Mastodawn

Manfred Münzl Jul 25, 2023

Kuketz-Blog 🛡

Nach meiner Einschätzung sind nicht nur große Teile der Microsoft-O365-Service kompromittiert, sondern auch alle Windows-Rechner, die damit verbunden waren. Ein Super-Gau epischen Ausmaßes - scheint vielen aktuell nicht klar zu sein. 🤷‍♂️ 👇

https://www.heise.de/news/Neue-Erkenntnisse-Microsofts-Cloud-Luecken-viel-groesser-als-angenommen-9224640.html

#microsoft #cloud #sicherheit #security #MS365 #datenschutz #privacy #datenverlust #malware

Microsofts gestohlener Schlüssel mächtiger als vermutet

Ein gestohlener Schlüssel funktionierte möglicherweise nicht nur bei Exchange Online, sondern war eine Art Masterkey für große Teile der Microsoft-Cloud.

heise online

Ramon Jul 25, 2023

@kuketzblog Und die aktuelle Krisenkommunikation zu dem Disaster lässt böses erahnen. Hier wird heruntergespielt, so gut es möglich ist...

André Jul 25, 2023

@kuketzblog Cloud first, Bedenken second

@blotto Und genügend Firmen versuchen noch immer, alles in die Cloud zu schieben - ob sinnvoll oder nicht. @kuketzblog

Lackfabrikant (EVduckR)Jul 25, 2023

@blotto @kuketzblog Tja, wie heißt es so schön: „Die Cloud ist auch nur be der Computer von jemand anderem.“ und ob dieser Jemand auf meine Daten genau so gut aufpasst wie ich, ist fraglich.

André Jul 25, 2023

@EVduckR @kuketzblog

ꂵꍏꋪꀤꂦ 🖖Jul 25, 2023

Das klingt gar nicht gut. Welche sind eigtl die zwei anderen großen Cloud Anbieter, die im Artikel erwähnt werden?

@Nake Vermutlich Amazon (AWS) und Google... @kuketzblog

Agitatra 🚲🐻🌿🇪🇺🇺🇦Jul 25, 2023

@Nake @kuketzblog Google & Amazon.

Nordnick 🌐Jul 25, 2023

@[email protected]

Ich würde mal auf #Alphabet / #Google und #Amazon tippen.

@[email protected]

@Nake @kuketzblog
AWS (Amazon) und GCP (Google)

nadaka Jul 25, 2023

@kuketzblog Ich verfolge das Thema, zum Glück nur als Zaungast, nicht als Betroffener. Kannst Du näher erläutern, wie lokale Installationen in diesen Sog mit hineingezogen werden könnten?

datenimperator Jul 25, 2023

@kuketzblog "wir haben keine eigene IT mehr, ist alles in der Cloud. Weil billiger und sicherer."

Jede Firma, 2023

nadaka Jul 25, 2023

@datenimperator @kuketzblog true. Aber es gibt noch ein paar gallische Dörfer da draußen, die Widerstand leisten, zum Beispiel dort, wo ich arbeite. Seit 12 Jahren stemme ich mich gegen diesen Trend. Sehr anstrengend.

pat Jul 25, 2023

@kuketzblog @datenimperator @nadaka Du hast ja jetzt mit dem was bei MS passiert ist auch gute Gründe und Erklärungen dafür es nicht zu machen falls mal wieder jemand auf die Idee kommt in die Wolke zu gehen😉

schatel Jul 25, 2023

@nadaka @datenimperator @kuketzblog Oh ja, wem erzählst du das ... und das ohne Zaubertrank und mit fussligem Mund ... ich geb nicht auf, auch wenn mein Admin von LDAP auf AD wechselt ... wir werden gewinnen, so oder so ;-)

Lars Jul 25, 2023

@nadaka @datenimperator @kuketzblog Mein Chef auch. Der lebt seinen Antiamerikanismus durch Open Source (wo es sinnvoll ist).

Kai Ahnung Jul 30, 2023

@nadaka
Oh ja. Kenne ich

@datenimperator @kuketzblog

strangefinder Jul 25, 2023

Das ist alles Lobbyarbeit, Bequemlichkeit und kurzfristiges Denken.
Da hat hat Opensource etc leider wenig Kompetenzen.
Vernunft ist leider selten ein gutes Argument in politischen Entscheidungen.

einfachnurRoland Jul 25, 2023

@kuketzblog der letzte #Supergau der #ITSicherheit ist ja schon 1,5 Jahre her.
#log4j

Stefan Rother-Stübs Jul 26, 2023

@einfachnurRoland

Im Unterschied zu Log4J ist es wohl mit einem Update einer Abhängigkeit nicht getan .

Und selbst Log4Shell war schon teilweise mit einigem Aufwand für Nacharbeiten verbunden.

Dieses Problem klingt eher systemisch.

#supergau #itsicherheit #log4j

einfachnurRoland Jul 25, 2023

@kuketzblog Jeder Anbieter einer 300 Watt-Elektronik hat seine Baupläne einer Prüfinstanz vorzulegen und muss die Konformität auf jedem Produkt deklarieren - ist ja beim Deye-Gate durchdiskutiert worden.

Wie wäre es mal mit einer #CEKennzeichnung für #Software?!?

Agitatra 🚲🐻🌿🇪🇺🇺🇦Jul 25, 2023

@einfachnurRoland @kuketzblog Das CE-Kennzeichen ist auch nur PIacebo, bis jemand zufällig kontrolliert ob das Produkt tatsächlich die Ansprüche erfüllt. Bei Software ist das, sogar mit Kenntnis des Quellkode, nur mit sehr viel Aufwand möglich.

einfachnurRoland Jul 25, 2023

@agitatra @kuketzblog ja, aber es beinhaltet Sanktionsmöglichkeiten der einschlägigen Behörden ohne große Gerichtsprozesse, bis hin zum Versagen des Marktzuganges, so weit ich weiß.

Ein sehr schlankes und unzuverlässiges, aber dennoch scharfes Schwert.

Agitatra 🚲🐻🌿🇪🇺🇺🇦Jul 25, 2023

@einfachnurRoland @kuketzblog Ja, aber wie man beim Dye-Gate sieht, können ganz schön viele Kinder in den Brunnen gefallen sein, bis das Schwert endlich seine Aufgabe erfüllt.

Agitatra 🚲🐻🌿🇪🇺🇺🇦Jul 25, 2023

@einfachnurRoland @kuketzblog Aber ja, besser als gar nix.

Der vegane Debianer 🇺🇦 🍀Jul 25, 2023

@kuketzblog
Das fällt kaum auf, MS Office 365 ist ja schon seit Jahren buggy - genauso wie Windows und Office von MS.

Am besten alles 'MS' abschalten, dann gehts der Welt besser.

P.S. Die wichtigen Geräte der Welt laufen sowieso auf Linux oder Unix/BSD.

Stefan Rother-Stübs Jul 26, 2023

@joo4mart
@kuketzblog

"Mit Linux wäre das nicht passiert" finde ich nicht hilfreich.

Ich bevorzuge auch FOSS-Lösungen, allerdings ist niemand damit geholfen, auf Linux zu verweisen, wenn die Leute jetzt vor einem sicherheitstechnischen Scherbenhaufen sitzen.

Auch wenn ich für Microsoft nicht so viel übrig habe, kann ich wenigstens nachvollziehen, dass man von Microsoft eine GAU dieses Ausmaßes nicht unbedingt erwarten muss.

M Berberich Jul 25, 2023

@kuketzblog
Das würde für etliche Firmen bedeuten, daß sie ihre IT komplett plattmachen und neu aufsetzen müßten. Wird niemand machen…

Stefan Rother-Stübs Jul 26, 2023

Heißt ja nicht umsonst Vendor-Lock-In

Stefan Rother-Stübs Jul 26, 2023

@roterstuebs
@m_berberich @kuketzblog

Gerade im Hinblick auf die Entlassungswellen in den letzten Monaten bei Amazon und Meta wäre ich mir bei AWS und GCP nicht zu sicher, dass dort nichts derart im Argen liegt.

MichaEL Jul 25, 2023

@kuketzblog
Wer unternehmenskritische Daten M$ anvertraut,... 🙉

docht Jul 25, 2023

@kuketzblog Was bedeutet das eigentlich datenschutzrechtlich für die Geschäftskunden von #Microsoft? Sind die zu diesem Stand schon verpflichtet, wiederum ihre eigenen Kunden zu informieren?

Strandcafe Jul 26, 2023

@docht @kuketzblog das wäre eine geeignete Frage / IFG Anfrage bei den zuständigen Landesdatenschützern und dem BSI.

Latte macchiato

ablobcat_longlong

@kuketzblog ach du scheiße...

Torben Jul 25, 2023

@kuketzblog wieder ein Grund sensible Daten nicht blind in irgendwelche Clouds auszulagern. Echt erschreckend.

pelzvieh Jul 25, 2023

@kuketzblog Gibt es dazu auch öffentlich zugängliche Informationen?

Lokalmatator Jul 25, 2023

@pelzi @kuketzblog

Naja, das Ausmaß ist ein schönes Beispiel für „ToBigToFail“.
Microsoft wird sehr wohl wissen, das hier ein Super GAU passiert ist und darum entsprechend mauern.
Zentrale Cloudbasierte IT-Systeme lassen sich nicht über Nacht umstellen, gerade Fachprozesse sind hier sehr anfällig.
Und natürlich ist mit dem Umzug in die Cloud auch der Abbau lokaler IT-Kompetenz verbunden, so ist das mit selbstgewählter Abhängigkeit.

Jó Skælettísson Jul 25, 2023

@kuketzblog
Holy smokes! Hab gar nicht von mitbekommen.

Trötifant Jul 25, 2023

"Und wenn Microsoft nicht liefert, ist es allerhöchste Zeit, andere Optionen zu diskutieren."

