header banner
Default

Microsoft: hackers uit China hebben toegang gekregen tot e-mailaccounts van West-Europese overheden


Table of Contents

    Waarom gebruikt Microsoft als deelnemer aan FIDO alliance niet fysieke FIDO USB keys? Ze propageren Windows Hello met TPM security validatie etc, maar gebruiken het zelf dus niet?? Beetje vreemd. Bewijst maar weer dat tijd van paswoorden voorbij is, en we naar fysieke keys moeten in combinatie met biometrische validatie.

    Dit gaat niet over Microsoft zelf, het gaat om een kwetsbaarheid in een van hun producten die misbruikt werd op klantomgevingen. Bovendien is dit een issue met tokenvalidatie, dus de check aan serverzijde of een token wel geldig is. Als jouw FIDO netjes een token namens jou kan tekenen, maar de server accepteert ook een token van een andere computer dat met een gelekte geldige key getekend is, heb je vrij weinig aan je hele FIDO en TPM en Hello. MS schrijft zelf:

    The actor used an acquired [Microsoft Account] key to forge tokens to access OWA and Outlook.com. MSA (consumer) keys and Azure AD (enterprise) keys are issued and managed from separate systems and should only be valid for their respective systems. The actor exploited a token validation issue to impersonate Azure AD users and gain access to enterprise mail

    Het is wat summier, maar je kan afleiden dat iemand een Microsoft Account key heeft gejat en gewoon heeft geprobeerd daarmee de procedure te doorlopen om te authenticeren. Dat had de server moeten weigeren omdat het token niet van de client kwam waar die key geldig voor was, maar dat gebeurde niet. En toen hebben ze dat bij een aantal organisaties gedaan tot MS het detecteerde en mitigeerde.

    Vroeger, met PHP3 wisten we al dat cookies etc. gestolen kunnen worden en daarom dat sessies aan IPs gekoppeld waren in MySQL. Dat Microsoft of gelijk welk authenticatiesysteem van de overheid niet merkt dat een sessie opeens dezelfde sleutel aan de andere kant van de wereld gebruikt zonder dan ‘hey, we merken dat je verhuist bent, gelieve je 2FA te verifiëren’.

    En ja, ik erger me er zelf ook wel eens aan dat mijn VPN afhaakt zodra ik op een ander WiFi netwerk gaat, maar uiteindelijk is het stelen van sessiesleutels niet alleen met alle soorten malware maar ook aan de kant van de server of authenticatieprovider mogelijk.

    Exchange en AD kon vroeger ook accounts/logins aan IPs of IP blokken limiteren, maar omdat het in de cloud zit zijn we dit collectief vergeten doen?

    [Reactie gewijzigd door Guru Evi op 13 juli 2023 18:03]

    Telkens als ik mijn bezorgdheid uit over de grote datahonger wanneer ik ergens mijn gegevens moet prijsgeven klinkt het altijd hetzelfde: "Jamaar, wij hebben steeds de laatste updates en goede beveiliging. U hoeft zich nergens zorgen om te maken".

    Het is en blijft een race tussen kwetsbaarheden vinden en misbruiken / oplossen. Veilig is het nooit, maar liever voorin meevechten dan achterin gewoon verpletterd te worden.
    Maar beperkt, gecompartimenteerd en zoveel mogelijk fake informatie helpt zeker.

    Wel mee eens, maar eigenlijk zouden dit soort zaken zo dichtgetimmerd moeten zijn, dat alleen onze overheid erbij kan.
    Gelukkig is die kwetsbaarheid opgelost, maar nu wachten op de volgende en ook duimen dat er niet ergens iets neergezet is, wat grote problemen naderhand kan geven.

    Vraag aan de security experts, als je weet hoe en waar en soms zelfs met welke hardware, is daar niet tegen te blocken of zoals op een oude doortrapte manier, een zo grote mail sturen, dat die servers dagen vast staan of ben ik nu te optimistisch?

