰਾ-ਡਿਫਾਲਟ ਬਨਾਮ ਸੁਰੱਖਿਅਤ-ਦੁਆਰਾ-ਵਿਕਲਪ । ਵਾਈਡਨ ਦੀ ਸਥਿਤੀ ਤੋਂ ਭਾਵ ਹੈ ਕਿ ਡਿਫਾਲਟ ਸੁਰੱਖਿਆ ਦੇ ਪੱਖ ਤੋਂ ਗਲਤ ਹੋਣੇ ਚਾਹੀਦੇ ਹਨ, ਉੱਚ ਪਾਸਵਰਡ ਤਾਕਤ, ਕਮਜ਼ੋਰ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਐਲਗੋਰਿਦਮ ਦੀ ਬਰਤਰਫੀ, ਅਤੇ ਸੁਰੱਖਿਅਤ ਸੰਰਚਨਾਵਾਂ ਨੂੰ ਬੇਕ ਇਨ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ - ਵਿਕਲਪਿਕ ਟੌਗਲਾਂ ਵਜੋਂ ਨਹੀਂ।
  • ਸੈਨੇਟਰ ਵਾਈਡਨ ਦਾ FTC ਨੂੰ ਲਿਖਿਆ ਪੱਤਰ ਸਾਈਬਰ ਸੁਰੱਖਿਆ, ਨਿਯਮ ਅਤੇ ਕਾਰਪੋਰੇਟ ਜਵਾਬਦੇਹੀ ਦੇ ਸੰਗਮ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ। ਅਸੈਂਸ਼ਨ ਉਲੰਘਣਾ ਇੱਕ ਘਟਨਾ ਤੋਂ ਵੱਧ ਹੈ; ਇਹ ਇੱਕ ਕੇਸ ਸਟੱਡੀ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ ਕਿ ਕਿਵੇਂ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੇ ਜਾਂਦੇ ਸਾਫਟਵੇਅਰ ਡਿਫਾਲਟ, ਕਮਜ਼ੋਰ ਏਨਕ੍ਰਿਪਸ਼ਨ ਮਿਆਰ, ਅਤੇ ਵਿਰਾਸਤੀ ਅਨੁਕੂਲਤਾ ਮਹੱਤਵਪੂਰਨ ਬੁਨਿਆਦੀ ਢਾਂਚੇ 'ਤੇ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਹਮਲਿਆਂ ਨੂੰ ਤੇਜ਼ ਕਰਨ ਲਈ ਇਕੱਠੇ ਹੋ ਸਕਦੇ ਹਨ।

    • ਸੈਨੇਟਰ ਵਾਈਡਨ ਦਾ FTC ਨੂੰ ਲਿਖਿਆ ਪੱਤਰ ਸਾਈਬਰ ਸੁਰੱਖਿਆ, ਨਿਯਮ ਅਤੇ ਕਾਰਪੋਰੇਟ ਜਵਾਬਦੇਹੀ ਦੇ ਸੰਗਮ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ। ਅਸੈਂਸ਼ਨ ਉਲੰਘਣਾ ਇੱਕ ਘਟਨਾ ਤੋਂ ਵੱਧ ਹੈ; ਇਹ ਇੱਕ ਕੇਸ ਸਟੱਡੀ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ ਕਿ ਕਿਵੇਂ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੇ ਜਾਂਦੇ ਸਾਫਟਵੇਅਰ ਡਿਫਾਲਟ, ਕਮਜ਼ੋਰ ਏਨਕ੍ਰਿਪਸ਼ਨ ਮਿਆਰ, ਅਤੇ ਵਿਰਾਸਤੀ ਅਨੁਕੂਲਤਾ ਮਹੱਤਵਪੂਰਨ ਬੁਨਿਆਦੀ ਢਾਂਚੇ 'ਤੇ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਹਮਲਿਆਂ ਨੂੰ ਤੇਜ਼ ਕਰਨ ਲਈ ਇਕੱਠੇ ਹੋ ਸਕਦੇ ਹਨ।

    ਜਿਵੇਂ ਕਿ ਮਾਈਕ੍ਰੋਸਾਫਟ ਅਸੁਰੱਖਿਅਤ ਸਾਈਫਰਾਂ ਨੂੰ ਪੜਾਅਵਾਰ ਖਤਮ ਕਰਨਾ ਅਤੇ ਮਾਰਗਦਰਸ਼ਨ ਪ੍ਰਕਾਸ਼ਿਤ ਕਰਨਾ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ, ਕੇਂਦਰੀ ਸਵਾਲ ਇਹ ਰਹਿੰਦਾ ਹੈ ਕਿ ਕੀ ਰੈਗੂਲੇਟਰੀ ਵਿਧੀਆਂ ਵਧੇਰੇ ਤੇਜ਼ੀ ਨਾਲ ਬਦਲਾਅ ਦੀ ਮੰਗ ਕਰਨਗੀਆਂ, ਬਿਹਤਰ ਡਿਫਾਲਟ ਲਾਗੂ ਕਰਨਗੀਆਂ, ਅਤੇ ਜੋਖਮ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣ ਲਈ ਵਿਕਰੇਤਾਵਾਂ ਨੂੰ ਜ਼ਿੰਮੇਵਾਰ ਠਹਿਰਾਉਣਗੀਆਂ। ਇਹ ਮਾਮਲਾ ਧਿਆਨ ਨਾਲ ਜਾਂਚ ਦੇ ਯੋਗ ਹੈ - ਨਾ ਸਿਰਫ਼ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਤੋਂ, ਸਗੋਂ ਰੈਗੂਲੇਟਰਾਂ, ਐਂਟਰਪ੍ਰਾਈਜ਼ ਗਾਹਕਾਂ ਅਤੇ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਜਨਤਾ ਤੋਂ।

    ਲੋਡ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ...