Anzeige

Am Puls von Microsoft

Anzeige

Gestohlener Cloud-Master-Key... und kaum News

DonRolando

Professional by day, code monkey at night.
Hallo zusammen,

mich irritiert, dass auf manchen Seiten (etwa Heise) vom gestohlenen Cloud-Master-Key berichtet wird, der eventuell neben Exchange Online auch Zugang zu diversen anderen Plattformen bei Microsoft ermöglicht hat und diverse Kunden nun eventuell auch damit rechnen müssen, dass Angreifer fleißig Backdoors installiert haben bevor der Schlüssel gesperrt wurde... doch auf großen Nachrichtenportalen und selbst in einschlägigen Microsoft-Blogs (wie diesem hier 😉) ist nichts davon zu lesen.

Sonst wird jedes Staubkorn berichtet, aber etwas durchaus relevantes scheint nicht große Aufmerksamkeit zu erhalten. Woran mag das liegen? Und kommt mir nicht mit "die Lage ist noch zu unklar, daher halten wir uns zurück".😁
 
Anzeige
und selbst bei Heise war der Artikel (wie sehr oft) recht spät.
Ich denke, es gibt 1. deswegen wenig berichte, weil MS sich selbst dazu kaum äußert, und 2. weil damit für sehr viele Leute / User / Entscheider / Cloudverfechter ein Stückchen Ernüchterung eintritt. Dass ist dann doch etwas anderes, als die Message, dass die MS Cloud mal wieder ein zwei Stündchen ungeplant ausgefallen ist. Hier ist die Dimension viel.. viel größer, da hier strukturelle Schwachstellen aufkommen.

Wenn man die Nachrichten ließt, kann man sagen: man sollte so langsam wieder zurück zu den wurzeln gehen, und was selber betreiben. Geht natürlich kaum, weil das, was da momentan läuft nur durch hochspeziallisierte Leute bereitgestellt werden kann (auch wenn man selbst vielleicht 90% der Sachen gar nicht braucht).
Dieses Know how ist in einzelnen Unternehmen meist gar nicht mehr vorhanden. Und irgendeins der restlichen extra 10% will die GL eben doch haben, also steigt man ins Boot der Cloud.
Und wenn da ein Schlüsselverlust passiert: sowhat. Wer will schon aufmucken. MS sagt an. Wie bei Preisen, wie bei allem. Ähnlich der Preisgestaltung bei iPhones: Kunden müssen mangels Alternativen schlucken :)

und es ist wie: damals haben alles was wegen Datenschutz erzählt, und heute liefert jeder freiwillig auf LinkedIn sein gesamtes berufliches Leben. Keinerlei Werte, keinerlei Überzeugungen, einfach lieber schnell mitmachen.
Und bei der MS-Cloud will eben auch keiner die Zugabfahrt verpassen, sonst steht man nachher womöglich allein am Gleis.
 
Zuletzt bearbeitet:
der Punkt ist, dass Microsoft dazu bisher nichts konkretes sagt/schreibt und das ist richtig sch...e

ob Dr. Windows dazu nun was schreibt oder nicht, wird das Antworten von Microsoft wohl kaum beschleunigen
Es geht doch nicht darum was Microsoft sagt, oder ob überhaupt, sondern auf die Problematik einfach hinzuweisen.
Das Problem existiert, unklar ist lediglich wie groß und welche Folgen es hat... sonst wird schon über nichtige und kleinere Dinge berichtet... wie eingangs beschrieben, das Argument kann nicht sein "man weiß noch nicht genug", wenn da offensichtlich so richtig was vermasselt wurde.
 
Sind nur wenige Berichte aus US zu finden. Google D liefert nur Heise
Das Ganze wird seltsam zurückhaltend behandelt



 
Es geht doch nicht darum was Microsoft sagt, oder ob überhaupt, sondern auf die Problematik einfach hinzuweisen

na ja
das ist deine persönliche Meinung, ich billige mir eine andere zu

ob viele oder wenige darüber berichten, ändert nichts an den derzeitigen Fakten und die sind so löcherich wie ein schweizer Käse, dementsprechend nützt es dem Anwender auch nichts, ob viele oder wenige berichten

darum vermute ich, dass Martin sich auch erst dazu äußern wird, wenn die Sachlage nicht nur aus Spekulatius mit Konjunktiv Dressing besteht
 
ob viele oder wenige darüber berichten, ändert nichts an den derzeitigen Fakten und die sind so löcherich wie ein schweizer Käse, dementsprechend nützt es dem Anwender auch nichts, ob viele oder wenige berichten
Also niemanden auf ein potentiell großes Problem als Kunden der Microsoft Cloud hinweisen?
Das wäre so als ob man über die Nordstream-Anschläge gar nicht berichten hätte müssen, weil man eh nicht weiß wer da warum etwas gemacht hat.

