Door Anoniem: Door Anoniem: Ze zoeken iemand om er in te luizen, zodat jij de schuld krijgt als er wat fout gaat. Niet intrappen. Ik weet echter niet hoe je hier een einde aan kan maken. Als je dit aan het daglicht brengt zal je nooit meer werk vinden, je toekomst is dan voorbij.
Je wordt er in geluisd.
Ik heb het zo vaak gezien, een zondebok in een organisatie, dat is wat je zal worden, trap er niet in.
Wat ik zou denken, neem een advocaat die er op staat je toegang stop te zetten, je wil toch niet verantwoordelijk zijn voor waar je er voor wordt ingeluisd?
Wat een bangmakerij. Niet te geloven dit. Je hebt geen toekomst meer als je een beveiligingsissue meldt? Ben je wel helemaal 100?
Werk je bij Fox It?
Zo gek is dat niet als je ziet wat er met de jonge man is gebeurd die WannaCry stopte, die zit nu lekker in de USA vast weliswaar op borgtocht, met een GoFundMe en de hele USA regering achter zich aan voor het tegenhouden van WannaCry.
Verder meld Security o.a. dit,
Beveiligingsonderzoekers en hackers zwijgen over lekken omdat ze bang zijn voor Microsoft, aldus beveiligingsexpert Robert Graham, die zelf ook door de softwaregigant bedreigd zou zijn. Graham reageert naar aanleiding van het lek in Internet Explorer, waardoor vermoedelijk Chinese hackers bij Google wisten in te breken. De bug noemt hij op zichzelf geen falen van Microsoft. "Microsoft is waarschijnlijk de beste in de industrie als het gaat om het oplossen van dit soort bugs." Toch had de reus uit Redmond een week nodig om het lek te patchen en wist het hier al maanden van. "Dat is een vrij lange tijd voor een zero-day om los te lopen."
Bedreiging
Volgens Graham reageerde Microsoft vroeger sneller op grote beveiligingslekken en wordt het elk jaar erger. "Dat komt doordat ze direct of indirect de helft van de beveiligingsindustrie inhuren en de andere helft beïnvloeden." Als Microsoft een lek negeert en een onderzoeker besluit het probleem bekend te maken, dan zal Microsoft ze binnen de industrie proberen te weren. "Onderzoekers houden hun mond omdat ze bang zijn voor Microsoft", zegt Graham. Zelf zegt hij ook door de Microsoft bedreigd te zijn.
Hij ontdekte een aantal jaren geleden een eenvoudig WiFi-lek in Windows Mobile. Het werd nooit gepatcht, grotendeels omdat de telecomprovider dit weigerde. Aangezien hij het lek pas kon publiceren na de patch, betekende dit dat hij het lek nooit publiceerde. "We kennen veel onderzoekers die lekken in Windows Mobile vinden die voor precies dezelfde reden nooit gepubliceerd worden." In het geval van Graham zou hij daarnaast bezoek van FBI-agenten hebben gehad, die dreigden zijn profiel aan te passen, zodat hij niet meer voor de overheid kon werken. "Dit werd gedaan onder druk van Microsoft."
Graham erkent dat het redelijk van Microsoft is om te verlangen dat onderzoekers wachten met publiceren totdat er een patch is. Microsoft zou echter zijn doorgeslagen, met als gevolg dat ze te lang over het patchen van lekken doen.
Noodpatch
Een ander probleem waar de softwaregigant mee zit zijn de noodpatches. Out-of-band updates kosten zowel voor Microsoft als klanten veel geld. De maandelijkse patchcyclus is dan ook goedkoper en eenvoudiger voor iedereen. Toch komt het voor dat een lek zo ernstig is dat het buiten deze cyclus om gepatcht moet worden. De beveiligingsexpert vroeg Microsoft of het hier een budget voor heeft en tot zijn grote verrassing blijkt dit niet zo te zijn. Out-of-band patches zouden namelijk nooit moeten voorkomen.
"Ik durf er geld op te zetten dat er in de komende maanden een nieuw zero-day lek in Windows wordt gevonden en Microsoft moet hier rekening mee houden." Microsoft mag dan de beste in het oplossen van bugs en lekken zijn. De reactie op het recente IE-lek noemt Graham een fiasco. "Daarnaast wordt Microsoft steeds slechter in het oplossen van lekken, niet beter."
Mensen, negeer beveiligingslekken, doe alsof het niet gebeurt. Dat scheelt je tijd en je leven. Je bent slechts een zondebok, meer niet, maar ook niet minder.
Vanzelfsprekend is een machtig bedrijf als Microsoft niet vergelijkbaar met iemand die bij een Nederlands bedrijf gaat klokkenluider, maar we kennen onze pappenheimers, en we weten hoe het in Nederland afloopt met klokkenluiders, daar zijn tientallen zaken over te vinden, ook in het niet digitaal domein, zoals Defensie met kenmerkend dat als je mensenlevens wil redden ten koste van geld je eindigt zoals hier beschreven, een verhaal zo ernstig dat er een film over gemaakt zou moeten worden.
https://nl.wikipedia.org/wiki/Fred_Spijkers
Ga niet klokkenluiden, die term is afkomstig van dat bij begrafenis een doodsklok werd geluid voor gelovigen. Doe het niet wees verstandig, houd je mond.
Horen, zien, zwijgen.