A biztonság az első

Ez egy olyan vissza-visszatérő probléma, amit talán nem 20 évente kellene elővenni, hanem folyamatosan szem előtt tartani.

Egy levél Satya Nadellától

A The Verge tett szert egy belső memóra, amelyet Nadella küldött ki a Microsoft nagyjából 200 ezer alkalmazottjának nemrégiben. Ebben a levélben Nadella megemlékezik a korábban belsőleg indított Secure Future Initiative-ről (SFI), majd hangsúlyozta, hogy ha az alkalmazottaknak választaniuk kell a biztonság és bármilyen más prioritás között, akkor a biztonság az elsődleges. Ezt a mondanivalót azután terítette Nadella, hogy a közelmúltban több sikeres támadást is végrehajtottak kínai és orosz, államilag támogatott támadócsoportok a cég felhős rendszerei ellen, elérve állami email emaileket, a redmondi cég vezetőinek levelezését, valamint forráskódokat. A forráskódokat egy tavaly kezdődött támadás-sorozatban a SolarWinds-hez behatoló Midnight Blizzard csoport érte el. A cég szerint ezeket a forráskódokat "ellopták" - sajnos ez teljesen vakon hagy mindenkit: csak letöltötték ezeket a kódokat, hogy 0day exploitokat készítsenek? Vagy ezek már benne vannak valamelyik termék forráskódjában? (A forráskódokat többször ie "meglátogatták" a támadók.) Sajnos azt sem tudni, mely produktumok érintettek - ami azért felvet megbízhatósági kérdéseket.

A történelem megismétli önmagát

Alapvetően egyetértek a Microsoft-vezérrel, a biztonság az első. Össze vagyunk kötve mindenféle eszközökön keresztül a mindennapi életben használt fontos és kevésbé fontos online rendszerekkel, felhőkkel, ahol mindenképpen szükség van a biztonság különböző aspektusainak implementálására, használatára.

Azzal viszont bajom van, hogy a Microsoft CEO mondatait hallottuk már 22 éve is - akkor még Bill Gates mondandója volt ugyanez. Akkor az alapító kijelentette, hogy mivel az IIS-t és a Windows .NET szervert biztonsági szempontból rendbe rakták (ezt most nem véleményezem), valamint az error reportingot beépítették az Office és Windows XP-be, ami jó rálátást adott nekik a felmerült problémákra, a teljes Windows-divízión is áttolják a biztonsági vizsgálatot.
Most van Windows 10/11, Server 2019/2022 beépített telemetriával (feltételezem az összes komolyabb on-prem eszközben is benne van, vagy van interface az operációs rendszerbe implementált telemtriai rendszer elérésére), az aktuális CEO megint kijelenti, hogy a biztonság az elsődleges prioritás.

Felvetődő kérdések

Sok kérdés felmerül mind a biztonsági incidensek, mind a CEO levele kapcsán. A legevidensebb: ki gondolta azt a Microsoftnál, hogy ha bő két évtizede jól-rosszul rendbe rakták az akkori kódbázisukat, akkor végeztek a munkával? Természetesen a Microsoftnál is jönnek-mennek az emberek, egy részük lecserélődik, más részük esetleg még nem is élt, amikor 2002-ben az ominózus mondatok elhangzottak, azonban én azt gondolom, hogy egy olyan cégnél, ahol a termékfejlesztések az alap üzleti műveletek közé tartoznak, az új belépők alap tréning csomagjának tartalmaznia kell a Nadella által hangsúlyozottakat. Pláne, hogy 2002 óta két új, nagyon szignifikáns technológia jelent meg, a Microsoft pedig mindkettőben érdekelt: a felhő és az AI. Az első technológia megvédésében - mint fentebb láthatjuk - a Microsoft útja igen rögös, remélhetőleg a másodikhoz jobban tudnak alkalmazkodni.

A másik felmerülő kérdés merőben technológiai: a Ballmer-éra ostoba és durcás hozzáállása után a Microsoft megváltozott a nyílt forráskódhoz való hozzáállást tekintve és nagyon sok termékük használ ilyen erőforrásokat, illetve ők maguk is adnak ki ilyeneket (amolyan Microsoft-módra, telerakva telemetriával). Mi a hozzáállásuk, ha például az openssl könyvtárakban van ilyen hiba: megvárják, amíg a közösség kijavítja azt; ők maguk állnak neki és a javítást visszaadják az open source közösségnek; vagy elkészítik és implementálják a saját megoldásukat?

Ezek megválaszolása a Microsoftra vár.


CoreSec
2024.05.05.