Yorum Roger Cressey, iki ABD Başkanına bilgisayar güvenliği ve terörle mücadele kıdemli danışmanı olarak hizmet verdi ve şu anda Microsoft güvenlik vakaları nedeniyle “siyasi anevrizma” yaşayacağından korkuyor.
Sadece son haftalarda Microsoft, saldırganların SharePoint’i sıfır gün olarak içeren birinden sömürdüğü haberi ile birlikte iki önemli güvenlik açığı ortaya koydu. İkinci kusur, henüz sömürü altında olmasa da, her ikisinin de favorilerinden biri olan Exchange Server’ı içerir. Rusça VE Çin casusları İçin yıl.
Çin’in Microsoft ürünlerine aşina olması onları zaten açıyor
Windows devi değişim hatasını açıkladı Geçen Çarşamba, bir 4 trilyon dolar dolar.
Clinton ve Bush yönetimlerinde görev yapan Roger Cressey, ona “4 trilyon dolarlık bir canavar” demeyi tercih ediyor.
“Ve ulusal güvenlik açısından, bu gerçekten beni rahatsız ediyor,” dedi şimdi Liberty Group Ventures’ın ortağı Cressey Kayıt.
“Çinliler çok iyi hazırlanmış ve Microsoft ürünleri üzerinde konumlandırılmıştır. Düşmanlık etkinliğiÇinli aktörlerin kritik altyapımızı Microsoft ürünleri aracılığıyla iki nedenden dolayı hedeflediğinden eminiz. “Dedi. Bir: Bir: Bir: Bir: [Microsoft products] Dijital ekosistemimizin her yerinde. Ve ikisi: o kadar savunmasızlar ki, Çinli aşinalıkları zaten açık hale getiriyor. Buradaki siyasi anevrizma bana burada veriyor “.
Beyaz Saray’da birkaç yıl geçirmeden önce Cressey savunma departmanlarında ve eyalette görev yaptı. 2001 yılından bu yana özel sektörde terörle mücadele ve BT güvenlik danışmanı profesörü olarak çalışmıştır.
Hükümetin milyarlarca Microsoft ürününü harcamaya devam ettiğini kabul ederek Cressey, “Bu, Microsoft’un güvenliği ciddi şekilde almayan on yıllık bir sürecinin son bölümü.” Dedi. Diyerek şöyle devam etti: “Hükümet tarafından bir Microsoft sözleşmesinin büyük bir duyurusu olduğunda, dünyanın en mutlu insanlar Redmond’da birincisi ve ikincisi Pekin’de.”
Microsoft bu hikaye hakkında yorum yapmayı reddetti, ancak Google Cloud’un danışmanlık çalışmalarında bir Cresey müşterisi olduğunu vurguladı.
Marmot Günü … ama ulusal güvenlik için etkileri ile
Cressey, Microsoft’un kötü güvenlik kaydının ulusal güvenlik üzerinde etkileri olduğunu vurgulayan ilk kişi değil. Her büyük ihlalden sonra doldurmayı başarırlar … ve sonra Hiçbir şey değişmez.
Beyaz Saray’ın BT politikasının eski bir yönetmeni olan AJ Grotto Ulusal Güvenlik Sorunu Ve en azından güneş rüzgarlarının hock’ına geri döndüklerini söyledi.
Crowdstrike Kıdemli Kıdemli Başkan Yardımcısı Adam Meyers rakibinin dedi Kayıt aynı şey ve karşılaştırıldığında Microsoft’un Mafya’ya Hükümet Teknolojisi Üzerine Tuhaflığı Redmond’un Ocak 2024’te kabul edilmesinden kısa bir süre sonra, Rusya’nın karşılama ayının bir kez daha sahip olduğu ağına bölünmüş.
Haziran 2024’te ABD yasa koyucuları Microsoft Başkanı Brad Smith Microsoft’un bir dizi atlamasını sağlayan bir ulusal güvenlik raporu üzerine Kongre seçmeleri sırasında Çin’deki şirketinin faaliyeti hakkında “önlenebilir hatalar. “
Bu hatalar soruşturmayı tespit etti, Pekin tarafından desteklenen siberlere izin verdi hırsızlık yapmak Yüksek rütbeli ABD hükümet yetkililerinin Exchange Microsoft’un çevrimiçi posta kutularından on binlerce e-posta.
Ancak o zaman Smith, en azından Çin’de hukukun üstünlüğünün üzerinde olduğunu iddia eden Microsoft’u savundu.
Çin’deki ulusal istihbarat yasaları, orada faaliyet gösteren şirketleri hükümet için snnooping hizmetleri sunmaya zorlamak veya baskıya basarsanız sahip kodunu teslim etmeye zorlamak için kullanılabilir. Ancak Smith, Microsoft’un buna saygı duymaması gerektiğini söyledi.
Hükümet, giderek daha büyük sözleşmelerle ihmal ettiği için Microsoft’u ödüllendirmeyi durdurmadıkça bu döngüden asla kaçmayacak
Daha yakın zamanlarda, SharePoint saldırılarını takiben, Sık sık Microsoft eleştirmeni Ve Amerikalı senatör Ron Wyden (D-OR) bize “devlet kurumları sadece güvenlik konusunda endişelenmekle kalmayıp, ürünlerinde kusurlarla yüzleşmek için premium bilgisayar güvenlik hizmetleri satarak milyarlarca dolar kazanan bir şirkete bağımlı hale geldi” dedi.
Amerikan nükleer silahlarını koruyan Ulusal Nükleer Güvenlik İdaresi (NNSA) dahil olmak üzere ABD Enerji Bakanlığı 400’den fazla kurban Bir Microsoft ürününün bu daha yeni kitlesel sömürüsünde.
