Skip To main content
is/en

Segir afsökun Microsoft lélega

„Per­sónu­lega finnst mér þetta lé­leg af­sök­un,“ seg­ir Theo­dór R. Gísla­son, stofn­andi Def­end Ice­land, þar sem hann gagn­rýn­ir Microsoft vegna viðbragða fyr­ir­tæk­is­ins við ör­ygg­is­bil­un sem olli stór­felldri trufl­un á föstu­dag­inn.

Microsoft kenn­ir samn­ing þeirra við ESB um að gölluð ör­ygg­is­upp­færsla hjá Crowd­Strike hafi getað valdið þess­ari trufl­un.

„Það er verið að vísa í sam­komu­lag sem á sér stað árið 2009, sem að Microsoft er gert skylt að opna stýri­kerfi sitt til að auka sam­keppni,“ seg­ir Theo­dór. Þetta er gert til að koma í veg fyr­ir ein­ok­un Microsoft, því þeir bjóði t.a.m. sjálf­ir upp á sams­kon­ar ör­ygg­is­lausn­ir og Crowd­Strike sem þá keyra með mik­il rétt­indi í þeirra stýri­kerfi.

Fyr­ir hon­um hljóm­ar þetta eins og að þeir séu að nota þetta sem ástæðu til að geta lokað stýri­kerfi sínu svo að önn­ur fyr­ir­tæki hafi ekki slík­an aðgang í stað þess að bæta við nauðsyn­legri virkni í þeirra stýri­kerfi svo að þeirra eig­in hug­búnaður þurfi ekki svona mik­il rétt­indi sem hon­um finnst eðli­legri nálg­un.

Hver er mun­ur­inn á not­enda- og stýrikjarna?

Til að skilja þetta bet­ur þurf­um við að vita mun­inn á not­enda­kjarna (userland) og stýrikjarna (ker­nel­l­and).

Við skul­um út­skýra þetta með því að bera sam­an við raf­magns­kerfi heim­il­is­ins.

Ímynd­um okk­ur að not­enda­kjarn­inn sé allt það sem þú ger­ir heima hjá þér, eins og að skipta um ljósa­per­ur eða setja upp snjall­ljósarofa til að bæta lýs­ingu heim­il­is­ins. Ef þú klúðrar ein­hverju þar, þá í versta falli virk­ar ekki sú pera eða rofi (það hug­búnaður). Þú hef­ur ennþá raf­magn ann­ars staðar á heim­il­inu og allt held­ur áfram að virka.

Stýrikjarn­inn er aft­ur á móti eins og raf­magnstafl­an heima hjá þér. Hún stjórn­ar öllu raf­magni sem fer um heim­ilið. Ef þú klúðrar ein­hverju þar, þá get­ur allt raf­magnið farið út, þurrk­ar­inn, elda­vél­in og allt heila klabbið hætta að virka. Þetta er því mik­il­væg­asti part­ur­inn og ef eitt­hvað fer úr­skeiðis þar, þá hryn­ur allt kerfið.

Microsoft get­ur gert það sama og Apple

Microsoft hef­ur verið skikkað með sam­komu­lagi sínu við ESB til að veita ör­ygg­is­veit­um aðgang að stýrikjarn­an­um líkt og þeir sjálf­ir nota í sín­um vör­um, en Theo­dór tel­ur að þeir gætu tak­markað aðgang­inn og boðið upp á sams­kon­ar virkni í not­enda­kjarna líkt og Apple hef­ur gert í gegn­um svo­kallaðar „kerfis­viðbæt­ur“ eða „system level extensi­ons“.

Theó­dór bend­ir á að Crowd­strike lausn­in keyr­ir á macOS stýri­kerfi án þess að hafa aðgang að stýrikjarn­an­um beint. Microsoft held­ur því fram að þeir geti ekki lokað fyr­ir aðgang að stýrikjarn­an­um líkt og Apple gerði árið 2020 til að bæta ör­yggi.

