மல்டி-லைசென்ஸ் தள்ளுபடி மேற்கோள்
கணினி பாதுகாப்பு மைக்ரோசாப்ட் ரான்சம்வேர் பாதிப்புகள் குறித்து செனட்டர்...

மைக்ரோசாப்ட் ரான்சம்வேர் பாதிப்புகள் குறித்து செனட்டர் வைடன் FTC விசாரணையைத் தள்ளுகிறார்

கணினி பாதுகாப்பு இல் Sandos இல்
இதற்கு மொழிபெயர்க்கவும்:

அமெரிக்க செனட்டர் ரான் வைடன், சுகாதார வழங்குநரான அசென்ஷன் மீதான ரான்சம்வேர் தாக்குதலைத் தொடர்ந்து, "மொத்த சைபர் பாதுகாப்பு அலட்சியம்" என்று அவர் விவரிக்கும் மைக்ரோசாப்ட் மீது விசாரணை நடத்துமாறு பெடரல் டிரேட் கமிஷனை (FTC) முறையாகக் கோரியுள்ளார். மைக்ரோசாப்டின் இயல்புநிலை மென்பொருள் உள்ளமைவுகள் முக்கியமான உள்கட்டமைப்பு நெட்வொர்க்குகளை எவ்வாறு தாக்குதலுக்கு உள்ளாக்கியதாகக் கூறப்படுகிறது என்பதில் செனட்டரின் கவலை மையமாகக் கொண்டுள்ளது.

தூண்டுதல்: அசென்ஷன் மீறல் மற்றும் தொழில்நுட்ப பாதிப்புகள்

  • சம்பவம் பற்றிய கண்ணோட்டம்: கடந்த ஆண்டு, ஒரு பெரிய சுகாதார அமைப்பான அசென்ஷன், பிளாக் பாஸ்தா எனப்படும் குழுவால் நடத்தப்பட்ட ரான்சம்வேர் தாக்குதலால் பாதிக்கப்பட்டது, இது கிட்டத்தட்ட 5.6 மில்லியன் நபர்களைப் பாதித்தது. இந்த மீறலில் தரவு திருட்டு மற்றும் மின்னணு சுகாதார பதிவுகளில் இடையூறு ஏற்பட்டது.
  • ஆரம்ப வெக்டர்: அசென்ஷனில் பணிபுரியும் ஒரு ஒப்பந்ததாரர் மைக்ரோசாப்டின் பிங் தேடுபொறி வழியாகக் கண்டறியப்பட்ட ஒரு தீங்கிழைக்கும் இணைப்பைக் கிளிக் செய்தார். இந்தக் கிளிக், மைக்ரோசாப்ட் மென்பொருளில் பாதுகாப்பற்ற இயல்புநிலைகளைப் பயன்படுத்திக் கொள்ள தாக்குபவர்களை அனுமதிக்கும் சங்கிலி எதிர்வினைகளைத் தூண்டியது.
  • இயல்புநிலை மென்பொருள் பலவீனம்: செனட்டரின் கடிதத்தின்படி, மைக்ரோசாப்டின் மென்பொருளில் ஆபத்தான பாதுகாப்பற்ற இயல்புநிலை அமைப்புகள் உள்ளன. கெர்பரோஸ் அங்கீகார நெறிமுறைக்குள் RC4 குறியாக்கத்திற்கான ஆதரவு ஒரு முக்கிய பிரச்சினை. RC4 என்பது கிரிப்டோகிராஃபிக் ஆராய்ச்சியால் பாதுகாப்பற்றதாகக் கருதப்படும் ஒரு மரபு மறைக்குறியீடு ஆகும். பல நவீன அமைப்புகளில் இது நிராகரிக்கப்பட்டாலும், மைக்ரோசாப்டின் விஷயத்தில் இது இயல்புநிலையாகவே இயக்கப்பட்டது. இது தாக்குபவர்கள் கெர்பரோஸ்டிங் எனப்படும் ஒரு நுட்பத்தைப் பயன்படுத்தி ஆக்டிவ் டைரக்டரியிலிருந்து சேவை கணக்கு நற்சான்றிதழ்களைப் பிரித்தெடுக்க அனுமதித்தது.

