Конгресът разпитва изпълнителния директор на Microsoft Брад Смит след „серия“ от грешки в сигурността

При този хак агенти на китайското Министерство на държавната сигурност, заподозрени миналата година, са генерирали цифрови ключове, използвайки инструмент, който им позволява да се представят за всеки съществуващ клиент на Microsoft. Използвайки този инструмент, те се представиха за 22 организации, включително Държавния департамент и Министерството на търговията на САЩ, и хакнаха имейлите на министъра на търговията Джина Раймондо и имейлите на други.

Събитието предизвика най-голямата критика от десетилетия на могъщата федерална компания и накара конкурентни компании и някои власти да настояват за по-малко разчитане на правителството на нейните технологии. Двама сенатори книги до Пентагона миналия месец, задавайки въпрос защо агенцията планира да подобри некласифицираната технологична сигурност на Министерството на отбраната чрез по-скъпи лицензи на Microsoft, а не чрез алтернативни доставчици.

„Киберсигурността трябва да бъде основна характеристика на софтуера, а не първокласна функция, която компаниите продават на богати държавни и корпоративни клиенти“, пишат сенаторите Ерик Шмид (R-Mo.) и Рон Уайдън (D-Oregon). „С покупателната си способност стратегиите и стандартите на Министерството на отбраната имат силата да оформят корпоративни стратегии, които водят до по-устойчиви услуги за киберсигурност.“

Всяка сериозна промяна в разходите на изпълнителната власт може да отнеме години, но лидерите на DHS казват, че има планове за добавяне на предпазни мерки и изисквания за сигурност към повече държавни поръчки – идея, популяризирана в доклада на Microsoft Cybersafety Review Board. Докладът установи, че настоящите изисквания „не изискват последователно добри практики“ за удостоверяване на потребителите.

Членове на Комитета по вътрешна сигурност от двете партии последваха тази тема в четвъртък, като поискаха от Смит да обясни рисковете от военните, които разчитат на един доставчик. Смит твърди, че среда с множество доставчици е също толкова рискова, защото хакерите могат лесно да компрометират „връзките“, където две системи комуникират.

Смит отдели време, за да отговори на някои въпроси на членовете и плавно отклони няколко запитвания, включително няколко, свързани с четвъртъка на ProPublica доклад Той каза, че експерт по сигурността на Microsoft многократно се е оплаквал от уязвимост в удостоверяването на компанията, която е била използвана години по-късно при хакове на софтуерната компания SolarWinds и нейните държавни клиенти.

Същият пропуск беше открит през следващите години от компаниите за сигурност CyberArk и Mandiant, без да бъде коригиран.

Смит каза, че не е чел статията и че въпросният недостатък се отнася по-скоро до индустриалните стандарти, отколкото към продукта на Microsoft.

Други представители притискаха Смит относно сделките на компанията в Китай, което го накара да каже, че страната генерира по-малко от 1,5 процента от приходите на Microsoft. Смит каза още, че компанията е била там главно, за да обслужва други американски компании и че Microsoft не се придържа към китайския закон, който изисква всички организации да си сътрудничат с националните разузнавателни агенции и военните.

„Всеки път, когато има нещо, което да питаме, се уверявам, че казваме „не“, каза Смит на открито скептичен член на комисията.

написани сертификат Смит, който представи по-рано, повтори предишни изявления, приветстващи констатациите на борда за преглед, който беше създаден с изпълнителна заповед от Белия дом. Смит рекламира инициатива за сигурност в цялата компания, която назначи 1600 инженери по сигурността през текущата фискална година и ще добави още 800 работни места през следващата година.

Смит каза, че Microsoft е превърнала сигурността в основен приоритет в цялата компания и ще спазва препоръките на съвета за преглед както за компанията, така и за индустрията като цяло.

„Microsoft поема отговорност за всеки един от проблемите, споменати в доклада на CSRB“, свидетелства Смит.

Свидетелството на Смит повдигна вежди сред някои професионалисти по сигурността, които посочиха пускането от Microsoft този месец на функция на Windows, наречена Recall, която прави екранни снимки на повечето дейности на персонален компютър на всеки няколко секунди и ги съхранява, за да улесни търсенето на минали действия.

Въпреки че Microsoft каза, че потребителите ще могат да виждат само личната си история и че тя ще остане криптирана и съхранявана локално, експертите я описаха като съкровищница за хакерите. те Предполагаемият Че всеки с администраторски права на устройство може да шпионира други потребители и че хакер може да експортира и чете файлове, включително записи на финансови пароли и криптирани съобщения, ако са били компрометирани.

След като отказа да коментира тези доклади повече от седмица, Microsoft заяви, че няма да доставя софтуер с автоматично активирана функция за изтегляне, както беше планирано, и че ще изисква повече потребителско удостоверяване, за да се включи функцията.

В своите писмени показания Смит посочи това обръщане като пример за съживяване на усилията на компанията за сигурност.