Mensen moeten eens serieus achter hun oren gaan krabben bij het gebruik van Microsoft software. Het heeft serieus zijn beste tijd wel gehad nu het langzaam veranderd in een grote gatenkaas. En dan heb ik het nog niet over de telemetry issues waar mijn nekharen compleet overeind van gaan staan.

Zucht..

Microsoft maakt veel software, heel veel software. In vele miljoenen regels code worden fouten gemaakt en in verhouding tot de hoeveelheid code zijn het aantal fouten nieteens zo heel groot.

Elke developer maakt fouten dus alle software bevat fouten.

Langzaam? je bent vast jong. Niks mis mee hoor :)

oh jeeej... bewust de keuze maken voor iets is ook bewust de consequenties voor rekening gaan nemen lijkt me....

roep de verantwoordelijke mensen maar ter verantwoording als je je nu bedonderd voelt!

het gaat niet om aantal fouten, het gaat om welk type fouten en kwaliteit van producten waar je voor betaald hebt vs de prijs en marketing promises die je erbij geloofd hebt enzo.... dat zijn de elementen die gaan bepalen of je iets als meuk classificeert!

maar dat wist je wel al he ronypony :)

Misschien kan er een lijst komen welke bedrijven of organisaties zijn gecompromitteerd.
Ik vind dat de consument recht heeft om te weten op welke software ecosysteem "de winkel" is gestandaardiseerd, zodat een risico beter kan worden ingeschat. Zeg maar een soort keurmerk.

Jij hebt vast onder die beroemde steen gelegen want afgerond alle malware/ransomware incidenten zijn windows gebasseerd.
Het gaat ook niet om het aantal fouten maar om fouten met kritieke impact (CVSS Scores 9+) en daar is MS meester in blijkt elke maand. Het is je al zo vaak verteld maar je blijft het maar negeren (domrechtsachtig, hetgeen niet betekend dat je dom bent maar doet alsof)

Vierhonderd gecompromitteerde SharePoint-servers op ruim 23.000 gescande systemen – dat is bijna 2%. In securitytermen: een bloedbad. En dit terwijl we het hebben over software die vaak de kroonjuwelen van een organisatie bevat: interne documenten, contracten, strategische plannen. Kortom: jackpot voor aanvallers.

Het meest zorgwekkend? Eye Security waarschuwde op 18 juli dat er actief misbruik plaatsvond vóórdat er een patch beschikbaar was. Zero-day in volle glorie. Dat betekent dat organisaties niet alleen moesten patchen, maar ook detecteren of er al een webshell draait. En zoals verwacht: dat laatste gebeurt vaak te laat.

Die webshells geven aanvallers een permanente achterdeur. Dus zelfs als je nu braaf gepatcht hebt, ben je niet per se veilig. Dit is het klassieke “closing the door after the burglar moved in and changed the locks”-scenario.

NCSC benadrukt nog even dat de SharePoint- en Citrix-kwetsbaarheden niets met elkaar te maken hebben. Logisch, maar het feit dat beide nu massaal worden misbruikt, maakt het voor veel IT-afdelingen een perfect storm. Twee kritieke enterprise-apps, beide doelwit van actieve aanvallen, en change management dat waarschijnlijk op vakantie is.

Advies: patchen is stap één, maar stap twee is forensisch onderzoek naar indicators of compromise. Als daar geen tijd voor is, kun je net zo goed alvast een incident response-plan openen, want die ga je nodig hebben.

Je komt blijkbaar net kijken. Bekijk het eens van een hackers perspectief. Misschien dat je het dan gaat zien.

Alle advies zinloos. Als Senior Security Expert bemerk ik een totale onwil om iets aan de situatie te doen. Ik ben kritische organisaties tegengekomen, denk aan banken, verzekeraars, overheden, alwaar men met een serieus gezicht durft te stellen dat een bedrijfsmiddel, te weten Microsoft Server 2012, absoluut nog okay is.

Evenals overheidsorganisaties die rustig een project opstarten, miljoenen verbranden aan "de digitale werkplek van de toekomst", ondertussen rustig "leuke apparatuur" die niet past in de infrastructuur, maar wel een leukigheidje is voor ambtenaren, moedwillig niet terugstuurt om vervolgens onder (natuurlijk de toplaag) van de organisatie te vergeven. Natuurlijk dusdanig geformuleerd en ingevuld dat het formeel tegen de "grens van ..." aanschuurt, maar formeel nooit zo benoemd kan worden.