தொழில்நுட்ப விவரக்குறிப்புகள்: கெர்பரோஸ்டிங், இயல்புநிலை சைஃபர்கள் மற்றும் சுரண்டக்கூடிய பலவீனங்கள்

  • கெர்பரோஸ்டிங் விளக்கம்: ஆக்டிவ் டைரக்டரி சூழலில், சர்வீஸ் பிரின்சிபல் நேம்ஸ் (SPNகள்) உள்ள சர்வீஸ் கணக்குகள் கெர்பரோஸ் டிக்கெட்டுகளைக் கோருகின்றன. அந்த டிக்கெட்டுகள் RC4 போன்ற பலவீனமான சைபர்களைப் பயன்படுத்தி என்க்ரிப்ட் செய்யப்பட்டிருந்தால், தாக்குபவர் டிக்கெட்டைப் பெறலாம், பின்னர் சேவை கணக்கின் எளிய உரை சான்றுகள் அல்லது ரகசியங்களை மீட்டெடுக்க ஆஃப்லைன் தாக்குதல்களை (எ.கா., ப்ரூட் ஃபோர்ஸ் அல்லது கிரிப்டனாலிசிஸ்) செய்யலாம். இந்த வழக்கில், வைடனின் அலுவலகம் இந்த RC4-பாதுகாக்கப்பட்ட டிக்கெட்டுகளை மீறல் பயன்படுத்தியதாகக் கூறுகிறது.
  • RC4 விஷயங்கள்: 1980களின் பிற்பகுதியில் உருவாக்கப்பட்ட ஒரு ஸ்ட்ரீம் சைஃபரான RC4 (Rivest Cipher 4), பல தசாப்தங்களாக பாதிப்புகளைக் கொண்டிருப்பதாக அறியப்படுகிறது - அதன் கீஸ்ட்ரீமில் சார்புகள் மற்றும் எளிய உரை மீட்டெடுப்பிற்கு எளிதில் பாதிப்பு. தரநிலை அமைப்புகள் (எ.கா., IETF) 2010களின் நடுப்பகுதியில் இருந்து பாதுகாப்பான சேனல்களில், குறிப்பாக TLS இல், அந்தக் குறைபாடுகள் காரணமாக அதன் பயன்பாட்டைத் தடை செய்துள்ளன. மைக்ரோசாப்ட் இன்னும் கெர்பரோஸில் RC4 க்கான ஆதரவை முன்னிருப்பாகச் சேர்த்துள்ளது, இது பலவீனமான கடவுச்சொற்கள் பயன்பாட்டில் இருக்கும்போது வாடிக்கையாளர்களை "தேவையில்லாமல் வெளிப்படுத்துகிறது" என்று வைடன் கூறுகிறார்.
  • கடவுச்சொல் வலிமை & சேவை கணக்குகள்: சேவை கணக்குகளுக்கு மைக்ரோசாப்ட் வலுவான கடவுச்சொல் கொள்கைகளை (எ.கா., குறைந்தபட்சம் 14 எழுத்துகள், சீரற்ற முறையில் உருவாக்கப்பட்ட கடவுச்சொற்கள்) செயல்படுத்துவதில்லை என்றும், SPNகள் ஈடுபடும்போது கெர்பரோஸ் சேவை டிக்கெட் குறியாக்கத்திற்கு வலுவான குறியாக்க மறைக்குறியீடுகளை (AES-128 அல்லது AES-256) பயன்படுத்த வேண்டிய அவசியமில்லை என்றும் செனட்டர் மேலும் எடுத்துக்காட்டுகிறார். பலவீனமான இயல்புநிலை குறியாக்கத்துடன் இணைந்து, இந்த பலவீனமான கொள்கைகள், நற்சான்றிதழ் சமரசத்தின் அபாயத்தை அதிகரிக்கின்றன.
  • குறைப்பு நடவடிக்கைகள் மைக்ரோசாப்ட் பரிந்துரைக்கிறது: வைடனின் கடிதத்திற்கு பதிலளிக்கும் விதமாக, மைக்ரோசாப்ட் வழிகாட்டுதலை வெளியிட்டு, RC4 பயன்பாட்டை படிப்படியாக நிறுத்த திட்டமிட்டுள்ளதாகக் கூறியுள்ளது. குழு நிர்வகிக்கப்பட்ட சேவை கணக்குகள் (gMSA) அல்லது பிரதிநிதித்துவப்படுத்தப்பட்ட நிர்வகிக்கப்பட்ட சேவை கணக்குகள் (dMSA) பயன்பாடு, SPNகளுடன் கணக்குகளைத் தணிக்கை செய்தல், டிக்கெட் குறியாக்க வழிமுறைகளைப் புதுப்பித்தல் மற்றும் சலுகை பெற்ற கணக்குகளுக்கு வலுவான, சீரற்ற முறையில் உருவாக்கப்பட்ட கடவுச்சொற்களை அமைத்தல் போன்ற படிகளையும் இது கோடிட்டுக் காட்டியது. விண்டோஸ் சர்வர் 2025 ஐப் பயன்படுத்தும் புதிய ஆக்டிவ் டைரக்டரி டொமைன்கள் 2026 ஆம் ஆண்டின் முதல் காலாண்டில் தொடங்கி இயல்பாகவே RC4 முடக்கப்படும் என்று மைக்ரோசாப்ட் மேலும் வெளிப்படுத்தியது.