Enn frem­ur bend­ir hann á að Apple hafi búið til aðra leið fyr­ir ör­ygg­is­veit­ur til að selja sína þjón­ustu í not­enda­kjarna og að Microsoft gæti gert það sama en hef­ur kosið að gera það ekki.

Evr­ópu­sam­bandið hef­ur svarað þess­ari gagn­rýni Microsoft og af svar­inu að dæma finnst Theo­dóri mjög lík­legt að Evr­ópu­sam­bandið túlki þenn­an samn­ing þannig að Microsoft hefði vissu­lega getað gert breyt­ing­ar, sem ger­ir það að verk­um að þeir geti boðið upp á sams­kon­ar virkni fyr­ir ör­ygg­is­lausn­ir í gegn­um not­enda­kjarna.

Aðrar fréttir

Sjá allar fréttir

Einn færasti hakkari heims heldur námskeið á Íslandi í öryggisveikleika leit (e. Vulnerability hunting)

Jason Haddix, einn færasti hakkari heims og forstjóri Arcanum Security, er væntanlegur til landsins í næstu viku og mun leiða námskeið í öryggisveikleika leit í samstarfi við Defend Iceland dagana 21. - 23. janúar í Háskólanum í Reykjavík. Jason kemur frá Bandaríkjunum og er með yfir 20 ára reynslu í netöryggi auk þess hefur hann hlotið viðurkenningu sem einn af fremstu sérfræðingum á villuveiðigáttum (Bug Bounty Platform). Alþjóðleg fyrirtæki á borð við Apple, Microsoft, Google, KPMG, Deloitte, Amazon, Walmart og fleiri hafa reglulega nýtt sér námskeið og þekkingu Jason Haddix. 
Lesa meira

Spennandi áfangi hjá Defend Iceland

Við fórum í loftið í febrúar á þessu ári og erum stolt af því að vera komin í samstarf við 27 frábæra viðskiptavini. Þessir aðilar spanna öll svið samfélagsins, frá stórum hluta fjármálageirans til lykilaðila í orku- og heilbrigðisgeiranum - og nú Alþingi Íslendinga.
Lesa meira

Defend Iceland gerir samning við Origo til að efla netöryggi

Við hjá Defend Iceland erum stolt af því að taka höndum saman við Origo til að efla netöryggi kerfa þeirra. Netárásir, sem nýta veikleika í hugbúnaði, halda áfram að aukast verulega. Það er mikilvægt að finna þessa veikleika áður en árásarmenn gera það – því í stafræna heimi okkar er heilsa alls vistkerfis hugbúnaðarins nauðsynleg til að halda nauðsynlegri þjónustu gangandi.
Lesa meira

Erindi Tedda á netöryggisráðstefnu Fjarskiptastofu

Í dag var Fjarskiptastofa/ECOI með netöryggisráðstefnu þar sem Theódór Ragnar Gíslason, framkvæmdastjóri okkar og stofnandi, var með erindi þar sem hann varpaði fram eftirfarandi spurningu: Erum við einum veikleika frá game over? Hvaða veikleiki væri svo krítískur á birgðahliðinni að það hefði gríðarleg áhrif ekki aðeins á fyrirtækið þitt heldur líka á samfélagið okkar?
Lesa meira

Pallborð á málþingi Rannís - Vegferð styrkjaumsókna og ráð frá þátttakendum

Hörn Valdimarsdóttir frá Defend Iceland sat í pallborði á málþingi Rannís á dögunum þar sem umræðuefnið var „Vegferð styrkjaumsókna og ráð frá þátttakendum”.
Lesa meira

Alþjóðlegur dagur heiðarlegra hakkara

Í dag fögnum við alþjóðadegi heiðarlegra hakkara / International Day of Ethical Hackers!
Lesa meira
Tilkynna veikleika

Þessi vefsíða notar vefkökur (e. cookies) til að bæta upplifun notenda af síðunni.