Dass das Problem mit dem Master-Key vorhanden war, ist Fakt. Auch dass große Exchange-Kunden (insbesondere Regierungen) betroffen waren, ist Fakt. Lediglich die noch weiteren Auswirkungen sind unklar.
Ansonsten wird über jedes Gerücht berichtet oder jeder Pups interpretiert und abgewägt. Wieso man wohl über die FTC und Übernahme von Activision soviel berichtet hat? Das war stets ohne Fakten nur basierend auf irgendwelchen Zitaten... und die Auswirkung dagegen letztlich witzlos irrelevant.
 
Zwei einfache Begründungen, warum ich bisher dazu nichts geschrieben habe:
1.) Ich bin noch bis Ende dieser Woche im "Notbetrieb", man könnte es auch Sommerpause mit reduzierter Aktivität nennen. Daher gehen Themen, bei denen man sich etwas tiefer einlesen muss, ein wenig an mir vorbei.
2.) Ich verstehe zu wenig von der Materie, um fundiert darüber schreiben zu können. Ok, das ist ein Scheinargument, es gehört zu den Grundkompetenzen eines News-Schreibers, über Themen zu schreiben, von denen man keine Ahnung hat. Aber wie ich es sehe, gibt es ein Statement von Microsoft, in dem die Gefahr als überschaubar dargestellt wird, und es gibt verschiedene Meinungen von Experten, wonach das alles mutmaßlich viel schlimmer ist.

Und wenn ich mir nun selbst nochmal durchlese, was ich grade geschrieben habe, fallen plötzlich beide Argumente in sich zusammen. Was es zu schreiben gibt, hätte man ohne jede Ahnung in 10 Minuten erledigt :D.
 
Sicher wäre es ja nicht nur der Artikel gewesen, sondern auch die Forenbeiträge dazu zu beobachten. Wir können uns temporär auch mal anderswo dazu austoben und aufregen.
Zumal ja die einhellige Meinung ist: es wird ohnehin nichts mehr verändern.
Was MS dazu schreibt, ist mir übrigens herzlich egal, die retten ihren Kopf.

Fakt ist, es zeigt strukturelle Schwächen. Die gibt es aber eigentlich seit beginn der Cloudwelle
Wer jetzt dabei ist, bleibt es auch. Das müsste schon ganz anders knallen, so dass man nicht nur virtuell seine Daten auslesbar macht, sondern 5 Tage keinen Zugang hat o.Ä. damit jemand umdenkt.

Schöne Erholung auf jeden Fall.
 
Hallo zusammen,

mich irritiert, dass auf manchen Seiten (etwa Heise) vom gestohlenen Cloud-Master-Key berichtet wird, der eventuell neben Exchange Online auch Zugang zu diversen anderen Plattformen bei Microsoft ermöglicht hat und diverse Kunden nun eventuell auch damit rechnen müssen, dass Angreifer fleißig Backdoors installiert haben bevor der Schlüssel gesperrt wurde... doch auf großen Nachrichtenportalen und selbst in einschlägigen Microsoft-Blogs (wie diesem hier 😉) ist nichts davon zu lesen.

Sonst wird jedes Staubkorn berichtet, aber etwas durchaus relevantes scheint nicht große Aufmerksamkeit zu erhalten. Woran mag das liegen? Und kommt mir nicht mit "die Lage ist noch zu unklar, daher halten wir uns zurück".😁
Dir ist aber schon bewusst dass das komplette US Außenministerium davon betroffen ist so wie noch ein paar andere staatliche Organisationen in den USA. Bevor die keine 100% Klärung haben geht da nichts nach draußen es sei denn man besteht darauf direkt im Anschluss standrechtlich wegen Landesverrat erschossen oder bis ans Ende aller Tage eingelocht zu werden.