Neden bu şirketin ulusal güvenlik altyapımızda bu kadar önemli temas noktalarına sahip olmasına izin veriyoruz?
Wyden, “Microsoft’un ihmalinden kaynaklanan her hack, Microsoft’un bilgisayar güvenlik hizmetleri için kamu harcamalarında bir artışa neden oluyor.” Diyerek şöyle devam etti: “Microsoft’u artan sözleşmelerle ihmal ettiği için ödüllendirmeyi bırakmadıkça hükümet asla bu döngüden kaçmayacak.”
Washington veya Microsoft’un değiştiğine dair bir gösterge yok.
“Microsoft beklentilerimiz söz konusu olduğunda delilik tanımını yaşıyoruz,” dedi Cressey, “Çılgınlık aynı şeyi tekrar tekrar yapıyor ve farklı sonuçlar bekliyor”.
Microsoft ürünleri ile Çin’in derin aşinası
Cressey’e göre, Microsoft ürünlerindeki güvenlik delikleri, Redmond’un yapacağı tek risk değil: Çin’deki varlığı acıtıyor.
Raporlara göre, “Microsoft Security’nin herhangi bir üyesi, Çinli mühendislerin hükümetimiz ve bulut altyapılarımızla ilgili herhangi bir şeye dokunmasının mantıklı olduğunu düşünüyor” dedi. açıklığa kavuşmuş Microsoft yıllarca SharePoint’i desteklemek için Çin merkezli bir mühendislik ekibi kullandı.
Geçen ay, benzer bir teklif tarih Microsoft’un, on yıl boyunca ABD’de bulunan “dijital eskortların” gözetimi ile Savunma Bakanlığı’nın bulut sistemlerini korumak için Çinli çalışanlara güventiğini söyledi.
Cressey, “Yaşamak için terörizme karşı yaparken, Pakistan ile El Kaide için bir sığınak olarak bu büyük problemimiz vardı.” Dedi. Diyerek şöyle devam etti: “Pakistanlı’nın El Kaide varlığına karşı önemli bir şey yapamadığını ya da istemediğini söyledik.”
Microsoft şu anda Pakistan’da bilgisayar güvenliğinde bu eşdeğer
“Microsoft’un şu anda bilgisayar güvenliğinde Pakistan’da bu eşdeğer olduğunu hissediyorum: gerçekten fark yaratabilecek eylemleri gerçekleştiremiyorlar ya da istemiyorlar.”
“Neden, bu aynı tür uygulamalara liderlik eden başka bir şirket olsaydı, Fury grafiklerin dışına çıkacaktı ve insanlar bu ürünün ve bu şirketin neden ulusal güvenlik altyapımızda bu kadar önemli temas noktalarına sahip olmasına izin verdiğimizi bilmek isteyecekti?”
Bunun nedenleri, Cressey ve diğerlerine göre, Microsoft’un satışlarda gerçekten iyi olduğunu ve hükümetin maliyetlere dikkat ettiğini ve bu da teklifin teklifini aktarmayı zorlaştırmasını içeriyor. “Ücretsiz” Güvenlik Ürünleri ve Hizmetleri (sınırlı bir süre için), bu anlaşmaya rağmen federal müşterileri engeller.
“Microsoft Defender’ı ücretsiz olarak verdiğinizde, bu, Microsoft altyapısına kimyasal olarak bağımlı olmak için ağ geçidi ilacıdır.” Dedi.
Trump, Microsoft’u sorumlu olarak görecek mi?
Cressey, Trump yönetiminin, hükümet sözleşmelerine “alışılmadık” yaklaşımı ile Microsoft gibi şirketlerin güvenlik başarısızlıklarından sorumlu olduğunu düşünmesini umuyor “.
Çarşamba, Senato İstihbarat Komitesi Başkanı Tom Cotton (R-AR) Bir mektup gönderdi [PDF] Savunma Sekreteri Pete Hegseth için, Savunma Bakanlığı sistemlerine erişmelerini yasaklamasını teşvik ediyor.
Pamuk ayrıca Hegseth’in Çinli mühendislerin DOD sistemlerine erişimini ortadan kaldırmak için “devam eden eylemleri” övdü ve sözleşmelerdeki ve DoD yazılımındaki “Microsoft’un Çin’deki iş akımları” ile ilgili güvenlik açıkları hakkında bir brifing istedi.
Cressey, “Microsoft’tan kurtulmamız gerektiğini söylemiyorum, Microsoft’un yaptığı gibi daha iyi olması gerektiğini söylüyorum.” Dedi. “Sonunda, bir ulus olarak acı çekiyoruz çünkü güvendiğimiz bir numaralı yazılım şirketi, bir zorunluluk olarak değil, bir rahatsızlık olarak güvenlikle başa çıkmaya devam ediyor.”
“Kesinlikle doğuda güneş doğduğunda, yakında Microsoft kısa güvenlik tarafından başka bir hikaye olacak” dedi Kayıt Çarşamba-prima’da Microsoft ve CISA’nın Exchange Server’ın hibrit dağıtımlarında başka bir yüksek set hatasında alarm çaldığı bir röportaj sırasında.
Bu yüzden yeni CVE hakkında ne söylediğini görmek için Perşembe sabahı Cressey’de tekrar gerildik.
“Asla bitmez,” dedi. “Federal hükümetin seksen yüzde beşi Microsoft 365 kullanıyor ve bu, Microsoft’un eksikliklerinin ulusal güvenlik için bu kadar yüksek bir riske sahip olmasının son örneğidir. Bu, yönetimin Microsoft’a yeni ödülleri duraklatması ve Microsoft’un gelecekteki tedarik için kabul edilebilir olmadan önce tam bir güvenlik işitme yapmasını istemek.”
Belki de dönüm noktasıdır. Ama nefesimizi tutmuyoruz. ®