    • ஒழுங்குமுறை மற்றும் கொள்கை குற்றச்சாட்டுகள்

    • செனட்டர் வைடனின் விமர்சனம் ஒரு தனித்துவமான மீறலுக்கு அப்பாற்பட்டது. FTC தலைவர் ஆண்ட்ரூ பெர்குசனுக்கு அவர் எழுதிய நான்கு பக்க கடிதத்தில், மைக்ரோசாப்ட் ஒரு முறையான பிரச்சனையைக் கொண்டிருப்பதாக அவர் சித்தரிக்கிறார்: நிறுவன இயக்க முறைமைகள் மீதான அதன் ஏகபோகத்தால் பெருக்கப்பட்ட "அலட்சியமான சைபர் பாதுகாப்பு கலாச்சாரம்". வைடன் கூர்மையான உருவக மொழியைப் பயன்படுத்துகிறார், மைக்ரோசாப்டை "பாதிக்கப்பட்டவர்களுக்கு தீயணைப்பு சேவைகளை விற்கும் ஒரு தீக்குளிப்பவருக்கு" ஒத்ததாகக் கூறுகிறார்.
    • இந்தக் கடிதம், மைக்ரோசாப்டின் இயல்புநிலை உள்ளமைவுகள் (அதாவது, மரபுரிமையை இயக்குதல், பாதுகாப்பற்ற குறியாக்கத்தை இயல்புநிலையாக செயல்படுத்துதல், மென்மையான கடவுச்சொல் கொள்கைகள்) காலப்போக்கில் பல நிறுவனங்களில் - குறிப்பாக சுகாதாரப் பராமரிப்பு மற்றும் முக்கியமான உள்கட்டமைப்பில் உள்ளவற்றில் - அடிப்படைப் பாதுகாப்புகளை பலவீனப்படுத்தியுள்ளன என்று வலியுறுத்துகிறது. இயல்புநிலைகள் மற்றும் உள்ளமைவில் அலட்சியம் என்பது ஒரு ஐடி பிரச்சினை மட்டுமல்ல, ஒரு தேசிய பாதுகாப்பு கவலையாகும் என்பதே பரிந்துரை.

    மைக்ரோசாப்டின் பதில்

    • RC4 பழமையானது என்பதையும், "எங்கள் மென்பொருளை நாங்கள் வடிவமைக்கும் விதத்திலும் வாடிக்கையாளர்களுக்கான ஆவணங்களிலும்" அதன் பயன்பாட்டை மைக்ரோசாப்ட் ஊக்கப்படுத்துவதில்லை என்பதையும் ஒப்புக்கொள்கிறேன். அதன் போக்குவரத்தில் 0.1% க்கும் குறைவானவர்கள் மட்டுமே இன்னும் RC4 ஐப் பயன்படுத்துகிறார்கள் என்று நிறுவனம் கூறுகிறது. இருப்பினும், RC4 ஐ உடனடியாக முழுமையாக முடக்குவது ஏற்கனவே உள்ள சூழல்களுடன் பொருந்தக்கூடிய சிக்கல்களை ஏற்படுத்தக்கூடும் என்ற கவலையையும் மைக்ரோசாப்ட் வெளிப்படுத்துகிறது.
  • வாடிக்கையாளர்களுக்கு வலுவான எச்சரிக்கைகள் மற்றும் வழிகாட்டுதல்களைத் தொடர்ந்து வழங்கும் அதே வேளையில், RC4 ஆதரவை படிப்படியாக நீக்குவதற்கு Microsoft உறுதிபூண்டுள்ளது. கூடுதலாக, Windows Server 2025 இல் உள்ள புதிய AD டொமைன்கள், இயல்பாகவே, RC4 குறியாக்கத்தை முடக்கும் என்று Microsoft குறிப்பிடுகிறது.

