Fragen? Antworten! Siehe auch: Alternativlos
Ich glaube kein Wort.
Vor vielen Jahren hat Bill Gates mal ein vergleichbares Memo herumgeschickt, das dann Dinge ausgelöst hat. An das erinnere ich mich aber als deutlich glaubwürdiger.
Man darf nicht vergessen, dass Nadella selber derjenige war, der die Tester-Ressourcen weggestrichen hat, und Security war Teil von Testing. Das ist also kein Zufall, keine Verkettung unglücklicher Umstände, keine Naturkatastrophe, das war sein aktives, zielgerichtetes, vorsätzliches Handeln. Wenn bei Microsoft Security ausbrechen soll, dann muss aus meiner Sicht erstmal Nadella weg.
Damals lief das so, dass Bill Gates irgendwo gehört wurde, wie er erzählte, er fände XML eigentlich ganz cool, und sofort ließen alle Mitarbeiter alles stehen und liegen und bauten überall XML ein. Microsoft ist halt keine militärische Hierarchie sondern eher so eine Wiese mit lauter Maulwurfhügeln. Zu deren Koordination gibt es dann eine Hierarchie, aber die macht im Wesentlichen nichts. Man raunte sich damals Geschichten zu, dass ein Feature dreimal unabhängig von verschiedenen Teams implementiert wurde, weil es keine koordinierende Führung gab und die nicht miteinander sprachen. Das fiel dann kurz vor dem Shipping auf, und da hat man dann eines weggeschmissen und die anderen beiden ausgeliefert. Soll der Markt entscheiden!1!!
Warum erzähle ich das alles? Erstens damit ihr mal gehört habt, dass ich dem Nadella und seinem Security-Push kein Wort glaube. Ich deute das so, dass die jetzt alle Security Copilot verwenden müssen und alles noch viel beschissener wird.
Anlass für diesen Blogpost war aber eigentlich dieser Artikel über "ZTDNS". ZT wie ... Zero Trust. Zero Trust DNS ist schon als Begriff hirnerweichend dämlich. Zero Trust hat was damit zu tun, wie Server in der Firma sich zu verbinden suchende Clients betrachten. Ob als "der kommt aus unserem IP-Range, der wird schon sauber sein" oder als "das ist wahrscheinlich ein Angreifer, ich will erstmal den Ausweis sehen und danach verschlüsseln wir". DNS ist unverschlüsselt. Bleibt auch nach diesem Modell unverschlüsselt.
Ich habe das jetzt dreimal gelesen, um zu verstehen, was die da eigentlich konkret vorschlagen. Das liest sich wie eine Koks-Party der Marketing-Deppen, wo sie ein paar Mal Stille Post gespielt haben. Da tauchen ein paar Wörter auf, die etwas bedeuten. Aber insgesamt kann ich da gerade keinen Sinn erkennen.
Ungefähr so habe ich das befürchtet, wenn da ein Security-Memo rumgeht, nachdem man alle Leute rausgeekelt hat, die sich damit auskannten. Jetzt spielen da ein paar Theaterfreunde lustige Handbewegungen und dann behauptet man dem Kunden gegenüber einfach, man habe jetzt Security gemacht.
Ich glaube, was sie ursprünglich meinten, war: Hey, wir packen einfach ins Active Directory, welche Hosts du sehen kannst, und die anderen filtern wir jetzt nicht nur per Firewall sondern der DNS gibt dir gar nicht erst deren IP. Hat das einen Schutzeffekt, der über Firewalling hinausgeht? Nein. Macht das andere Dinge kaputt? Natürlich!
Ich persönlich begrüße das, wenn Windows sich weiter ins Abseits schießt. Das ist ja jetzt schon nur noch eine Werbungs-Auslieferungs-Plattform mit ein paar Member Berries, die die Leute an ältere Windows-Versionen erinnern, mit denen sie groß geworden sind.
Oh, und eine Datenabgreifplattform, natürlich.
IT RUBS THE MICROSOFT ACCOUNT ON ITS SKIN OR IT GETS THE HOSE AGAIN!
Update: Eigentlich ein Fall für Radio Eriwan. Microsoft hat ein tolles Zero Trust DNS für Security! Im Prinzip ja, ist nur weder Zero Trust noch Security noch DNS. Aber der Rest ist voll geil!!
Update: Ein Kumpel meint, das soll dann alles verschlüsselt ablaufen, über DoT oder DoH. Ich las das als optional. Vielleicht irrte ich und das soll Zwang werden. Halte ich trotzdem nichts von. Die Komplexität von DoT und DoH ist Größenordnungen über der von DNS. Da werden also mit Sicherheit Lücken drin sein, und wenn eine Sicherheitslücke in OpenSSL gefunden wird (oder halt einer anderen TLS-Implementation), dann will man die bitte upgraden können, ohne dafür die verwundbare TLS-Implementation zu brauchen.