Názor k článku Postřehy z bezpečnosti: Microsoft (zřejmě) zjistil, jak přišel o klíč od Adam Kalisz - V prvé řadě by člověk čekal, že Microsoft...
-
Adam KaliszStříbrný podporovatelV prvé řadě by člověk čekal, že Microsoft bude psát kód tak, aby pokud možno nepadal. Potom by předpokládal, že bude dumpy kompetentně čistit. Potom by čekal, že bude vývojové prostředí celkem bezpečné a ne tak prolezlé, že výskyt klíče v nějakém random dumpu je hned problém globálních rozměrů.
Takže efektivně Microsoft přiznal, že už nemá nad ničím kontrolu, protože mu ve vývojovém prostředí sedí či seděla nejméně jedna mocnost, která měla dostatečnou úroveň znalosti, že z random dumpu vytáhne ten správný klíč. Sám Microsoft připouští, že počítačům s jeho softwarem nelze věřit. Po tomto incidentu a jiných, jako https://www.wiz.io/blog/chaosdb-explained-azures-cosmos-db-vulnerability-walkthrough bych se hodně zamyslel, jestli se dá Microsoftu/ Azure věřit vůbec v nějakém ohledu. Firmě, která za 30 let existence svého operačního systému neumí kompetentně vyřešit updaty. Kombinace Windows, Office, Active Directory, Exchange/ Outlook, Edge, MS Teams atd. jsou očividně děravé jak řešeto a to i přímo uvnitř Microsoftu. Jak máme vyžadovat určitou úroveň po firmách, které mají zlomek možností Microsoftu včetně třeba toho, že ty produkty nepíšou a že nemají miliardové rozpočty na bezpečnost.
NÚKIB by měl z dlouhodobého hlediska největší přínos, kdyby z důvodu státní bezpečnosti nasazení softwaru Microsoftu v Česku plošně zakázal, dokud Microsoft produkty nepřepracuje, aby to nebyly takové bastly. Začít by mohli třeba tím, že bude možné Windows a všechny stěžejní aplikace updatovat za běhu.
