Nemrég a Microsoft állítólag nyitott a nyilt forráskódú versenytársa felé, de ha olvastátok a blogom tudhatjátok, hogy viszonylag nemrég összeomlasztotta és használhatatlanná tette az egy gépen futó operációs rendszereket és úgy, hogy más megoldás nem volt a nyílt forráskód közösségnek kellett elkészíteni az ellenszert, nem volt univerzális megoldás, bármi ami gyorsan megoldja a problémát...

Most a Microsoft segítőkeze megint csak ártott:

"Elrontotta a Linux kernelt a Microsoft egy hozzájárulása annak kódjához"

" A redmondi fejlesztő egy, elvileg a rendszermag működését gyorsító változtatása ugyanis amolyan mellékhatásként kiiktatta a nyílt forrású kernel egy fontos biztonsági technológiáját, a Control Flow Integrity-t (CFI)."

Ráadásul ezt úgy tette a Microsoft, hogy épp jönne egy fontos verziószám lépés ja és a problémát okozó Microsoft update-ot, a Microsoft a központi adattárba úgy küldte be, hogy a kernel adott részéért felelős karbantartók előzetesen elfogadták volna.

Szóval biztos csak véletlen ez is...

Jobb inkább külön.

Rogán Antalt nemrég a hamarosan távozó amerikai nagykövet tiltó listára tette és a Fidesz sajtóban óriási reakciót váltott ki és szerintük csak politikai bosszú az egész:

"Terroristákkal és bűnözőkkel került Rogán Antal egy listára"

"Gulyás Gergely: A Biden-kormány bosszúja Rogán Antal szankciós listára helyezése"

"Úgy tűnik, Rogán Antalon csattan az amerikai nagykövet elbocsátása"

És van egy friss ügy is:

"Rogán Antal apósa kiszállt a 2,2 milliárdos uniós pénzt elnyerő cégből"

Igazából lehet simán tényleg csak politikai okból támadják Rogánt, de... az is lehet, hogy politikai okból támadják és... igazából van miért.

Amit viszont tudunk róla, hogy ő a felelős a digitális állampolgárság programért... aminél a saját maguk által hozott szuperrövid időt se várták meg a társadalmi vitánál, plusz ugye nemrég kiderült, hogy amit a biztonság kapcsán csinálnak az egy rémálom, a kétfaktoros azonosítás elkészítésére nem lesz egy hónapjuk se azoknak akik végül csinálhatják és azóta megtudhattuk, hogy mindenféle biztonsági aggály ellenére MINDENKÉPPEN meg kell lennie az Ügyfélkapu+-nak:

"Az Ügyfélkapu+ márpedig elindul - a nap hírei"

Szóval itt van az ország minden állampolgárának fontos adata egy felhőben és igazából egy viccként kezelik a biztonság kialakítását. Amúgy se sikerülne hackerbiztosra csinálni, node igazából mégcsak nem is adnak a látszatra se... illetve amikor reklámozzák mindig elmondják, hogy mennyire biztonságos, de igazából a biztonság úgy tűnik az utolsó helyen van.

Az tuti, hogy nem a magyar emberek érdeke van az első helyen...

"A fejlesztő azt ígéri, mindkét rendszerben tökéletesen működik majd a regisztráció és az azonosítás. A felhasználók visszajelzései alapján azonban folyamatosan gondok vannak ezekkel a funkciókkal."

Na megvolt, találkoztam a volt főnökömmel miután hazajött az USA-ból.

Viszont én csak egy voltam a sok meghívottból, volt ott sok rokona.

Az USA útjáról inkább mint minden egyébről beszélt az AI-ról, eleve mondta, hogy sok anyagot majd később kell letöltenie.

Viszont azért volt arról is szó.

Az egyik érdekes az volt hogy azt mesélte, hogy a Szilikon völgyben nincs fehér ember aki foglalkozna az AI-val.

Azt mondta, hogy 60% amerikai ázsiai, 20% indiai, a maradékot meg úgy lehetne leírni, hogy... DEI, vagyis diverzitás alkalmazott. Igazából egy-két fehér ember volt ott, de azok se amerikaik, az egyik ukrán volt.

Az egyik videóját tán egy darabig nyilvánossá tette és örült, mert pár ezer nézője volt, de aztán mesélte, hogy a pár másodperces videóka ami arról szólt, hogy a kutyája játszik a hóban 5-ször annyi embert érdekelt...

