另一供应链漏洞 - 安全专家Schneier观点
ProPublica报道称:
微软利用中国工程师协助维护国防部的计算机系统,且美国人员的监管极为有限,这使得国家最敏感的数据面临来自其主要网络对手的黑客攻击风险。ProPublica的调查发现,这一安排是微软十年前赢得联邦政府云计算业务的关键,它依赖拥有安全许可的美国公民来监督工作并作为反间谍和破坏的屏障。
但ProPublica发现,这些被称为“数字陪同人员”的员工往往缺乏技术专长,无法监管技能更先进的外国工程师。其中一些是前军事人员,编码经验很少,工资仅略高于最低工资。
这听起来很糟糕,但这是数字世界的运作方式。我们所做的一切都是国际化的,深度国际化。使任何事情仅限于美国是困难的,而且往往不可行。
编辑补充:微软已停止这种做法。
标签:中国、风险、供应链、漏洞
发布于2025年7月21日上午7:04 • 14条评论
评论
Greg Hunt • 2025年7月21日上午7:44
并非不可行,只是昂贵。数字世界深度国际化的背后是对利润最大化和商业竞争的专注。这种压力进而影响IT方法、流程和系统设计,趋向于低成本和低技能的方法,而这些方法根本没有经过深思熟虑。
Doug • 2025年7月21日上午9:00
利润高于一切。
wiredog • 2025年7月21日上午11:58
大约8年前,微软意识到AWS在机密方面已经垄断了所有云业务,因此决定将Azure移植到高端市场,巴尔的摩附近的一个政府客户想要这个,于是他们开始了这个过程。他们遇到的第一个问题是,Azure从一开始就被设计为从雷德蒙德运行。所有内容都不断报告其活动。当然,这对政府客户来说是完全不可接受的。但微软不想分叉Azure。所以第一个问题是调整Azure以便它可以空气隔离运行。下一个问题,也是我参与的地方,是如何监控Azure并处理任何问题。他们当然不想每次发生事情时都派一队获得许可的软件开发人员上飞机,客户也不想等两天团队到达。此外,雷德蒙德也没有敏感隔离信息设施(SCIF)……
所以我和其他几个人被雇来学习Azure的内部结构,并充当本地支持团队。最坏的情况下,我们会想办法清理日志中的任何机密信息,发送给雷德蒙德的工程师。
我记得第一次参加雷德蒙德整体团队的会议时,我转向我的经理问:“我可以问他们中有多少人是公民吗?”“不行。”“有多少人持H1签证?”“不知道。”
总之,我坚持了大约三个月,每隔一周去雷德蒙德变得太频繁,我们分道扬镳。
我要说的是,我看到的Azure代码文档非常完善,尤其是巧妙的部分。
pattimichelle • 2025年7月21日下午1:10
15年前当美国失去为其间谍卫星制造PGA和其他微电路的能力时,我就预见到了这一点!方法是硬件状态“验证” versus 隐藏电路……所以,是的,这有道理。
Celos • 2025年7月21日下午8:30
国际化只是问题的一部分。第二部分是这些“陪同人员”被宣传为实际上完成了某些事情,而他们并没有也不能。我也毫不怀疑微软完全意识到这一点,只是想要钱。
Clive Robinson • 2025年7月22日上午6:00
@Bruce, 所有人,
另一个严重的微软漏洞被黑客利用
昨天刚上的新闻,
美国州机构和数千台运行Microsoft Sharepoint的服务器通过一个零日漏洞被成功攻击,微软刚刚为一个版本发布了补丁,
“通过获取内部服务器的访问权限,黑客可能能够从连接的Outlook和Teams账户窃取敏感数据,包括密码,以及允许他们再次进入的加密密钥。云服务被认为没有受到损害。
微软已经发布了一个补丁来解决这个漏洞,但在撰写本文时,还有两个版本的SharePoint仍在等待自己的定制补丁。”
这个漏洞似乎已经存在了相当长的时间,因为攻击者是通过微软补丁得到提示的,
“根据国土安全部网络安全和基础设施安全局(CISA)发言人Marci McCarthy的说法,这次黑客攻击是在微软本月早些时候修复了SharePoint中的一个安全漏洞之后发生的,这无意中提醒了黑客他们可能能够利用类似的漏洞。”
说句老话,
“一旦你犯了错,无论你做什么,‘你做也倒霉,不做也倒霉’。”
可能看起来是‘往伤口上撒盐’,但想想就连比尔·盖茨曾经也因为微软软件充满漏洞而感到沮丧。所以他改变了做事的方式……
也许他应该‘再回办公室做同样的事情’。
Clive Robinson • 2025年7月22日下午5:21
@Bruce, 所有人,
关于MS SharePoint漏洞的更深入信息,
https://www.theregister.com/2025/07/21/massive_security_snafu_microsoft/
有趣的一点,
‘美国参议员Ron Wyden(D-OR),微软和科技行业的频繁批评者,谴责雷德蒙德对事件迄今为止的懒散回应:“政府机构已经变得依赖一家不仅不关心安全,而且通过销售高级网络安全服务来解决其产品缺陷赚取数十亿美元的公司。每次由微软疏忽造成的黑客攻击都会导致政府在微软网络安全服务上的支出增加。除非政府停止用越来越大的合同奖励微软的疏忽,否则政府永远无法摆脱这个循环。”’
嗯……
文章还有一句:
“可能会变得更糟。”
有些人可能认为“玩笑话成真”,直到他们读到,
英国发现新型微软窥探恶意软件,指责并制裁GRU网络间谍
https://www.theregister.com/2025/07/20/uk_microsoft_snooping_russia/
这是另一个微软SNAFU,正好符合参议员Ron Wyden的观察……
“英国政府警告说,俄罗斯的APT28(也称为Fancy Bear或Forest Blizzard)一直在部署以前未知的恶意软件来收集微软电子邮件凭据并窃取受损账户的访问权限。”
赌一下本月内还会出现另一个微软SNAFU?
