Microsoft: A SolarWinds hackerek hozzáfértek Microsoft kódokhoz

A Microsoft Security Response Center (MSRC) tegnap frissítést publikált korábbi blogbejegyzéséhez. A frissítésben arról tájékoztatta a nagyérdeműt, hogy a Solorigate vizsgálata során kiderült, hogy a SolarWinds hackerek hozzáférhettek Microsoft kódokhoz:

As we previously reported, we detected malicious SolarWinds applications in our environment, which we isolated and removed. [...] We detected unusual activity with a small number of internal accounts and upon review, we discovered one account had been used to view source code in a number of source code repositories. The account did not have permissions to modify any code or engineering systems and our investigation further confirmed no changes were made.
At Microsoft, we have an inner source approach – the use of open source software development best practices and an open source-like culture – to making source code viewable within Microsoft. This means we do not rely on the secrecy of source code for the security of products, and our threat models assume that attackers have knowledge of source code. So viewing source code isn’t tied to elevation of risk.

Részletek az MSRC blogbejegyzésében.

Hozzászólások

Sose hittem volna, hogy egyszer majd a Microsoft az open source szoftverfejlesztési modellel indokolja, hogy miért nem hisz már a security through obscurity-ben :D

trey @ gépház

Én inkább azt látom benne, hogy az open source-al próbálják megideológizálni az elcseszett jogosultság-kezelésüket.

Egészen elképesztő koncepciónális biztonsági hibák vannak egyébként a saját repository managerükben (Azure DevOps). 

"Az oroszok már a spájzban vannak "" - MS spájzában :-D

Szerkesztve: 2021. 01. 01., p - 15:43

Nekem kulon kedvencem, hogy a kommunikacio mindig arra enged kovetkeztetni, hogy tovabbra sem az USA -ban vannak a balfaszok, hanem oroszhekkerek betortekmindenhova pedigmindentjolcsinaltunk in effect.

Error: nmcli terminated by signal Félbeszakítás (2)

Ez nem valtoztat semmin.

Eddig sem bizott normalulis ember MS kodban, ezutan sem fog bizni. Nincs valtozas.

A lobby eddig is betolta a MS kodot ahova csak tudta, ezutan is fontosabb lesz az uzletkotesbol szarmazo haszon mint a szar termekbol szarmazo potencialis veszteseg. Nincs valtozas.

Tolem akar open source is lehetne, en egy ideje mar nem varok semmit a MS termekektol, igy legalabb kellemesen csalodok amikor mellekhatasok nelkul tudja azt ami ra van irva.

"and our threat models assume that attackers have knowledge of source code"

Azta mindenit! Ezt azért nem gondoltam volna! :)

Csak hányan dolgozhattak az MS-nél a korábbi években a világ jobb, eredetileg orosz, kínai, indiai fejlesztők közül, akiknek "valamelyest" biztosan közük volt a forráskódhoz. Na és közülük hányan nem dolgoznak ott-neki(!) azóta már...!  -  (Az egyszerűbb megoldások persze "kevésbé" logikusak bentről. Feltételezni meg még egyszerűbb.)