Door Anoniem:Feit waar het over gaat is : Microsoft is slachtoffer van de SolarWinds-backdoor.
Het probleem is volgens Karma jou, voor zo ver we wijs kunnen worden uit die onsamenhangende tekst van je,
Je hebt problemen met het onderwerp zie ik:
- Solarwinds is gehackt met behulp van een insider. Niet een technisch gehackt, een insider heeft code er bij gezet.
- Microsoft is een van de vele klanten, ze hebben op endpoints wat teruggevonden.
Waarom als die aandacht op dat ene bedrijf? Je hebt last van een vooroordeel.
- Verder onderzoek gaf aan dat er ook insiders bij microsoft actief waren.
Er werd heel veel naar code gekeken zonder echte reden.
Op zich is dat geen probleem ze hebben een intern beleid dat iedereen de code mag zien.
--tusssendoor opmerking--
Dit is volgens beveiligingsbeleid bij veel organisaties vaak wel een probleem met het volgen van bijvoorbeeld de ISO27002.
Daar staat in dat ontwikkelaars geen toegang tot productie mogen hebben. Dat kun je uitleggen als geen inzicht tot source code. Die nuancering kun je er niet uithalen.
Organisaties zijn ook verplicht om te weten wie wat gedaan heeft en of dat kwaad kan. Het Siem systeem en wat daaruit voortkomt met een SOC is tegenwoordig een gangbaar iets als is het te vaak onvoldoende ingevuld.
Het is hypocriet dat er zo vaak gezegd wordt":
- ik wil niet dat een ander iets van me kan zien of wat ik gedaan zou kunnen hebben
- ik wil van een ander elke detail weten wat hij gedaan heeft hij moet maar uitleggen dat hij niets van mij toevallig gezien heeft. Een zeer gedetailleerde monitoring en logging bij hem is vereist.
-- Terug naar het onderwerp
Kennelijk zijn veel bedrijven nu extra hun loggings aan het nalopen.
Ze vinden daarmee onverwacht gedrag zoals dat er figuren die wel heel veel naar code kijken.
Dan komt de hele hypocriete discussie van open/closed source op gang.
[/quote] "Nee het idee brengen dat het goede arbeid zou zijn en vervolgens die houding is nu net het werkelijke probleem"
Wat heeft Microsoft volgens jou nu eigenlijk verkeerd gedaan?[/quote]- Ze hebben de gehackte code van Solarwinds aangepakt. Lijkt me niet verkeerd.
- Ze zijn gaan zoeken in een massasurveillance wat er nog meer speelt.
Verklaarbaar maar ik weet niet of het goed of fout is.
In de open / closed source discussie komt dat gratis en voor niets argument telkens terug.Dat is gratis en voor niets is het verkeerde en zeker niet het bedoelde argument. Kennisdeling als vrijheid is wat anders dan er niet voor hoeven te betalen.
Ik zie open source projecten niet goed gaan op het vlak van de vergoedingen. Het zijn de grote commercielen die het bundelen met wat zij uitrollen. Deze geven te weinig door naar werkelijke bouwers als die inmiddels al niet opgekocht zijn.
Een argument dat je zelf vrijwillig wat kan overmaken is hypocriet. Net zo hypocriet als de uitbuiting op andere terreinen en dan zeggen dat uiteindelijke kopers wel vrijwillig een gift kunnen doen. Denk eens aan kinderarbeid voor cobaltwinning en de grote winsten bij de commercielen met smartphones.