Microsoft heeft geen flauw benul van data security
Het is alweer een maand geleden dat Microsoft bekendmaakte dat de code van Windows NT en 2000 gedeeltelijk was uitgelekt. Het duurde even voordat de softwaregigant wist wie voor het lek verantwoordelijk was. Onbegrijpelijk volgens security goeroe Bruce Schneier, er zijn namelijk voldoende technieken om software van een watermerk te voorzien, maar dit was niet gedaan. Iets dat veel over de interne security van Microsoft zegt. Vraag blijft wie de code willen gebruiken. Zijn het hackers, andere software bedrijven, advocaten die bewijs voor een rechtzaak zoeken of inlichtingendiensten? Iets waar ook Microsoft aan heeft gedacht, want het bedrijf verstuurde redelijk snel brieven waarin met advocaten werd gedreigd. Niet om de criminele hackers af te schrikken, maar om te voorkomen dat de "good guys" in de code gaan rondsnuffelen en misschien dingen ontdekken die het bedrijf schade kunnen toebrengen, aldus Schneier in dit artikel.
Microsoft geen flauw benul heeft van data security.
Ze hadden met het uitlekken van de code volgens hem een betere reactie
hierop moeten tonen. Het artikel gaat er over dat Microsoft zelf bang is
aangeklaagd te worden en vanuit een PR blik een slechte strategie heeft
gekozen.
Scheier verbaast zich er verder over dat Microsoft geen watermerk heeft
gebruikt om direct te kunnen controleren wie broncode eventueel lekt.
goed mogelijk beschermt. In dit geval is dit niet gebeurd,
er is blijkbaar niet gedacht aan de risico's dat een derde
partij, die vertrouwd werd, de code ofwel per ongeluk ofwel
met opzet, zou kunnen lekken. Dat is louter en alleen een
tekortkoming in de opzet van de informatiebeveiliging (=
data security).
Data security houdt in dat je dit soort gevoelige data zo
goed mogelijk beschermt. In dit geval is dit niet gebeurd,
er is blijkbaar niet gedacht aan de risico's dat een derde
partij, die vertrouwd werd, de code ofwel per ongeluk ofwel
met opzet, zou kunnen lekken. Dat is louter en alleen een
tekortkoming in de opzet van de informatiebeveiliging (=
data security).
Ben ik niet met je eens. Het gaat er niet om dat je het zo goed mogelijk
beschermt. De beveiliging moet passend zijn. Het is geen doel op zich maar
moet economisch verantwoord passen binnen het bedrijfsproces.
Ik denk dat daar wel aan gedacht is. Alleen in plaats van een (dure)
technische voorziening heeft Microsoft gekozen voor een relatief goedkopere
juridische oplossing. De beweegreden zal zijn geweest dat deze beter past
bij de manier van werken van Microsoft.
voorzien van een watermerk. Maar de originele broncode,
plain text, valt niet te beschermen met een watermerk.
Daarvan valt enkel een hash te genereren. Het beschermen van
de broncode door middel van steganografie-technieken kan
m.i. dus niet.
niet alles voorkomen. Het bedrijf kan er zoveel mogelijk aan doen om het
proberen te voorkomen, maar compleet afdekken wil volgens mij niet.
Natuurlijk heeft microsoft wel een flauw benul van data
security. Maar je kan
niet alles voorkomen. Het bedrijf kan er zoveel mogelijk aan
doen om het
proberen te voorkomen, maar compleet afdekken wil volgens
mij niet.
oktober heeft gepubliceerd over hoe hun security systeem in
elkaar zit? Dat documentje waarin ze bijvoorbeeld niet eens
meerdere classificatielevels aan bepaalde informatie
toekennen. Als je dat al niet doet, hoe kun je dan spreken
over data security?
Tuurlijk is het een afweging tussen aan de ene kant de
kosten en aan de andere kant de hoeveelheid gewenste
bescherming, maar als een organisatie met 30 miljard dollar
aan kasgeld niet in staat is om wat die organisatie zelf
beschouwd als het meest belangrijke bezit afdoende te
beveiligen tegen dit soort grappen, dan zie ik het somber in
voor 90% van de organisaties die (exclusief) gebruik maken
van de software van deze organisatie.
Heb jij dat documentje gelezen dat Microsoft vorig jaar
oktober heeft gepubliceerd over hoe hun security systeem in
elkaar zit? Dat documentje waarin ze bijvoorbeeld niet eens
meerdere classificatielevels aan bepaalde informatie
toekennen. Als je dat al niet doet, hoe kun je dan spreken
over data security?
Tuurlijk is het een afweging tussen aan de ene kant de
kosten en aan de andere kant de hoeveelheid gewenste
bescherming, maar als een organisatie met 30 miljard dollar
aan kasgeld niet in staat is om wat die organisatie zelf
beschouwd als het meest belangrijke bezit afdoende te
beveiligen tegen dit soort grappen, dan zie ik het somber in
voor 90% van de organisaties die (exclusief) gebruik maken
van de software van deze organisatie.
Ik heb het document niet gelezen en weet ook niet hoeveel aandacht/geld
microsoft besteed aan data security. We kunnen wel constateren dat er nog
wel behoorlijk was mis is met microsoft producten gezien de vele exploits
(Niet alleen microsoft overigens).
Wat ik in mijn vorige bericht duidelijk probeer te maken is dat hoeveel geld en
aandacht je ook besteed aan data security, niet alle incidenten voorkomen
kunnen worden. Ik kan niet beoordelen of dit incident Microsoft zelf kan
worden aangerekend. Als bedrijf kan je je in mijn optiek noit compleet tegen
de risico´s afdekken.
blah
Zijn jullie wel ff vergeten dat ze ook nog met zoiets als
aandeelhouders zitten grote uitgaven zonder goedkeuring
vooraf van ALLE aandeelhouders is dus uitgesloten....
in de te maken afweging.
tussen het afdekken van bepaalde risico's en de kosten die
hier tegenover staan.
Waar het mij om gaat is dat Microsoft een grote bek heeft
als het gaat om IP maar als het puntje bij paaltje komt ze
er geen zak aan doen om hun IP te beschermen anders dan
dreigen met rechtzaken.
Jeroen, ik ben met je eens dat data security een afweging is
tussen het afdekken van bepaalde risico's en de kosten die
hier tegenover staan.
Waar het mij om gaat is dat Microsoft een grote bek heeft
als het gaat om IP maar als het puntje bij paaltje komt ze
er geen zak aan doen om hun IP te beschermen anders dan
dreigen met rechtzaken.
Blijkbaar werkt het, en daar gaat het om bij beveiliging. Niet de fraaiste
technische oplossing maar de economisch meest voordelige.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