Ik zie ze nog dagelijks: bedrijven waarbij het top management ofwel volledig vastgeroest is, en eigenlijk alles eraan doet om zo lang mogelijk te kunnen blijven rekken zodat het pensioen bereikt wordt, waarbij een houding heerst van "niets veranderen, want dan breekt het", alsook mensen waarvan ik oprecht afvraag wat die in hemelsnaam in het leven hebben gedaan, dat ze op de betreffende positie terecht zijn gekomen. Geen inhoudelijke kennis, besluiteloos, en als persoon veel "blah, blah", maar weinig wol verder.

Wordt een compleet extern team ingehuurd, ja, een program wordt opgestart, soms wel 10, 20 maar ik heb ze ook gezien van nagenoeg 100 experts. Externen. Miljoenen worden verbrandt; er worden zinnige en minder zinnige dingen benoemt, maar over het algemeen allemaal ware dingen die daadwerkelijk de problemen benoemen en kunnen oplossen.

De maturiteit verhogen, evenals het risico op drama's verkleinen. Maar ik denk dat in ongeveer 9 op de 10 projecten (of programma's) heb gezien dat na verloop van tijd "de nieuwigheid" er vanaf is. De aandacht alweer verslapt, de dopamine shopt niet meer daar, het budget alweer vergeven aan een volgend spele-dingetje, en dus security, maar ook governance, risk en soms zelfs compliance maar aan de kant geschoven wordt.

Moedwillig wettelijke kaders, wetten en (branche) regels aan de laars lappen zou uiteindelijk tot bestuurlijke aansprakelijkheid moeten lijden. Maar, omdat de overheid zelf hier eveneens een dikke vinger in de pap heeft, door zelf het verkeerde voorbeeld te geven; komt het er niet van om te handhaven.

Al tien jaar lang of langer, zie ik een patroon, een patroon welk veel weg heeft van eigenlijk een ongekend goed verkapte bananenrepubliek. Niet alleen Nederland overigens, ook Duitsland, Belgie, Frankrijk, Engeland om een paar te noemen. Persoonlijke belangen, vriendjes politiek en in alsmaar toenemende mate eigenlijk gewoon veel weggen hebben van een totaal corrupte, verdorven organisatiecultuur. Vaak aan de top.

Heb het meegemaakt, waar bestuurders van (semi) overheidsorganen letterlijk riepen: sorry, maar de boete is lager dan de implementatie van de oplossing, dus we doen het niet.

Uiteindelijk is de burger het slachtoffer. Wat velen niet realiseren is dat de misdaad niet stilstaat. Een simpel voorbeeld is de andere kant van het spectrum, alwaar AI wordt ingezet om gestolen informatie pools om te turnen tot economische goudmijnen.

Er zijn vele manieren om geld te verdienen, waarbij het nieuwe witwassen, gestolen data is, die niet 1:1, maar zelfs verreikt met allerlei andere gegevens wordt aangeboden. Aangezien we je koopgedrag op bol hebben, je continue stroom een posts over je vaping, evenals je stoerdoenerij dt je 200 per uur op de snelweg hebt gereden, gekoppeld aan je werkprofiel, omdat je daar ooit prive mails naar je werkt hebt gestuurd en zo, via big data analyse je facebook, email, en werk account met elkaar konden worden gekoppeld, betekend dit dat er met de huidige stand van techniek zelfs een voorspelling gemaakt kan worden wanneer je hoogstwaarschijnlijk naar het hiernamaals vertrekt, evenals je politieke voorkeuren, gezondheidsprofiel en meer ...

Slechte beveiliging is als een alsmaar harder worden geluid dat op een gegeven moment door een zekere echo gedragen wordt. Ook al verbeter je de beveiliging, eerdere gevolgen blijven nog een tijd "na-echoën".

En dan hebben we nog niet eens gehad over de categorie hobby bob(o)s: manager die een eigen draai geven aan wat wel of niet toepassing is op de organistie. Voorbeeld: cherry picking in de DORA standaard, of rustig 40 wettelijke vereisten wegstrepen met enkel de motivatie: "niet van toepassing". Waarbij een jaar later bij een audit de vraag wordt gesteld: wie op aard, was de mening toegedaan dat wettelijke bepalingen niet van toepassing zijn?

Ik zou een boek kunnen schrijven, mogelijk ook tijd om dat te doen. Kwaliteit van het management is veelal bedroevend, maar personeel is ook vaak niet beter. Kortom, het verbaast me niks en het zou u ook niet mogen verbazen.

Maar, hier is de voorspelling: het westen heeft over de gehele linie te maken met achteruitgang. Ouder wordende samenlevingen, betekend dat er een verschuiving van prioriteiten ontstaat. Behoudt van het oude, geen jonge generatie om alles financieel draaiende te houden, zal de ellende alleenmaar nog groter maken.

