Leserreporter: Wer schöne Verschwörungslinks für mich hat: ab an felix-bloginput (at) fefe.de!
[zurück][ältere Posting][neuere Posting] Donnerstag, 11 März 2021 | Blog: 6 | No: 46647
Ich habe mich hier ja schon ein paar Mal über Microsoft aufgeregt in Sachen Security. Auf der einen Seite haben die da relativ früh relativ viel Geld in die Hand genommen, und haben auch echt was erreicht. Die Bugs, die heute gefixt werden, sind in vielen Fällen Dinge, die vor ein paar Jahren gar nicht als Bug gezählt hätten, oder wo die Devs zu verhandeln angefangen hätten, ob man das wirklich als Bug zählen kann. Hier gibt Microsoft immer noch ein gutes Vorbild ab. Wenn man über einen Bug auch nur theoretisch einen Windows-PC aus der Ferne übernehmen kann, dann verhandeln die nicht, dann schreiben die da Critical ran.
Aber die andere Seite der Medaille ist, dass Microsoft immer noch Monate bis Jahre zum Fixen von Bugs braucht, und wenn dann ein Bug leaked, bevor sie einen Fix haben, dann holen sie die große Bullshit-Rhetorik raus. Die sind auch treibende Kraft hinter diesem "responsible disclosure"-Scheiß, die einfach so tut, als sei das Veröffentlichen des Exploits hier der Teil, bei dem jemand unverantwortlich handelt! Nein, ist es nicht. Der unverantwortliche Teil war, die kaputte Software überhaupt erst an die Kunden auszuliefern. Insbesondere, wenn die dafür auch noch Geld gezahlt haben!
Tja, und als Microsoft dann Github gekauft hat, haben schon die ersten Cassandras gemeint, dass dann wohlmöglich demnächst Schluss ist mit Security-Kram auf Github veröffentlichen. Haben die meisten nicht wahrhaben wollen, aber jetzt ist es nicht mehr zu leugnen. Github hat einen Proof of Concept Exploit für das Exchange-Problem gelöscht, weil es angeblich ihre Acceptable Use Policies verletzt habe.
Ich weiß nicht, ob die Konkurrenz da besser ist. Github ist ja auch schon durch den Rauswurf von Entwicklern aus dem Iran negativ aufgefallen, und ein besoffenes Hackertoolverbot haben wir ja hier auch in Deutschland.
Wenn wir jetzt ernsthaft das Narrativ etablieren, dass Proof of Concept Exploits etwas böses sind, dann ist bald ganz aus mit Security. Dann heißt Security nur noch Blockchain und Schlangenöl. Schon heute wird unter Security viel zu häufig "aber wir haben doch HTTPS" und "aber wir haben doch ACLs" verstanden, oder, was noch weiter das Thema verfehlt: "aber wir haben doch Telemetrie" und so Tausch von IoCs, wie man früher Fußball-Aufkleber fürs Sammelalbum auf dem Schulhof getauscht hat. Keiner wusste, warum man das eigentlich sammeln sollte, und einen Zweck (außer die Kids an Glücksspielsucht heranzubringen) hatte das auch keinen, jedenfalls nicht für den Sammler.
Das geht echt alles zusehends vor die Hunde.
[zurück]
[ältere Posting][neuere Posting]
[zurück][ältere Posting][neuere Posting] Donnerstag, 11 März 2021 | Blog: 6 | No: 46647
als sei das Veröffentlichen des Exploits hier der Teil, bei dem jemand unverantwortlich handelt!
jetzt ist es nicht mehr zu leugnen
Aber die andere Seite der Medaille ist, dass Microsoft immer noch Monate bis Jahre zum Fixen von Bugs braucht, und wenn dann ein Bug leaked, bevor sie einen Fix haben, dann holen sie die große Bullshit-Rhetorik raus. Die sind auch treibende Kraft hinter diesem "responsible disclosure"-Scheiß, die einfach so tut, als sei das Veröffentlichen des Exploits hier der Teil, bei dem jemand unverantwortlich handelt! Nein, ist es nicht. Der unverantwortliche Teil war, die kaputte Software überhaupt erst an die Kunden auszuliefern. Insbesondere, wenn die dafür auch noch Geld gezahlt haben!
Tja, und als Microsoft dann Github gekauft hat, haben schon die ersten Cassandras gemeint, dass dann wohlmöglich demnächst Schluss ist mit Security-Kram auf Github veröffentlichen. Haben die meisten nicht wahrhaben wollen, aber jetzt ist es nicht mehr zu leugnen. Github hat einen Proof of Concept Exploit für das Exchange-Problem gelöscht, weil es angeblich ihre Acceptable Use Policies verletzt habe.
Ich weiß nicht, ob die Konkurrenz da besser ist. Github ist ja auch schon durch den Rauswurf von Entwicklern aus dem Iran negativ aufgefallen, und ein besoffenes Hackertoolverbot haben wir ja hier auch in Deutschland.
Wenn wir jetzt ernsthaft das Narrativ etablieren, dass Proof of Concept Exploits etwas böses sind, dann ist bald ganz aus mit Security. Dann heißt Security nur noch Blockchain und Schlangenöl. Schon heute wird unter Security viel zu häufig "aber wir haben doch HTTPS" und "aber wir haben doch ACLs" verstanden, oder, was noch weiter das Thema verfehlt: "aber wir haben doch Telemetrie" und so Tausch von IoCs, wie man früher Fußball-Aufkleber fürs Sammelalbum auf dem Schulhof getauscht hat. Keiner wusste, warum man das eigentlich sammeln sollte, und einen Zweck (außer die Kids an Glücksspielsucht heranzubringen) hatte das auch keinen, jedenfalls nicht für den Sammler.
Das geht echt alles zusehends vor die Hunde.
Twiter-Ticker
Fefes Latest Youtube Video Links
Der Betrieb der KraftZeitung kostet Geld. Da wir auch weiterhin unabhängig, überparteilich und ohne kommerzieller Werbung für Sie da sein wollen, sind wir auf Ihre Spende angewiesen. Vielen Dank.