    • பாதுகாப்பு இடர் மதிப்பீடு

    • தாக்குதல் மேற்பரப்பு மற்றும் அடுக்கு விளைவுகள்: மென்பொருள் விற்பனையாளர்கள் இயல்புநிலையாக பலவீனமான குறியாக்கத்தை அல்லது பலவீனமான கடவுச்சொல் கொள்கைகளை அனுமதிக்கும்போது, அவர்கள் தாக்குபவர்களுக்கு "எளிதான தேர்வை" வழங்குகிறார்கள். பாதுகாப்பு அறிந்த கணினி நிர்வாகிகள் கூட RC4 ஐ அனுமதிக்கும் அல்லது பலவீனமான சான்றுகளை அனுமதிக்கும் உள்ளமைவுகளைப் பெறலாம், குறிப்பாக தொடர்ச்சி மற்றும் மரபு இணக்கத்தன்மை பெரிதும் மதிக்கப்படும் சூழல்களில்.
    • பாதிப்பு சுரண்டல்கள்: கெர்பரோஸ்டிங் தாக்குதல்கள் ஊகமானவை அல்ல; அவை அறியப்பட்டவை, ஆவணப்படுத்தப்பட்டவை மற்றும் பல மீறல் சம்பவங்களில் வெற்றிகரமாகப் பயன்படுத்தப்பட்டுள்ளன. சேவை கணக்கு நற்சான்றிதழ்கள் சமரசம் செய்யப்பட்டவுடன், தாக்குபவர்கள் பக்கவாட்டில் நகரலாம், சலுகைகளை அதிகரிக்கலாம் மற்றும் முக்கியமான சொத்துக்களை அணுகலாம். சுகாதார அமைப்புகளில், தனிப்பட்ட சுகாதாரத் தரவு, IoT மருத்துவ சாதனங்கள் மற்றும் முக்கியமான உள்கட்டமைப்பு ஆகியவை இதில் அடங்கும்.
    • ஒழுங்குமுறை மற்றும் நம்பிக்கை தாக்கங்கள்: மைக்ரோசாப்ட் பல முக்கியமான உள்கட்டமைப்பு மற்றும் நிறுவன சூழல்களில் ஆழமாகப் பதிந்திருப்பதால், இயல்பாகவே பாதுகாப்பை உள்ளமைப்பதில் ஏற்படும் தோல்விகள், அத்தகைய பலவீனங்களைக் கண்டறிய நிபுணத்துவம், வளங்கள் அல்லது தெரிவுநிலை இல்லாத நிறுவனங்களுக்கு பாதுகாப்பின் சுமையை தானாகவே மாற்றுகின்றன. நற்பெயர் சேதம் மற்றும் பொறுப்பு ஆபத்து கணிசமானது.

