Leserbrief zu "confidential compute":
Ich hatte vor ein paar Tagen die Gelegenheit, jemanden der mit seiner Firma Confidential Computing im KI-Kontext entwickelt, weltweit vertreibt und auch bereits einsetzt, zu fragen : habts ihr da neue Angriffsvektoren entdeckt, wie macht ihr Security-Analysen, etc.Antwort:
- wir verlassen uns auf die anderen (Netzwerksicherheit,..)
- „.. bei machine learning ging es tatsächlich nie um Sicherheit, hmm..“
Das wars.
Schon geil für eine bleeding edge Confidential Computing Company.
Nee, das ist genau meine Erwartungshaltung. Diese ganze Security-Branche ist so. Probleme werden kleingeredet ("kann man eh nichts machen", "wir sind da von Microsoft abhängig", "100% geht eh nicht"), Angreifer werden großgeredet ("APT", "enorme kriminelle Energie"), Chancen werden herbeihalluziniert ("damit können Sie Angreifer entdecken!!1!", "damit können Sie Geld sparen!1!!") und nie tatsächlich geliefert, und dann kokst sich der Händler eine neue Luxusjacht zusammen und macht keinen Support außer man zahlt nochmal in Nasenblut für einen fetten Supportvertrag. Wenn die Security-Probleme im angeblichen Security-Produkt zu krass werden, drückt man den Kunden Bullshittheater wie MFA auf, von dem man weiß, dass das eh keiner umsetzt, und behauptet einfach, das Opfer war Schuld.
Das klingt jetzt alles wie der irre Rant von irgendeinem Alkoholiker, insofern glaubt nicht mir, glaubt Kevin Beaumont. Er hat völlig Recht. So sieht das da draußen aus in der Praxis.
Sehr geil auch an der Stelle dieser Artikel von 2017 über einen Vortrag eines GCHQ-Schlipsträgers, der den Scheiß auch nicht mehr aushält. Der erzählt im Wesentlichen dasselbe wie ich da oben und hängt dann dieses Money Quote an:
He pointed out that a UK telco had recently been taken offline using a SQL injection flaw that was older than the hacker alleged to have used it. That’s not advanced by any stretch of the imagination, he said.
HARR HARR HARR
Genau so sieht es aus. Niemand wird über komplizierte 0days gepwnt. Wieso würde sich der Angreifer so einen Aufwand machen, wenn er auch über hartkodierte Passwörter für Admin-Backdoor-Accounts reinkommen (winke winke, Cisco).
Dass jetzt also ausgerechnet in der Cloud die heilige Mutter Gottes in Sachen Security ausbricht, wo man als neugieriger Kunde es am wenigstens sehen oder messen kann, das war schon immer offensichtlicher Bullshit. Schade, dass das nie jemanden abhält.
Hey wisst ihr was? Wenn ihr Geld zu verbrennen habt, gebt es doch einfach mir!1!!