    @Houtenklaas het gaat hier om overheidszaken die daar opgeslagen staan, jouw account is totaal niet relevant hierin ;)
    UWV had/wilde ook eerder al de cloud in, maar dit werd gelukkig tegengehouden. Regelgeving hier is redelijk o.k en wordt ook nog eens extra aan gewerkt, maar staat een server niet meer hier, dan gelden ineens andere regels en kan men daar gewoon de gehele cloud inzien, zonder dat je er wat aan kan doen (op dit moment).
    Voor het andere, daarom mijn vraag aan die security experts, er zullen best wel manieren zijn die beter zijn of diegene die hackt, ongeacht grenzen, aan te pakken.

    [Reactie gewijzigd door GameNympho op 12 juli 2023 22:42]

    Het probleem is dat deze mail juist wás dichtgetimmerd met 2factor authenticatie als ik het goed begrijp, "De cybercriminelen hebben volgens het bedrijf digitale authenticatietokens vervalst". Ik weet niet precies hoe ze dit doen, omdat er met tokens ook een tijdsaspect meespeelt. Wellicht hadden ze een nepsite ingericht die het tokenverzoek van MS doorstuurde naar de gebruiker en dat weer naar MS.
    edit: Security online geeft wat meer info

    Je kan het niet voorkomen. Er is maar een manier om de grootste risico's te mitigeren: zet geen spannende dingen op de mail. Belangrijke berichten via een specifieke mail die alleen binnen een departement leeft (inloggen op het portaal, en ook dat kan gehackt).

    En dan kom je op de crux: gebruikers zullen zich moeten houden aan de "afspraken" mbt wat je op de mail zet, waar je op werkt en hoe je je device gebruikt. Dat doen gebruikers in het begin nooit, dus hier is nog heel veel te winnen.

    En zelfs dán. Veel gebruikers zullen ook vanaf hun thuismachine willen inloggen of ipad. En dat kan een hacker dus prima (en makkelijker) kraken. Dan is hij niet "binnen" bij de overheid, maar kan wel over de schouder meekijken met de gebruiker als die zijn mail leest (screenshot elke 2 seconde ofzo).

    En misschien wat mensen ook vergeten: chinezen willen graag weten wié ze precies moeten targetten. Dat is echt niet elke ambtenaar hoor. maar door breed (de afzenders van) emails te lezen kunnen ze het netwerk in beeld brengen en zo de "spinnen" in het web identificeren. En die zijn interessant. Daar zal je ook over moeten nadenken; kan je die netwerken onklaar maken?

    [Reactie gewijzigd door oltk op 13 juli 2023 18:07]

    Belangrijke berichten via een specifieke mail die alleen binnen een departement leeft

    Dat gaat een steeds groter probleem worden als steeds meer naar de cloud verhuist.
    Documenten in de cloud, of backups naar de cloud. Lekker makkelijk een agenda in de cloud. Cloudm cloud cloud.

    Ja, lokale oplossingen zijn mogelijk maar is dat echt beter. Als de onderbetaalde systeembeheerder van de overheid zelf wat veiligs moet opzetten is het zeer waarschijnlijk een gatenkaas.
    Komt de oplossing van een tech gigant is het veel meer solide maar hackers steken daar ook veel meer tijd in, want 1 gaatje is bruikbaar voor honderden doelen.

    jaja. Waar komt het idee vandaan dat een cloud oplossing, beheerd door een partij als Microsoft, veel risicovoller is dan een (citrix / VMware) systeem on premise draaien en zelf de inlog te regelen?