A kevés beszélgetés az AI-ról érdkes volt, mert beindult azzal, hogy milyen nagyszerű, de... a családtagjai elkezdtek elég negatívan hozzáállni a dologhoz, egyikük pl. mesélte, hogy valami egészségügyi AI-t próbált ki és totál marhaságokat mondott, a másik programozó meg mondta, hogy ők használják AI-t és egyszerűen nem látja, hogyan tudna programozókat kiváltani az AI, mert attól nagyon távol van, és mesélte, hogy miért.

És amúgy ez hatott, mert elkezdett arról beszélni, hogy igazából az ő saját munkáját is nem fogja kiváltani, nagyon gyerekcipőben jár.

Ja vagyis... saját családja rántotta vissza a Földre.

Felhő a marketing anyagokban: a biztonság netovábbja.

Felhő ha még valami nagy cég áll mögötte a marketing anyagokban: fokozhatatlan biztonság.

Felhő a valóságban:  "A banális sérülékenységnek köszönhetően illetéktelen beleolvashattak mások az Outlook levelezőrendszerben emailjeibe, vagy letölthették OneDrive-on tárolt fájljaikat - a Teams csevegésekhez hozzáférésről és egyebekről nem is beszélve."

"Simán ki lehetett cselezni a Microsoft többfaktoros online azonosítását"

Kétfaktoros azonosítás... pedig arról is úgy írnak sokszor mint numero uno biztonsági megoldás.

"Egy biztonsági cég a héten számolt be arról, hogy szakértőinek sikerült egy rendívül súlyos biztonsági rést azonosítaniuk a Microsoft által felhős szolgáltatásai védelmére használt többfaktoros azonosítási (MFA) eljárásban. A banális sérülékenységnek köszönhetően illetéktelen beleolvashattak mások az Outlook levelezőrendszerben emailjeibe, vagy letölthették OneDrive-on tárolt fájljaikat - a Teams csevegésekhez hozzáférésről és egyebekről nem is beszélve."

"Minderre az adott lehetőséget, hogy a Microsoft nem korlátozta megfelelően, hogy milyen ütemben és kik tudnak megpróbálni bejelentkezni rendszerébe, amit egy 6-jegyű kód kiküldésével védett. A problémát az képezte, hogy ha a támadók gyors egymásutánban, illetve párhuzamosan rengeteg bejelentkezési próbálkozást is kezdeményeztek, majd azokban módszeresen elkezdték végigpróbálni ezeket a kódokat, akkor záros időn belül eltalálhatták a 6-jegyű kódot - ezáltal lényegében kiiktatva a többfaktoros azonosítást."

Gondolom ezek a hatjegyű kódok csak számokat és sima betűket tartalmaztak... Vagy talán csak számokat. Ami szintén elég gyenge biztonságot jelent.

De akárhogy is... ha egy mezei biztonsági cégnek megvoltak az erőforrásai hozzá, hogy  "záros időn belül" így bejussanak, akkor állami titkosszolgálatoknak hogy ne lenne meg hozzá? És a Microsoft azt szeretné, hogy cégek mindenféle fontos adataikat bizzák rájuk... Akik megtették azok nyitott könyvek. Igen, jelen idő is. Hiába derült ez ki, mert volt más út, van más út és lesz is más út.

"A hibát felfedező kutatók szerint erre mindössze egy óra elég lehetett, ami célzott támadások esetében gyakorlatilag semmi, és tömeges visszaélésre is igen nagy mennyiségben adott lehetőséget."

Itt tényleg többszörösen alap biztonsági beállítások voltak katasztrofálisan rosszul kalibrálva. Máshol ahol kétfaktoros kódokat küldenek ki, van mondjuk két perced, hogy beírd, a Microsoftnál viszont akár egy órával később is megadhatod a kódot? Ez nagyon égő, nagyon nem profi. Pedig állítólag a felhős cégeknél a legjobbak dolgoznak...

"a megtámadott felhasználók a feltörési kísérletekből sem vehettek semmit észre."

Igen, ez az egyik legjobb megoldás hackerek részéről talán...

"Ugyanakkor mivel a sérülékenységet jelentették a Microsoftnak, az kiküszöbölte a visszaélési lehetőséget, és most már ilyen módon nem lehet kikerülni a felhőszolgáltatás többfaktoros védelmét."

Aham, szuper, csakhogy sok-sok éven át mondják, hogy mennyire szuperbiztonságos a felhőjük és hogy a legjobbak dolgoznak nekik, de közben kiderül, hogy megint itt egy módszer, ami azért létezhetett, mert az alap biztonsági beállításaik agyadat eldobod szinten rosszak voltak és emiatt mióta létezik a felhő minden tag után kémkedhettek így, úgy hogy még csak fel se tünt a felhasználónak.