    ஒழுங்குமுறை தாக்கங்கள்

    • செனட்டர் வைடனின் குற்றச்சாட்டு, தயாரிப்பு பொறுப்பு , இயல்புநிலை பாதுகாப்பு அமைப்புகள் மற்றும் விற்பனையாளர் பொறுப்பு பற்றிய முக்கியமான கேள்விகளை எழுப்புகிறது. பாதுகாப்பற்ற இயல்புநிலைகளுக்கு மென்பொருள் விற்பனையாளர்கள் எந்த அளவிற்கு பொறுப்பேற்க வேண்டும்?
    • "நியாயமற்ற அல்லது ஏமாற்றும் செயல்கள் அல்லது நடைமுறைகளை" விசாரிக்க FTC இன் அதிகாரம் போன்ற ஒழுங்குமுறை கருவிகள் மென்பொருள் பாதுகாப்பு புறக்கணிப்புக்கு பயன்படுத்தப்படலாம். மைக்ரோசாப்ட் அலட்சியமாக இருந்தால், பரவலாகப் பயன்படுத்தப்படும் மென்பொருளில் இயல்புநிலை உள்ளமைவுகள், குறியாக்க தரநிலைகள் மற்றும் கடவுச்சொல் தேவைகள் எவ்வாறு கட்டுப்படுத்தப்படுகின்றன என்பதற்கு இது ஒரு முன்னுதாரணத்தை அமைக்கும்.
    • மேலும் ஒரு பரந்த நெறிமுறை சிக்கலும் உள்ளது: secure-by-default vs. secure-by-option . வைடனின் நிலைப்பாடு, இயல்புநிலைகள் பாதுகாப்பின் பக்கத்தில் தவறாக இருக்க வேண்டும் என்பதைக் குறிக்கிறது, அதிக கடவுச்சொல் வலிமை, பலவீனமான கிரிப்டோகிராஃபிக் வழிமுறைகளின் நீக்கம் மற்றும் பாதுகாப்பான உள்ளமைவுகள் ஆகியவை விருப்ப நிலைமாற்றங்களாக அல்ல.
  • FTC-க்கு செனட்டர் வைடன் எழுதிய கடிதம், சைபர் பாதுகாப்பு, ஒழுங்குமுறை மற்றும் பெருநிறுவன பொறுப்புக்கூறல் ஆகியவற்றின் சங்கமத்தை எடுத்துக்காட்டுகிறது. அசென்ஷன் மீறல் என்பது ஒரு சம்பவத்தை விட அதிகம்; பரவலாகப் பயன்படுத்தப்படும் மென்பொருள் இயல்புநிலைகள், பலவீனமான குறியாக்கத் தரநிலைகள் மற்றும் மரபு இணக்கத்தன்மை ஆகியவை எவ்வாறு இணைந்து முக்கியமான உள்கட்டமைப்பின் மீது பெரிய அளவிலான தாக்குதல்களைத் தூண்டக்கூடும் என்பதற்கான ஒரு வழக்கு ஆய்வாக இது செயல்படுகிறது.

    • FTC-க்கு செனட்டர் வைடன் எழுதிய கடிதம், சைபர் பாதுகாப்பு, ஒழுங்குமுறை மற்றும் பெருநிறுவன பொறுப்புக்கூறல் ஆகியவற்றின் சங்கமத்தை எடுத்துக்காட்டுகிறது. அசென்ஷன் மீறல் என்பது ஒரு சம்பவத்தை விட அதிகம்; பரவலாகப் பயன்படுத்தப்படும் மென்பொருள் இயல்புநிலைகள், பலவீனமான குறியாக்கத் தரநிலைகள் மற்றும் மரபு இணக்கத்தன்மை ஆகியவை எவ்வாறு இணைந்து முக்கியமான உள்கட்டமைப்பின் மீது பெரிய அளவிலான தாக்குதல்களைத் தூண்டக்கூடும் என்பதற்கான ஒரு வழக்கு ஆய்வாக இது செயல்படுகிறது.

    மைக்ரோசாப்ட் பாதுகாப்பற்ற சைபர்களை படிப்படியாக நீக்கி வழிகாட்டுதலை வெளியிடத் தொடங்கியுள்ள நிலையில், ஒழுங்குமுறை வழிமுறைகள் விரைவான மாற்றத்தைக் கோருமா, சிறந்த தவறுகளைச் செயல்படுத்துமா, ஆபத்தை செயல்படுத்துவதற்கு விற்பனையாளர்களைப் பொறுப்பேற்கச் செய்யுமா என்பது மையக் கேள்வியாகவே உள்ளது. இந்த விஷயம் பாதுகாப்பு ஆராய்ச்சியாளர்களிடமிருந்து மட்டுமல்ல, கட்டுப்பாட்டாளர்கள், நிறுவன வாடிக்கையாளர்கள் மற்றும் பொதுமக்களிடமிருந்தும் நெருக்கமான ஆய்வுக்கு உரியது.

    ஏற்றுகிறது...