    De ervaring van de afgelopen jaren was dat alle zero-days en kwetsbaarheden veel sneller door microsoft gedetecteerd worden en opgelost dan een club ICT-ers bij een overheid of bedrijf kunnen. Kijk maar naar de outlook zero-days die een paar dagen nadat het al opgelost is online pas als patch naar buiten worden gebracht, en pas door de ICT-er van dienst tijdens de reguliere update worden geïnplementeerd -soms een paar weken later.

    nee. Cloud is niet Fout. Maar de cloud op een goede manier inrichten en de beheerder aansturen: dat is wel een kunst

    En daarnaast begint het bijna altijd bij de eindgebruiker die zijn credentials vrij geeft op compromised proxy servers waardoor de AiTM de sessions kan replayen Incusief de MFA omdat hij de session tokens heeft

    [Reactie gewijzigd door Scriptkid op 13 juli 2023 10:12]

    Wel mee eens, maar eigenlijk zouden dit soort zaken zo dichtgetimmerd moeten zijn, dat alleen onze overheid erbij kan.

    Ja die las ik dus verkeerd :)

    Overheden zouden toch wel een mechanisme kunnen verzinnen dat dit soort dingen via een eigen proxy gaan, of eerst via een tunnel naar het eigen bedrijf en vanaf die kant de cloud benaderen waarbij de cloud "weet" dat dat de enige weg is die gebruikt mag worden. Alles maar om extra drempels op te werpen voor hackers. Of gebruik een private cloud ... Er zijn echt wel wat extra maatregelen te verzinnen om het hacken lastiger te maken. @oltk omschrijft wel HET probleem. Hack je enddevice en je kijkt mee, ook al gaat het via een tunnel.

    Waar je trouwens niemand meer over hoort, was dat Huawei bij alle mobiele operators binnen zat en daar tamelijk risicoloos kon meekijken. Dat geldt dan ook voor dataverkeer wat over de mobiel heenloopt. Komen ze zo aan die tokens? Tweede waar ik aan denk, met BGP kan je internetverkeer via jouw land laten lopen, wat meestal - als het al gebeurt - per ongeluk gaat. Zo zou dat ook nog kunnen, alhoewel het tijdsaspect dat wel lastig maakt denk ik.

    [Reactie gewijzigd door Houtenklaas op 13 juli 2023 08:44]

    Dat is wel de legacy mindset die je nu beschrijft. tegenwoordig werken we anywhere any device any cloud,

    Dit doen we ook intern bij MS en werken we ook niet met alles dicht timmeren. Echter volgen wij wel de zero trust concepten, Dus any device must be healthy and managed, Any user must be health and have no open risks, en elke user moet zich aanmelden met strong authentication en MFA any time anywhere dus ook intern.

    Bij vele bedrijven zien we helaas dat ze de 0 trust principles niet goed implementeren of dat de enduser education zeer veel te wensen over laat waardoor de techniek niet meer te redden is omdat de enduser te veel steken laat vallen of het geen closed loop security is.

    #MSFT

    Uiterst uiterst herkenbaar. Bij zeer veel bedrijven geldt dat MFA intern als belemmerend wordt ervaren, Bring Your Own willen we niet vanaf, eigen mobiel mag gewoon gebruikt worden en weg is je zero trust implementatie. Het valt of staat met "gemak" versus "safe". Overigens niks mis met legacy. Proven technology :)

    de vraag is , wil je met onbekende security gaps werken of bekende gaps die snel geremediate worden. :)

    De realiteit in de cybersecurity-wereld is: "You can't defend. You can't prevent. The only thing you can do is detect and respond." Aanvallen gebeuren nu eenmaal en zijn soms succesvol. Ik zou nog steeds durven zeggen dat je persoonsgegevens veiliger zijn bij Microsoft dan als je ze in papieren vorm de hele dag met je mee zou dragen (en dan natuurlijk die tas in de trein laat liggen).

    Hierbij wil dan graag bijdragen dat dit appels en peren vergelijken is.
    Zowel op schaal als methode ;).

    Wat is het alternatief als je die gegevens niet aan een groot bedrijf wil geven? In onze digitale wereld heb je weinig andere 'veilige' alternatieven als je je gegevens niet aan een partij als MS wil geven omwille 'datahonger'.