Manches Mensch wird der Meinung sein, dass es schon vor diesem Fiasko allerhöchste Zeit war... gewesen wäre. Und nicht nur zu diskutieren.

Cycleguy Jul 25, 2023

@kuketzblog Ich gehe davon aus das man wohl Backdors hinterlegt hat. Wie kommst du zu der Annahme das die Clienten betroffen sind? Geschrieben von meinem Kubuntu.

Kaspar23 Jul 25, 2023

@kuketzblog hacker werden an sharepoint/onedrive logik scheitern

sol🌞Jul 25, 2023

@kuketzblog
Cloud ist der Oberham...oh shit

Sigma Jul 25, 2023

@kuketzblog Also wenn ich das richtig interpretiere scheint "nur" OpenID betroffen zu sein. Immer noch ein Albtraum aber zumindest betrifft das nicht Windows Rechner. Zumindest nicht die, die über Domänen angebundene sind.

mutax Jul 25, 2023

@kuketzblog Und alle Dienste die per zentraler Authentifizierung im Unternehmen dran hingen, oder? Also einmal "alles"?

Ralf Weinert Jul 25, 2023

@kuketzblog kam dazu schon was in nicht Technik-affinen Medien?
Wenn nicht.....
#örr @ZDF @Ard #Jurnalist

Lou Cypher Jul 25, 2023

@kuketzblog Windows 12 soll ja komplett Cloudbasierend werden und mit monatlicher Zahlung verbunden sein. Wird interessant, ob Microsoft diese Melkmaschine tatsächlich erfolgreich anwerfen wird können.

Till Jul 26, 2023

@LouCypher
Warum sollten sie es nicht können? Microsoft gibt vor, alle machen mit. Die meisten haben dich davon bislang gar nichts mitbekommen.
@kuketzblog

AhaAchja Jul 25, 2023

@kuketzblog
😂 Sorry, ist eigentlich niX zum Lachen.😂 Aber, meinereiner behauptet (auch im RL), dass jede/r, der seine (Firmen-) Daten in der MS- Cloud deponiert, die Kontrolle über sein (Geschäfts-) Leben verloren hat.😂 😂 😂
Noch mal sorry, haut mich, schlagt mich, tut mir weh!🤣

MarcelMaJue Jul 25, 2023

@kuketzblog Am Besten den eigenen Speicher verwenden. Dazu eine Verschlüsselung wie #cryptomator und sync auf allen Geräten mit #syncthing
Betriebssystem nach Wahl.

Till Jul 26, 2023

@kuketzblog
Reaktion meines Chefs: "Dann informiere Mal alle, das wir keine Passwörter mehr per E-Mail an Kunden verschicken, bis das behoben ist.
Ich will hier weg.

Hans Jul 27, 2023

Nicht nur deiner Einschätztung nach - auch nach meiner.

Hilft aber nichts, wenn die "Entscheider" es "besser wissen" und ihre Macht ausspielen.

Ryek Darkener Jul 28, 2023

@kuketzblog
Ich vermute, dass hier die "peril sensitive glasses" aus "Per Anhalter durch die Galaxis" zum Einsatz kommen. Je größer die Gefahr, desto dunkler die Tönung.

Julimination Jul 30, 2023

@kuketzblog https://det.social/@Julimination/110803477732455522

Julimination (@[email protected])

Attached: 4 images 🚨 Social Engineering eine verdammt gute Idee den Mob um Jeffrey Epstein als Designer für die Normen der Zukunft auszuwählen! Was kann da schon schiefgehen? https://julimination.wordpress.com/2023/07/30/oxitec-mosquitos-and-the-bill-gates-epstein-harvard-connection/ https://julimination.wordpress.com/2023/07/17/synthetic-mrna-nanotubes-for-artificial-cellcomunication-2/ https://julimination.wordpress.com/2023/06/26/so-what-da-hell-is-braintransparency-and-braintargeting-2/

det.social

linus Jul 31, 2023

@stefan Hier, https://det.social/@Julimination/110803477732455522
Wird Mist erzählt. Zweiter Link:

"The mRNA nanoparticle technology platform
consists of gene-editing bio-digital technologies
that were always developed for use as weapons
in order to biologically and neurologically control
humans."
(Nur ein Ausschnitt, die anderen Links und den ganzen zweiten Artikel habe ich mir nicht durchgelesen.)

Julimination (@[email protected])

Attached: 4 images 🚨 Social Engineering eine verdammt gute Idee den Mob um Jeffrey Epstein als Designer für die Normen der Zukunft auszuwählen! Was kann da schon schiefgehen? https://julimination.wordpress.com/2023/07/30/oxitec-mosquitos-and-the-bill-gates-epstein-harvard-connection/ https://julimination.wordpress.com/2023/07/17/synthetic-mrna-nanotubes-for-artificial-cellcomunication-2/ https://julimination.wordpress.com/2023/06/26/so-what-da-hell-is-braintransparency-and-braintargeting-2/

det.social