#microsoft

prplcdclnw@diasp.eu

Biden Asked Microsoft to “Raise the Bar on Cybersecurity.” He May Have Helped Create an Illegal Monopoly.

https://www.propublica.org/article/microsoft-white-house-offer-cybersecurity-biden-nadella

Reporting Highlights

  • Raising the Bar: President Joe Biden asked tech companies to “raise the bar on cybersecurity.” So Microsoft offered the government free upgrades and the consultants to install them.
  • Competitive Advantage: While the plan helped the government bolster cybersecurity, it also helped Microsoft tighten its grip on federal business and freeze out its competitors.
  • Money for Nothing: Legal and contracting experts say the deals never should have come to pass, as they sidestep or even possibly violate federal procurement and antitrust laws.

#monopoly #monopolies #microsoft #propublica #cybersecurity #security #safety #biden #it #antitrust #antitrust-law

fefebot@diasp.org

[l] Ich rege mich ja gerne und häufig über hohles Marketing-Blablah von Security-Firmen auf, die dann hintenrum wissentlich Schrott produzieren und verkaufen.

Ein aktueller Hohlphrasen-Trend heißt "Secure by Design". Klingt eigentlich erstmal wie eine gute Idee, bis einem auffällt, dass da niemand etwas konkretes oder hilfreiches drunter versteht. Das ist einfach wie so ein Bullshit-Prüfsiegel-GIF im Web, das man auf seine Webseite pappt, damit die Kunden ein wohliges Gefühl haben.

Man kann das auch ernsthaft betreiben, klar. Ich halte seit einiger Zeit Vorträge darüber, wie ich konkret mein Blog so gebaut habe, wie ich mir Secure by Design vorstelle. Das ist allerdings transformativ. Das ist nichts, was man nachträglich dranflanscht. Man überlegt sich die Dinge vorher, damit das am Ende passt.

In meinem Blog habe ich eine Kombination aus Self-Sandboxing (Blog hat keinen Zugriff aufs Dateisystem, darf nur nach stdout schreiben und keine Sockets aufmachen) implementiert, und beim Anmelden prüft das Blog gar nichts sondern reicht die Credentials durch zum LDAP. Blog-Prozesse können sich gegenseitig nicht sehen.

Ergebnis: Ich könnte euch eine Shell-Kommandozeile im Blog einbauen und ihr könntet damit nichts machen, weil das Blog auch keine Prozesse starten kann und gegenüber dem LDAP nur mit den Zugriffsrechten angemeldet ist, die ihr über Bedienung des Blog-CGIs auslösen könnt. Das verstehe ich unter Secure by Design.

Wieso hole ich diese alten Kamellen raus? Weil mir gerade jemand diesen Artikel zu Secure by Design in der Industrie geschickt hat. Wie immer, wenn man inhaltlich nichts in der Hand hat, greift der Marketing-Experte zu "social proof" und listet zufriedene oder erfolgreiche Kunden. In diesem Fall Firmen, die Secure by Design erfolgreich umgesetzt haben.

Setzt euch mal stabil hin kurz:

The Cybersecurity and Infrastructure Security Agency’s (CISA) secure-by-design pledge has hit its six-month mark, and companies that took the pledge say they’ve made significant security improvements since they signed onto the initiative.

CISA ist sowas wie das BSI der USA. Eine Bundesbehörde. Und CISA ist hochzufrieden, dass ihr Compliance-Theater von der Industrie Kunstförderung erhält:

Jack Cable, a senior technical adviser at CISA, told Recorded Future News in a newly published Q&A about the project, which he said has “exceeded expectations.”

Gut, das heißt natürlich nichts. Die Erwartungen könnten auch negativ gewesen sein, so dass schon "keiner tut was" die Erwartungen übertroffen hätte. Aber seien wir mal kurz nicht so zynisch. Er nennt fünf konkrete Firmen.

Amazon Web Services

Fortinet

Microsoft

Okta

Sophos

Nein, wirklich! Das sind die fünf hervorstechenden Erfolgsgeschichten für Secure by Design!

Und was haben die am Ende gemacht, um Secure by Design behaupten zu können jetzt? Sie haben ihren Opfern, äh, Kunden MFA reingedrückt!

Und MFA ist meiner Ansicht nach Security-Theater. Tut nichts für eure Sicherheit und erlaubt den gehackten Firmen so zu tun, als sei das deine Schuld, weil du ihnen Passwörter anvertraut hast statt MFA zu machen.

Wenn eine Firma dich zu MFA nötigen will, denkt immer daran, wie Firmen nach Hacks sagen, "aber die Kreditkartennummern sind nicht weggekommen". Warum sind die nicht weggekommen? Weil das teuer würde für die Firma. Alle anderen Daten? Da scheißen die drauf, wenn die wegkommen. Ist ja euer Schaden, nicht ihrer.

#fefebot #microsoft #amazon