    Er zijn heel veel open source alternatieven. Voor bijna alles. Je moet het alleen kunnen, de spullen ervoor hebben én doen. Vooral die laatste.

    Overigens is het niet MS die 'datahonger' heeft. Ja, wel wat, maar niet op hun zakelijke)/betalende klanten.

    Open source werkt datalekken in de hand.
    Echt opensource software kan heel goed zijn. Soms zelfs beter dan (erg) dure software.
    Een oplossing moet een totaalpakket zijn dat naadloos op elkaar aansluit.
    Opensource oplossingen aanelkaar knopen is geen goed plan.

    Er moeten gewoon standaard boetes die worden uitgekeerd aan de gedupeerden komen. Dan houdt het snel op

    Boetes houden alleen maar mensen tegen die "het" waarschijnlijk uit zichzelf niet zouden doen.

    Bedrijven en overheden zullen zich nooit wat aantrekken van boetes.
    Ga maar proberen om een boete te innen bij China.

    Een bedrijf verdisconteerd die boete in de prijzen van de producten die ze verkopen, en twee weken later gaan ze gewoon weer verder waar ze gebleven waren.

    En wie moet die boete betalen dan? Als dat de bedrijven zijn waar de kwetsbaarheden zitten, tja, dan houdt het inderdaad snel op met bedrijven die digitale producten en diensten aanbieden. Dat er regelmatig aanvallen slagen, betekent niet dat die bedrijven het maar een beetje laten gebeuren of dat ze te lui zijn om een 100% veilig product te maken. Dat kan simpelweg niet als iedereen in de hele wereld op afstand de hele dag anoniem jouw beveiliging kan testen. Zou wat zijn, als je na een snelle detectie en mitigatie ook nog eens een boete krijgt omdat er überhaupt een incident is geweest. De halve digitale wereld zou morgen nog failliet gaan.

    Onzin gedupeerden boetes uitdelen

    [Reactie gewijzigd door Flooperke op 12 juli 2023 21:21]

    Jrz heeft het over boetes die worden uitgekeerd aan gedupeerden, niet opgelegd.

    Jaja, dus als ik in jouw huurhuis inbreek, dan moet jouw verhuurder jou een schadevergoeding betalen? Wat klopt hier niet aan?

    Want sloten moeten 100% veilig tegen inbrekers zijn ofzo?

    Ja, wanneer er verrotte sloten worden gebruikt. Bedrijven kunnen ook stoppen met hun dwangmatige verzameldrift.

    Op beide punten ben ik het met je eens; maar hier speelt een ander punt, de emails.
    De info die de hackers zoeken staat niet uit dwangmatig verzamelde data maar de inhoud v/d emails.
    Bedrijfscorrespondentie kan heel waardevol zijn.

    Dat klopt. Maar omdat alles tegenwoordig saas is, en je software amper meer zelf kan/mag hosten, vind ik toch echt dat de gister van de data en applicatie verantwoordelijk zou moeten zijn voor de veiligheid.

    Wat jij ook gaat gebruiken, het gaat NOOIT meer security wise up to date zijn dan Microsoft's omgevingen. Het probleem is alleen dat MS een enorme schietschijf is. Als de hele wereld jouw ip'tje probeert te hacken weet je niet wat je overkomt.

    Welk software bedrijf gaat publiekelijk erkennen dat ze hun beveiliging niet op orde hebben?

    Een van de redenen waarom ik bijna altijd een fake telefoonnummer opgeef en waarom ik niet happig ben om een creditcard te gebruiken. Dat laatste vooral omdat niet duidelijk is wie/waar mijn gegevens worden gebruikt/opgeslagen.
    Met ideal wordt (uiteindelijk) het rekeningnummer zichtbaar voor de ontvangde partij, maar niet additionele security info (als bv. pasnummer). En ik weet zeker dat die gegevens bij de bank blijven.