andyinsdca • 2025年7月22日下午8:12
微软可能已经解雇了所有为美国政府Azure工作的中国员工,但中国人可能在他们还在的时候植入了大量后门。中华人民共和国不可能不利用这样的机会。这比Kim Philby还严重。
lurker • 2025年7月22日下午9:04
思考群体的疯狂[1],有可能微软无意中通过民族国家的崩溃带来世界和平,即那些仍然相信微软是解决方案而不是问题的民族国家。
[1] 疯狂是不断重复同样的错误,期望不同的结果。错误归因于A.爱因斯坦
Winter • 2025年7月23日上午5:02
@lurker
思考群体的疯狂[1]
除了爱因斯坦的引用,我建议读者参考Charles Mackay的《非凡流行错觉与群体疯狂》原版回忆录,可在Gutenberg项目[1]找到。
还有其他作者的现代续集。
[1] ‘https://www.gutenberg.org/files/24518/24518-h/24518-h.htm
Winter • 2025年7月23日上午5:20
@lurker(续)
Charles Mackay的《非凡流行错觉与群体疯狂》有第二卷,未包含在之前的链接中。
这是包括两卷的链接:
‘https://www.gutenberg.org/ebooks/24518
Jim Brown • 2025年7月23日上午5:48
谈到间谍,不要错过Bill Fairclough的《Beyond Enkription》。它是The Burlington Files传记系列六本书中的首部小说。这是一部基于事实的间谍惊悚片,毫不妥协地挑战了这一类型的惯例。它不仅是独一无二的,而且重新定义了读者对间谍小说的期望。设定在1974年,根植于作者作为MI6和CIA秘密特工的真实经历,叙事跟随Edward Burlington,一个表面上平凡的英国会计师,他的生活陷入国际间谍和有机犯罪的危险网络。
Edward Burlington(又名Bill Fairclough)不是詹姆斯·邦德或乔治·斯迈利,尽管他偶尔会唤起对Len Deighton的Harry Palmer的豪华版本的记忆。事实上,这部小说自诩为对邦德和伯恩的纠正,摒弃幻想和懒散,采用一种黑色、理智和 visceral真实的语调。这不仅仅是受间谍套路启发的虚构,而是一个由实际行动的 clandestine 残酷塑造的故事。叙事充满了冒死事件、可信的操作细节和对制度和个人欺骗的 haunting 描绘。
这本书的最大优势之一在于其真实性。Fairclough对渗透走私网络的描述、他与TonTon Macoute的遭遇以及他卷入CIA反情报行动的经历,赋予了一种没有虚构创作可以复制的合法性。这种现实主义通过TheBurlingtonFiles网站上出现的 corroborating 文章得到进一步放大,揭示《Beyond Enkription》已成为一些国家情报培训项目的必读材料。这是一个非凡的证明,表明其作为准教学文本的价值。
然而,这种对事实的忠实也可能是一把双刃剑。散文虽然紧凑高效,但对于习惯于le Carré措辞抛光优雅的读者来说,可能显得风格粗糙。特别是第一章,带有其残酷的真实酷刑和走私场景,可能对 squeamish 的读者具有挑战性。但坚持的回报是一个层次丰富的情节,不仅引人入胜,而且随着每一章的增加强度和复杂性。
角色塑造 robust 且 nuanced。诸如Sara Burlington之类的人物从阴影演变为 full-bodied 存在。甚至反派随着叙事的深入也引起钦佩或同情。Fairclough擅长渲染间谍的心理压力、忠诚的模糊性以及过双重生活的深刻孤立。
谈到双重生活,令人 literally 喘不过气来的是,在为MI6和CIA操作的同时,Fairclough在他的特许会计师职业生涯中也取得了成功,并且每当他的双重生活合二为一时,他从未被抓住。没有多少秘密特工同时取得如此多的成就。不知何故,尽管可以理解,在1970年代,他达到了Coopers & Lybrand(现为PwC)的最高层,被任命为其全球执行委员会的秘书。此后在1980年代及以后,他成为Citi、Barclays和Reuters集团的董事或副总裁。
Clive Robinson • 2025年7月23日上午6:06
@lurker, Winter,
关于,
“疯狂是不断重复同样的错误,期望不同的结果。”
并将其应用于“群体”通常被认为是“阴谋论”和更现代的“回声室”等原因。
在互联网之前,这些绝对是边缘个体 previously 是单例,现在可以聚集足够数量形成群体。
这导致 among other things “in-group, out-group”行为,由被认为是通过自我强化行为。
然而,有些人正在思考其他方向,你可能认为有效但可能不……
例如,阅读一下,
https://arstechnica.com/science/2025/07/conspiracy-theorists-think-their-views-are-mainstream/
如果你读完 without 感到需要挠头或拔头发,请告诉我😉
Winter • 2025年7月23日上午11:12
@Clive
如果你读完 without 感到需要挠头或拔头发,请告诉我😉
我只读过一些关于阴谋论追随者的理论。但似乎没有人理解全部。
让我印象深刻的是:
宗教和阴谋论非常相似,有时是 identical。它总是归结为信仰。
我们认为知识就是力量,每一个阴谋论都基于反向因果关系,即力量 dictating 知识,只有力量,没有“事实”
一个阴谋论信仰只取决于你想信任或相信谁。它不是关于信息、真理,而是关于信使(见宗教)