En dat is het einde van een tijdperk, want een China, Brazilie, en bondgenoten pompen als een gek in allerlei ontwikkelingen en hebben inmiddels de overhand in Afrika en Zuid Amerika. Het zegt veel als de BBC World Service zich uit Afrika en delen van Azie zich terugtrekt, en in die landen Chinese TV het meest populair is. Het zegt ook ontegenzeggelijk veel als de bevolking in die landen niet een Westerse taal (inclusief het spaans) wil leren, maar Chinees of Hindi.

En iets wat we hebben gezien in zuid en oost europa gaat hier ook hier weer opspelen: op een gegeven moment hadden landen als Spanje, Italie, Polen modernere voorzieningen op bepaalde vlakken dan een Duitsland of Nederland. Gewoon, omdat ze later met bepaalde technologie starten.

Ook, omdat TOEN de bevolking relatief jong was, was de mate van acceptatie van nieuwe technologie hoog. Inmiddels huppelen de landen achter het westen aan en voegen zich bij de "afdeling geriatrie" der continenten.

En dit alles, weerklinkt dus keihard in IT. Niet meer ,maar minder.

En hier had het zo mooi kunnen zijn met een alternatief voor microsoft. En die zijn er ... Maar de wilskracht om nieuwe icoontjes te accepteren op je bureaublad waar je al 15 jaar tegen aan kijkt, is er niet. Evenals de zin om de infrastructuur te migreren naar iets nieuws, maar waarbij je mogelijk wel een beheerder met hersens voor nodig hebt en niet hoeft te klikken op mooi geanimeerde Entra pagina's voorzien van een AI agent.

Kortom, Sharepoint ... Het had ook een Europees alternatief kunnen wezen, maar nee. "Wij willen Sharepoint". Goede zet van Microsoft als je naar de strategie van de afgelopen 30 jaar kijkt. Onderwijs, overheid ... Ze zitten gebakken ...

Je snapt het dus echt niet.

Hoe meer code je schrijft hoe groter de kans op fouten, hoe complexer de code hoe complexer de fouten.

Het is nou eenmaal lucratief om een veel gebruikt stuk software te onderzoeken op fouten, maakt de kans op slagen groter. Het vinden van een lek in een niche product zet geen zoden aan de dijk.

Maar ja, blijkbaar ben je te simpel om dat te snappen.

Wat is dat toch met die windows lui die een ander steeds betichten van niet snappen, beginneling etc.
Windows is niet ontworpen met security in mind. Snap dat toch eens! Het is nog veel erger, het is zelfs niet ontworpen als een multiuser systeem. Het is er ooit bij geflanst door Citrix (ook al zo'n leverancier die grote steken laat vallen), dan krijg je zoveel lines of code. Software bult na software bult. Het is ook zo inflexibel dat je de GUI er niet kan uithalen, dan moet je windows helemaal opnieuw installeren. Microsoft was ooit begonnen om een nieuw OS vanaf scratch op te zetten omdat de naam al jaren was besmeurd. Dat is ook niks geworden. Men heeft nu Linux omarmd. Zit standaard al in 11 en Azure is er mee gebouwd, daarvoor heeft men zelfs een eigen LInux distro opgezet. Kortom men is eigenlijk al lang overgestapt maar houdt het aan vanwege backwards compatibility. Er wordt ook niks meer mee verdient.

ha ha ha... kereltje toch...

JIJ snapt dat je nu net het 'many eyes make shalow bugs' dat voor open source geldt onderstreept met je laatste argument?

https://en.wikipedia.org/wiki/Linus's_law


Ik nodig je uit eens een avondje hier te browsen en snuffelen: https://www.cvedetails.com/vendor/26/Microsoft.html

Jong of niet, er is een duidelijke correllatie tussen dit soort situaties en het gebruik van microsofts' diensten, al 30 jaar lang kun je een macos of linux systeem met de standaard configuratie direct aan internet hangen zonder echt risico, wel updaten als ie het vraagt natuurlijk.

Ze zitten met de gebakken peren zul je bedoelen!
Er zijn nog maar weinig instellingen die offline gaan, dus er zullen nog heel wat slachtoffers bijkomen

Jaja, alleen de kwantiteit telt, kwaliteit betekent kosten, en die worden vermeden. In die niche producten is vaak wel aandacht aan de kwaliteit besteed, dus daar ben je beter mee omdat ze minder fouten bevatten. Een aanvaller die snel wil scoren gaat voor de makkelijkste prooi.

Het probleem is dat er nog nooit iemand is ontslagen voor het inzetten van Microsoft software op kritische plekken. Als het een Europees alternatief was geweest op basis van Linux waren er al lang koppen gerold.