Geh simpel vom Worstcase aus und freu dich wenns nicht so ist was stark bezweifelt werden darf. Aber um es für dich zu vereinfachen es betrifft im Endeffekt mindestens alles was Open ID v 2.0 verwendet oder stark simplifiziert login with Microsoft und das umfasst dann mal eben Outlook.com, Office, Skype, OneDrive, Xbox Live, Bing, Microsoft Store, Windows, Share Point, MSN und der Rest den ich jetzt vergessen habe oder noch stärker vereinfacht alles.

Da Microsoft für Enterprise Kunden (Betonung liegt auf Enterprise das umfasst nicht Business) aber wohl voraussichtlich ab September freien Zugang auf Security Logs gewähren will kann man schon mal die Uhr danach stellen dass für den breiten Rest der Mantel des Schweigens drübergelegt werden soll
 
Dir ist aber schon bewusst dass das komplette US Außenministerium davon betroffen ist so wie noch ein paar andere staatliche Organisationen in den USA. Bevor die keine 100% Klärung haben geht da nichts nach draußen es sei denn man besteht darauf direkt im Anschluss standrechtlich wegen Landesverrat erschossen oder bis ans Ende aller Tage eingelocht zu werden.
Das geht am Thema leider vorbei. Dass es keine Klärung gibt und keine echten Infos rausgerückt werden - Schwamm drüber.
Aber dass die normalen Medien, Blogs, Twitter, etc alle das Thema einfach links liegen lassen, DAS irritiert mich. Insbesondere da ich keinen Hang dazu habe an eine Weltverschwörung zu glauben, bei der die Systemmedien und Medienmacher alle von den USA gesteuert werden... okay, Martin würde es vielleicht freuen, wenn er auf dem Wege noch ein gutes Nebeneinkommen hätte.😅 Wie dem auch sei, sonst ist die Berichterstattung riesig, selbst wenn nur der Sack Reis mal nach links statt wie bisher meist nach rechts umgefallen ist.
 
aus einem IMHO lesenswerten Kommentar.

heise online
All das setzt aber voraus, dass Microsofts Kunden verstehen, was da passiert ist und welche Bedeutung das hat. Ich denke dann werden die auch durchaus entsetzt und empört sein. Das ist aber seltsamerweise bisher nicht wirklich der Fall -- was wohl unter anderem daran liegt, dass Microsoft sehr geschickt von ihren Mega-Fails ablenkt und der Sachverhalt auch keineswegs trivial ist.
 
Tja, jahrelang wurden Privatkunden wie auch Unternehmen massiv mit diesem ganzen Cloudmist indoktriniert und alle sind sich richtig geil dabei vorgekommen bzw. haben sich gegenseitig einen drauf heruntergeholt, daß man jetzt auch alles in der schönen Cloud hat. Gerade auch was Office Sachen betrifft. Ich habe es nie verstanden, warum man diesen ganzen Schnodder in der Cloud erledigen muss. Oder der Acrobat Reader von Adobe, der seine Nutzer auch permanent mit seinem Cloudgedöns hinterherstalkt. Und das sind, im Gegensatz zu dem was jetzt abläuft, nur Fliegenfürze.

Es gab mal Zeiten, da hätte man Systemadministratoren fristlos entlassen, wenn die einer fremden Firma Betriebsinterna überlassen hätten. Von den anderen rechtlichen Konsequenzen bezüglich Geheimnisverrat und wirtschaftlicher Schäden mal ganz abgesehen. Heutzutage gibt der Firmenchef die Daten höchstpersönlich weiter.
 
"Äußerst unverantwortlich" nennt Amit Yoran, CEO der Sicherheitsfirma Tenable das Gebaren von Microsoft in Sachen Sicherheit. Hintergrund ist, dass seine Firma eine kritische Sicherheitslücke im Cloud-Verzeichnisdienst Azure AD gefunden und gemeldet hat – vor mehr als drei Monaten. Erst nachdem Tenable öffentlich über dieses Problem sprach, schloss Microsoft diese in einer Hauruck-Aktion quasi über Nacht.
Die Kommentare sind entsprechend oder op kölsch "da machste nix«:"
 
In der neuesten c´t Heft 19/2023 gibt es unter der Überschrift


einen ausführlichen Artikel zu dem Thema. Wie sagt man da so : "da ist wohl die K..e am dampfen".
(Einfach den Link anclicken, der Artikel scheint auch kostenlos verfügbar zu sein).
 
Zuletzt bearbeitet:
Anzeige
Oben