Hacken en later de info verkopen levert misschien meer op. :)

Totale haxx, man! De haxxen0rz kunnen los, haxxening met hun haxx!!1!

Dat was weer een verhelderende bijdrage vandaag. Vooral verhelderend in de zin dat de popie-jopie verwoording erg weinig betekent. Erger nog, als je het als een Amerikaanse wetsgeleerde leest staat er "microsoft offers to pay criminals for breaking into the competition's operating software". Dat lijkt me niet helemaal kosher.

Forbes staat dan ook hoog op het lijstje van websites die he-le-maal niets nuttigs meer weten te vertellen en dat met allerlei prietpraat proberen te verhullen. Ze zijn ondertussen verworden tot een soort pretentieuzer soort mediumpuntcom.

Ik zou je aanraden betere nieuwsbronnen aan te boren.

Ik heb het essentiële in wat er staat even bold gemaakt, hieronder:

Microsoft chose Linux instead of Windows 10 to power an IoT security platform, and now it's offering hackers $100,000 if they can break it.

Essentieel alleen voor jou natuurlijk!

Maar even de bron erbij gezocht (niet moeilijk, want link in aangehaalde artikel):
https://www.microsoft.com/en-us/msrc/azure-security-lab

Even naar de architectuur kijkend, zie ik ARM, en 4MB RAM, of meer. Iemand, die Win10 op ARM in 4MB RAM werkend heeft gekregen?!? Nou dan.

Als oude rot heb ik nog met de eerste MS *ux gewerkt, op een 80286. Dat heette Xenix. MS heeft dus al wel ervaring met Unix achtige OS-en

Nee, dat kan natuurlijk niet met inflexibele besturingssoftware die voor lichte consumententoepassingen is bedoeld. Daarvoor heb je inderdaad een professioneel besturingssysteem nodig.

Volgens mij kan je win10 op een Raspberry Pi met 4GB draaien. Of je er vervolgens iets nuttigs mee kan weet ik niet :-)

Oswald

Megabyte, geen gigabyte... https://docs.microsoft.com/en-us/azure-sphere/app-development/mt3620-memory-available

Windows 10 IoT Core, dat is geen desktop-OS.

En dat heeft Microsoft dus niet geselecteerd voor haar IoT security platform. Ik zou er dus maar vanaf blijven want als Microsoft zelf het al niet voldoende vertrouwt voor een dergelijke toepassing...

Iedere keer als een bericht over "hackers" verschijnt komt er iemand langs die dit soort kinderlijke eerste regels schrijft. Het zou me niet verbazen dat we steeds met dezelfde persoon te maken hebben. Het wordt "hacker" werkt schijnbaar als een rode lap. Die tweede regel heeft neem ik aan betrekking op de eerste regel van je bericht.

Waar het om gaat is dat de beveiliging van een systeem wordt getest, en dat is alleen maar toe te juichen. Niet door criminelen (los van hoe "een Amerikaanse wetsgeleerde" dit interpreteert... welke van de honderdduizenden bedoel je precies?), maar door mensen die hun werk hebben gemaakt van secure software design/ programming. Dat daar mensen tussen zitten die zich laten betalen door schimmige figuren, dat zal best, maar doet niets af aan de moeite die Microsoft in dit geval onderneemt om zo veilig mogelijk op de markt te brengen. Dat is alleen maar lovenswaardig en voorkomt mogelijk een hoop ellende wanneer de software eenmaal in productie staat, zoals bij b.v. de nodige IoT devices die we gezien hebben. Plak er een term op die je wilt, maar het achterliggende idee vind ik goed.

De uiteindelijke inhoud, ja. Maar als de berichtgeving het belangrijker vindt allerlei boemannen aan te halen dan weet je eigenlijk al dat de berichtgever meer heeft met sensatie dan met informeren. Kortgezegd: Diepgaande analyses haal je niet uit de privé.

Daar ging het vrij letterlijk over, en je hebt nog steeds moeite dat op te pikken.

Vergelijk: De koning komt op de tv, en houdt een vier meitoespraak: "Heey jongus, de oorlog was helemaal kut maar dat gaaneme noohooit meer zo doene, hee. Gesnope?" Lekker volks, je weet tog.

Denk je dat 'm dat in dank zal worden afgenomen? Waarom wel of niet?

Waarom vind jij het acceptabel om als een halfdronken 16-jarige stoer te doen over wat je allemaal wel met kompjoeturs uit weet te vreten, alsof dat een nuttige bijdrage aan computerbeveiliging zou opleveren?

De relevante wetten verbieden "computer hacking" zonder te vertellen wat dat dan precies mag zijn. Dus welke rechtsgeleerde zal de wet zo interpreteren? Nou, diegene voor wie het handig is de wet zo te interpreteren. Zo werkt dat binnen de rechtspraak. En de relevante wet is vaag genoeg om dat toe te laten. Dus alleen daarom al is het niet handig om met dat label te smijten.

Nou, het probleem is dat ook de zelfverklaard-rechtschapen kant graag met termen gooit en zichzelf ermee tooit zodat de leek nauwlijks nog doorheeft waar het over gaat maar wel het gevoel krijgt dat hij voor zijn eigen veiligheid maar het beste deze mannekes kan inhuren want anders komen de boemannen van de niet-zo-rechtschapen kant hem uitkleden.

Nou, *kuch* haha, dat je dat gelooft. Ze tooien zich met de schone schijn, maar of het ook werkelijk helpt? De wiskunde zegt dat het maar heel beperkt zal helpen.

Dat is een stukje kansberekening en gaat heel in het kort zo: Stel er zitten een miljoen ongevonden bugs in je software. Een bugzoeker vindt er, zeg, honderd in een jaar. Jij zet er een team op van honderd man, dus vind je zeg tienduizend bugs. Wat is de kans dat de "lone adversary" die er honderd vindt, alleen maar reeds gevonden (en naar we voor het gemak maar even aannemen, opgeloste) bugs tegen zal komen?

Spoiler: Het antwoord is "vrij klein".

Dus om dat voor te zijn proberen grootbedrijven er maar een hoop geld tegenaan te smijten, in de hoop dat de "lone adversary" de gevonden bugs maar gewoon aan het bedrijf zal verkopen en niet op de zwarte markt, of er zelf gebruik van te maken.

De kritiek ging primair over de keuze van berichtbrenger. Maar nu je microsoft erbij sleept, die hebben jarenlang met de pet naar security gegooid ("it wasn't a priority") en "hebben nu geleerd", ja ja. Nou, ze doen wat alle andere grootbedrijven met geld teveel ook doen, ze loven "bug bounties" uit. Dat is niet hetzelfde als er echt goed over nadenken.

De essentie is en blijft een zwaktebod. Maar daar ging het commentaar waar jij op afgeeft niet eens over.