    Waren de accounts in kwestie dan niet voorzien van MFA? Of zat de exploit juist daarin?
    Niet dat MFA heilig is, maar ben er wel benieuwd naar.

    Als je door het login proces komt, krijg je een authenticatietoken. Blijkbaar hebben de chinezen een vals token kunnen namaken, en dacht de server dat deze valide was. Hierdoor is het login proces überhaupt niet nodig.

    Dit is ook de reden waarom cookie hijacking zo gevaarlijk is. In je cookies worden je authenticatietokens / sessietokens bewaard. Dus als deze gestolen worden kunnen hackers dus (tijdelijk) inloggen alsof ze jou zijn, zonder username/password/MFA nodig te hebben.

    Er zijn ook nog erg veel gebruikers die SMS authenticatie gebruiken of gebeld worden en op # drukken gebruiken. Die authenticatie is natuurlijk makkelijk met een sim/telefoonnummer-copy te onderscheppen.

    [Reactie gewijzigd door SpitfireNL op 12 juli 2023 21:56]

    Ik durf te beweren dat SMS op een dumbphone veiliger is dan een smartphone met auth app.

    Waarom? Omdat sms'jes onderscheppen vaak via mobiele (cell) masten gaat. Ik denk dat een smartphone hacken en de code direct daar uitlezen makkelijker is.

    Maar goed, no issue, want (bijna) niemand heeft meer een dumbphone.

    Dan nog gaat het probleem uit het artikel om alle MFA maatregelen heen.

    Het probleem zit niet in de MFA of de telefoon maar in de eindgebruiker die naar een armed proxy website gaat.

    De gebruiker denkt dat hij op een valide site inlogd in AAD maar in werkelijkheid wordt het netwerk geproxyed via aan AiTM website.

    Nadat de user successvol zijn MFA heeft afgerond heeft de aanvaller alle tokens op zijn proxy staan die hij gewoon zonder reauth kan gebruiken,

    Kun je de end user zelfs de honky tonkie laten dansen voor een camera met de fido key in zijn hand zolang hij via de proxy gaat zijn de session tokens in handen van de aanvaller.

    Voor criminelen wel ja.

    [Reactie gewijzigd door Leejjon op 13 juli 2023 01:46]

    Dat is de reden waarom nu standaard verplicht is om de pincode die op je scherm staat in te typen in de MFA applicatie.
    Je bent natuurlijk sowieso oliedom als je niet achter je computer zit en je op dat hekje klikt.

    Kopiëren van een sim/telefoonnummer zie ik niet zo snel gebeuren. Een usb stick of usb kabel met ingebouwde microcontroller op de parkeerplaats is effectiever, goedkoper en een zekerdere kans van slagen.

    De bescherming tegen session cookie hijacking zit al eeuwen in alle browsers ingebakken.
    Je moet het alleen wel even aanzetten:
    Choose what to clear every time you close your browser: Cookies.
    Ja het is lastig. Maar ja. Of je multi miljard deal die op straat komt te liggen, of een beetje ongemak tijdens het opstarten, keuze snel gemaakt zou ik zeggen.

    Overheden die authenticatie tokens aanmaken lijkt me ook enorm ver gezocht.
    Het zal wel weer een of andere oliedomme stomkop zijn geweest die ergens in getrapt is en ergens op geklikt heeft waarvan hij eigenlijk al wist dat hij het niet zou moeten doen.

    [Reactie gewijzigd door Alfa1970 op 12 juli 2023 22:44]

    Zou je op deze manier een token achterover kunnen drukken?

    Waren dit nog 'eigen' mail omgevingen (aka exchange)? Of waren deze al over naar 'de clowd' (aka ms365)?
    En als het dan exchange was, waren dit nog 'eigen' accounts of waren ze al via azure of zo iets ontsloten omdat ze msTeams en msOffice365 moesten gebruiken?

