Viszonylag nemrég volt egy "vitám" valakivel aki egyszerűen tagadta, hogy valaha feltörtek volna bármilyen 'igazi felhőt" is. Aztán raktam be neki cikkeket... volt ami csak tán pár hónapos volt, de rögtön jött, jaj ezek ezer éves cikkek és hogy mostmár minden más... Nos, most itt van egy friss eset, egy "igazi felhővel" méghozzá egy fullos feltörés.
Fullos feltörés, vagyis akik így támadnak azok megtehettek bármit. Bármit elolvashattak, bármit módosíthattak, bármit törölhettek.
És ne legyen félreértés... most, hogy ezt a sérülékenységet befoltozzák, akkor minden rendben lesz... Nos: nem!!! Ezekben a felhőkben akár nagy cégek százai is lehetnek és egy ilyen aranybányát a titkosszolgálatok mindenáron meg akarnak majd szerezni... és ők nem fognak majd szólni, hogy találtak ilyen sérülékenységet. Én szerintem már rég van nekik jópár ilyen talált sérülékenységük és a jövőben is fognak találni.
Mit számít, hisz ha minden ami számtech sérülékeny, akkor felhőn kívül is megszerzik, nem?! Nos, fontos dolgot ne tarts neten, de amúgy is van egy hatalmas különbség... Ha több ezer, sőt kisebb cégekkel több tízezer céget kéne feltörni... nem lenne mindre kapacitás... a felhő ereje viszont az, hogy egyetlen töréssel megszerezheted mindet... olyan cégek adatait is, amikre nem is gondoltál.
Most a kommentszekcióban valahogy senki se akart vitatkozni velem... és amikor kijött egy újabb cikk arról, hogy a helyzet még súlyosbodik... ott is valahogy a felhő hívők tömege nem jelent meg... miért nem?
Plusz jóérzés-pont az, hogy olyan dolgokat hoztak fel az első cikkben, amiket én már itt évek óta tolok, sőt a blogom első cikkében benne van. Plusz ezekhez még hozzájön, hogy károsnak mondják a felhős lobbi nyomulását.
Nézzük is az első cikket:
"Hatalmas sérülékenység fenyegeti a Microsoft felhős ügyfeleit"
"A Microsoft a felhős ügyfelei közül több ezret figyelmeztetett arra (többek között a világ legnagyobb vállalatait is), hogy a támadók a fő felhős adatbázisaikat képesek lehettek olvasni, megváltoztatni vagy törölni."
"Olyan kulcsokhoz fértek hozzá, amelyeken keresztül több ezer cég adatbázisát lehetett elérni (a Wiz technológiai igazgatója ironikus módon a Microsoft Cloud Security Group korábbi technológiai igazgatója)."
Ráadásul a Microsoft magatól, automatikusan nem is oldja meg neked a problémát:
"A gondot az jelenti, hogy a Microsoft maga nem változtathatja meg a problémás kulcsokat, ezért e-mailben kereste meg az ügyfeleit, hogy hozzanak létre újakat. "
"A Wiz szerint egyébként ez a létező legrosszabb felhős sérülékenység, amit csak el lehet képzelni. "
"központi adatbázisáról van szó, ezért a Wiz gyakorlatilag bármelyik ügyfél adatbázisához hozzáfért, csak választania kellett."
"Az eset a szakemberek szerint azért is aggasztó, mert a Microsoft és a külsős szakértők folyamatos nyomást helyeznek a cégekre, hogy a saját infrastruktúrájuk helyett a nagy felhős szolgáltatókra hagyatkozzanak. A Reuters szerint hiába lehetnek így ritkábbak a támadások, ha egyszer gond van, akkor az hatalmas lehet, sok esetben pedig nem hozzák nyilvánosságra a történteket."
Amúgy Biden épp most beszélt arról, hogy a kritikus infrastruktúra nagy részét privát - nem kis részben tech- cégekre bízták, és hogy tenni kéne nekik valamit a biztonság érdekében... Ők meg olyanokat ígértek pl. hogy jó, majd többet költenek dolgozói képzésekre... Ja, majd az megoldja...
"Biden elnök a találkozón kijelentette: a valóság az, hogy a kritikus infrastruktúra legnagyobb része privát cégek kezében van, és azok is működtetik. A szövetségi kormány egyedül pedig nem tud szembenézni ezzel a kihívással (a kiberbiztonság kérdésével)."
Szóval itt vagyunk 2021... megjelent egy mainstream cikk amiben felhozzák a felhő ellen amit én már sok éve hangoztatok.
Vajon a második cikkben van folytatása a helyes iránynak? Nos... nincs... inkább visszarendeződés.
"Súlyosbodik a Microsoft újabb komoly botránya"
Azt hittem, hogy végre tán jön a gyökérkezelés... vagyis, hogy ki kell dobni mindnekinek a felhőt a pics@ba:
"A kiberbiztonsági szakemberek és hatóságok egyaránt mielőbbi cselekvésre szólították fel a vállalatokat a Microsoft felhős problémája miatt."
"Az amerikai belbiztonsági minisztérium kiberbiztonsági részlege, a CISA azonban már sokkal keményebben lépett fel. "
"A sérülékenység révén a kutatók a Cosmos DB adatbázisrendszer elsődleges digitális kulcsait tudták elérni, így gyakorlatilag a Microsoft összes felhős ügyfelének adatbázisát ellophatták, módosíthatták, törölhették – ahogy az esetleges igazi hackerek is."
Csak annyit mondanak, hogy frissítsék az ügyfelek maguk a kulcsokat, a Microsoft nem fogja megtenni helyettük...
Szóval minden folytatódhat tán tovább... egy percig a sötétségből kijutottak a fényre, aztán gyosan mentek vissza...
Vagyis mehet tovább az, hogy az egész Nyugat szellemi termékeit átadjuk... talán a jövőbeli ellenségeinknek és mai versenytársainknak.... és még fizetünk is érte.... havonta, örökké.
Juhéj, ha nem fontos neked céges titkaid biztonsága, válaszd a felhőt!
