Software fabrikanten leveren sinds jaar en dag structureel onveilige software aan met soms nauwelijks enige kwaliteitscontrole.

Amerikaanse software fabrikanten zijn onder druk van V.S. sinds midden de jaren negentig over de hele wereld op geen enkele manier vervolgbaar voor de gevolgen van fouten en/of gebreken in hun producten. De rest van de wereld plooide mee en besloot ook bij hun software fabrikanten buiten elke vervolging te stellen.

Software fabrikanten gebruiken met nauwelijks of zelfs zonder enige vorm van compensatie open source software in hun miljarden business met monsterwinsten, waarbij ze ook nog eens de code niet opnieuw delen (bvb: OpenSSL, grSec) In het geval van OpenSSL werd dit door alle grote HW en SW fabrikanten gebruikt en draaide het project op 30.000$ per jaar met 1 betaalde medewerker gedurende vele jaren.

Microsoft bouwde een heel ecosysteem uit van anti-virus tot cloud om de structurele fouten en gebreken in hun software te verbloemen, te compenseren en leverde bij herhaling security modellen af welke structureel sommige kwetsbaarheden als 'niet security relevant' wegzetten. MS Patched ook steeds vaker op voorhand in de cloud met slechts vertraagde of zelfs geen release naar het publiek. Alles onder het mom van 'veiligheid'. Hier kan een boek of zelfs een reeks boeken rond geschreven worden hoe dit ene bedrijf onveiligheid gebruikt als een sluwe vorm van marketing en marktonwikkeling en vooral om klanten hard te lijmen en afhankelijk te houden. Ze hebben ondertussen zowel jouw code als jouw data in hun cloud en waar kan je nog naartoe als ook MS Windows verplicht cloud-only wordt ?

De wereld van cybersecurity is een aaneenrijgen van politieke en zakelijk-politieke benoemingen en realiteitsvreemd optimisme waar zelfs de basisprincipes niet geïmplementeerd worden met alle gevolgen van dien.

Maar het zijn de aanvallers welke uitsluitend aansprakelijk gesteld worden ?

Wat met de politieke gevolgen van de software fabrikanten welke als 'buitenlands inmenging' of zelfs 'buitenlandse dreiging' gezien worden omwille van de vele kwetsbaarheden, structurele fouten, de groeiende lijst van nooit gepatchte software kwetsbaarheden ? Je zou net zo goed kunnen stellen dat de 'buitenlandse dreiging' eigenlijk tegen aanvallen zijn.

De manier waarop politiek de eigen onwetendheid en onkunde blijft omzettten in beleid is niet enkel schrikbarend maar ook doldriest.

Dan moet je wel zeker weten waar de cyberaanval vandaan komt. En dat is makkelijk te verbergen.

Stel dat Oekraïne van Rusland af wil, als een recent voorbeeld, is het dan genoeg om een cyberaanval op een NATO land bij Rusland vandaan te laten komen?

Mensen lijken nog wel eens te vergeten dat Rusland het grootste kernwapenarsenaal ter wereld heeft. 'Don't mess with the bull or you will get the horns'. Of de beer in dit geval, die nog wel gevaarlijker kan zijn als een stier.

En dat terwijl Rusland en China de VS waarschuwen.

"China addressed the American ops at its daily foreign affairs briefing on June 8, when spokesperson Zhao Lijian said "The US needs to explain to the international community how these 'hacking operations' are consistent with its professed position of not engaging directly in the Russia-Ukraine conflict.""

en

"Washington is deliberately lowering the threshold for the combat use of ICT," Krutskikh said. "Militarization of the information space by the West and attempts to turn it into an arena of interstate confrontation have greatly increased the threat of a direct military clash with unpredictable consequences."

https://www.theregister.com/2022/06/10/russia_china_usa_ukraine_cyberdefense/

Wat een onzin zeg. Ik vrees dat door de belabberde kwaliteit van windows (hoeft niet meer te worden onderbouwd na de vele incidenten) en haar update systeem nu ook een kernoorlog gaat uitlokken.