    Zomaar een paar vragen. Nog niet zo heel lang geleden was er speciale software (en hardware?) nodig voor ministers en ambtenaren om onderweg bij hun mail te kunnen (aka: blackberry)...

    [Reactie gewijzigd door beerse op 12 juli 2023 21:49]

    Volgens mij staat vrij duidelijk in het artikel dat het om Azure AD (of moet ik het Entra ID noemen? :P ) en exchange online gaat.

    Overigens snap ik je referentie naar blackberrie niet.

    [Reactie gewijzigd door ZeromaNoiS op 13 juli 2023 00:19]

    Dat van azureAD daar had ik overheen gelezen, misschien iets te snel getriggerd door 'outlook' en 'exchange'.

    En misschien ook wel met de achtergrond dat de overheid pas heel recent gebruik mag maken van de cloud diensten. Maar natuurlijk zijn er al jaren overheids organisaties die gebruik maken van deze diensten omdat ze niet weten/beseffen dat het niet de bedoeling was om er gebruik van te maken...

    Dat van blackberry is vooral omdat die dienst bij veel organisaties gebruikt werd/wordt om de mail omgeving juist naar mobieltjes te ontsluiten. Ooit met fysieke blackberry toestellen, later met blackberry software op de huidige smart-phones.

    Ja. Het blackberry debacle kennen we allemaal nog. Ik snap wel dat het op deze manier gedaan word. Dit wil je eigenlijk gewoon totaal niet in-house hebben als overheidsorganisatie. Dan zijn er ook wederzijdse garanties en stimuleer je alles ook weer een beetje. En je krijgt gratis support, de azure services lopen de spuigaten uit, noem maar op. Azure is bezig om in Duitsland separate overheidsservices neer te zetten, daar zullen we hier uiteindelijk ook wel naartoe gaan, vooral vanuit het oogpunt dat in deze omgeving alle datacenters geplaatst gaan worden. Voor nu prima om ambtenaren aan dit systeem te laten wennen. Ik heb ook wel mijn vraagtekens bij de veiligheid van dit alles hoor, maar dat moeten we maar voor lief nemen denk ik. Het is op andere manieren veel makkelijker om informatie te krijgen. Misschien niet op grote schaal, tho...

    China ontkent, maar dikke kans dat ze het oogluikend toestaan of juist sponseren.
    Met The Great Firewall van hen weten ze exact welke data China in en uitgaat.

    Cynische leugens is hen niet vreemd.

    Maar natuurlijk is het gewoon de Chinese overheid. Chinese hackers, N-Koreaanse hackers, Russische hackers zijn in principe gewoon huurlingen die de data doorverkopen aan de Chinese overheid. De overheid is daarbij de opdrachtgever.
    Net zoals dat Poetin heel lang heeft beweerd dat PMC Wagner niet voor de Russische overheid zou werken en dat tot sinds kortgeleden Poetin eindelijk heeft toegegeven dat PMC Wagner altijd door de staat betaald is geweest.

    Ze hebben een eigen (beruchte) hack divisie, waar ook Noord Koreaanse hackers worden opgeleid, dat is geen geheim of een van de vele bangmaak verhalen maar ook in Chine gewoon bekend. Een bekende groep die hieruit voortkomt is RedGolf dat zich vooral op Windows systemen richt

    Natuurlijk hoor je niet dat er in China ook tal van org. gehacked worden door westerse org. Alleen in China en meer Aziatische landen is het een tendens om geen ruchtbaarheid te geven aan staatsfalen

    [Reactie gewijzigd door litebyte op 12 juli 2023 22:17]

    Alleen in China en meer Aziatische landen is het een tendens om geen ruchtbaarheid te geven aan staatsfalen

    In Europa komt het ook alleen pas naar buiten als men het niet meer binnenskamers kan houden, dus wat is precies je punt? Genoeg backdoors die wagenwijd open staan voor westerse inlichtingendiensten, maar als China er gebruik van maakt is het ineens een probleem?

    Nee, hoor vaak maken bedrijven zelf melding, bovendien is het verplicht om melding te maken van hacks als er gegevens zijn gestolen, in China mag je er niet over communiceren.

    [Reactie gewijzigd door litebyte op 13 juli 2023 00:46]

    Tuurlijk is dat een probleem.
    China, net als de Russen, vormen de reden waarom we de NAVO hebben.

    Zij zijn de grootste vijand voor onze manier van leven.

    en die mentaliteit zorg er voor dat we nu tegen over elkaar staan ipv langs elkaar.

    En dat komt omdat we naif zijn geweest sinds de jaren 90.

    We hadden gehoopt door meer handel te drijven met de Chinezen, ze meer democratisch zouden worden.
    Ondertussen hebben we een monster rijker en machtiger gemaakt.

    China is enorm veranderd tijdens onze 'uitverkoop' aan China. Zijn ze democratisch, nee absoluut niet, maar in vergelikjking met de mid jaren 90 tto nu zie je dat er tot ongeveer 2018 veel goeds veranderd m.b.t. vrijheden Chinezen zelf. Het is vooral sinds ongeveer 2018 dat 'vrijheden' weer langzaamaan terug wrorden gedraaid.

    We zijn enorm vals naief gweest, vooral nadat Xi Jinping aan de macht kwam en zijn volledige 25 jaren plan bekend maakte en goed bevestigd werd dat China niet aleen maar die grote productiehubvoor het westen zou blijven, we hebben daarnaast onze complete maakindustrie uitgeleverd aan China met als resultaat megawinsten voor westerse multinationals en een China dat nu de belangrijkste economie ter wereld is in een kleine 30 jaar. China is groot gemaakt door westerse hebzucht en westerse hypocrisy

    [Reactie gewijzigd door litebyte op 14 juli 2023 00:41]

    Je vergeet de Nederlandse hackers van het "Defensie" Cyber commando erbij te vernoemen.
    Zo'n beetje elke natie met meer dan 10 inwoners heeft dergelijke "hackers" in dienst.
    In Nederland schuiven we het onder het kopje defensie, omdat dat niet zo agressief klinkt, maar ondertussen kun je er gerust vanuit gaan dat ze niet met de duimen zitten te draaien en actief bezig zijn om informatie over "vijandige mogendheden" te verzamelen.

    Daar heeft iemand een redelijk duidelijk boek over geschreven. Zowel defensief als offensief zijn de Nederlandse staatshackers geen onbekende op het digitale slagveld.

    Elk statement van een overheid op dit gebied is kansloos.

    Wat een overheid in ieder geval niet zal zeggen?
    "Ja hoor, dat waren wij. We waren op zoek naar informatie van partij X".

    Al was het maar om te voorkomen dat het als een 'act of war' wordt gezien.

    Waarom draaien West-Europese overheden hun mail bij een Amerikaanse tech-toko, waarvan bekend is dat inlichtingendiensten wettelijk mogen grasduinen in de data?

    Omdat de politiek dat prima vind en de concurrenten ook Amerikaans zijn :p

    Volgens mij ligt de focus bij de EU vooral op de backend en niet zo op de frontend.

    In de datacenter wereld zie je redelijk wat initiatieven en nu met de European chips act maken we ook stappen. Denk dat het Geopolitiek gezien niet zo slim is om nu ook over dit soort dingen te beginnen :p

    Dit is (opnieuw) een direct gevolg van het feit dat er zoveel "prutsers" aangenomen zijn voor IT ontwikkeling. Eerst iets totaal anders studeren, bv. chemie, bouwkunde, of zelfs geschiedenis of klassieke talen, en dan daarna, als er geen werk in blijkt te zijn, in een vloek en een zucht omgeschoold worden tot (eerst: junior) IT "expert". Hoe denk je dat dat uitpakt als je hetzelfde toepast bij bv. medici of juristen: na een omscholingscursus van een paar maand tot een half jaar of (uitzondering) een jaar aan het werk als arts, tandarts, chirurg, advocaat of rechter. Waarom zou het dan wel werken voor informatici? Dus niet.

    Verder is het (ook) een direct gevolg van het bijna blindelings integreren van allerlei bestaande software om zo steeds nieuwe (vaak onnodige) functionaliteit toe te voegen, zonder dat deze software daar ooit voor bedoeld was.

    Ik probeer oprecht je reactie te begrijpen, maar waar werken deze prutsers volgens jou? Ik lees je reactie zodanig dat je stelt dat Microsoft ontwikkelaars prutsers zijn gezien het feit het lek in de cloudservices van Microsoft zat? Ben dan wel erg benieuwd op basis van welke bron je deze conclusie trekt?

    Dat er geen experts op de gemiddelde ICT afdeling zit bij bedrijven. En dat klopt want die kunnen meer verdienen als consultant bij een bedrijf als FOX-IT.
    'Pay peanuts, get monkeys' zoals het gezegde gaat.

    Edit: ik heb het hier over het NL bedrijfsleven / overheid, niet specifiek over MS.

    [Reactie gewijzigd door j-phone op 13 juli 2023 00:31]

    De oorzaak van al deze problemen is al heel erg lang bekend, zie bv.
    https://en.wikipedia.org/wiki/Software_crisis

    De nadien gekozen “oplossingen” om (1) met steeds meer mensen met een, over het algemeen, steeds minder gedegen informatica opleiding meer software te gaan ontwikkelen, (2) bestaande software te gaan “hergebruiken” zonder dat deze software daar ooit op gemaakt was, en (3) ongelimiteerd steeds sneller veelal onnodige extra functionaliteit toe te voegen, hebben als resultaat dat software tegenwoordig notoir onbetrouwbaar is geworden (of zo je wilt: gebleven). Anders dan in de jaren 60 van de vorige eeuw, toen dit al grotendeels voorzien werd, zijn we nu helaas geheel afhankelijk van deze krakkemikkige software.

    De oplossing: meer/alleen “echte” experts die software ontwikkelen, minder software integratie zolang die niet goed begrepen is, en veel langere levenscycli voor software zonder toevoeging van nieuw “features”.

    Wie heeft de AppId? Dan kunnen we het gewoon in de logs opzoeken.

    Mooi dat Microsoft het al binnen een paar weken heeft kunnen oplossen. Hulde!

    En ook dat ze het opgemerkt hebben en gedeeld hebben, anders waren de chinezen nog aan het data graaien.
    Sharing is caring.
    Kudos

    Als een bedrijf / school / overheidsinstantie gehackt wordt door methode x / y /z zijn de beheerders achterlijk en niet professioneel. Maar als MS is gehackt dan ben je blij dat het gedeelt wordt? De implicaties van deze hack zijn veel groter.
    En je bent verplicht het te melden.

    Dus waar je die kudos vandaan haalt? Spindoctor of marketingmedewerker?

    Op dit item kan niet meer gereageerd worden.

    Sources


    Article information

    Author: Kimberly Simmons

    Last Updated: 1698480121

    Views: 1381

    Rating: 4.3 / 5 (111 voted)

    Reviews: 82% of readers found this page helpful

    Author information

    Name: Kimberly Simmons

    Birthday: 2001-06-17

    Address: 9735 Hamilton Groves, Parkerside, RI 67441

    Phone: +4785698562320719

    Job: Dentist

    Hobby: Hiking, Juggling, Backpacking, Skateboarding, Photography, Wildlife Photography, Orienteering

    Introduction: My name is Kimberly Simmons, I am a lively, dear, cherished, apt, important, skilled, persistent person who loves writing and wants to share my knowledge and understanding with you.