Der britische Sicherheitsforscher Kevin Beaumont, der auf Twitter als GossiTheDog unterwegs ist, hat vermutlich Ärger mit Microsoft. Wie er gerade auf Twitter bekannt gab, agiert Microsoft wohl „hinter den Kulissen“ gegen Tweets von ihm, weil diese vertrauliche Informationen öffentlich machten. Wenn ich mal eigene Erfahrungen heranziehe, schätze ich, dass Microsoft eine Beschwerde gegen ihn an Twitter abgesetzt hat, die zur Suspendierung des Twitter-Kontos führte. Wenn es stimmt, was Beaumont öffentlich gemacht hat, ist das möglicherweise ein Fall von „Kritiker mundtot machen“, denn der inkriminierte Tweet verlinkt auf eine Stellenanzeige Microsofts.
Der Sack Reis, der in China umfällt
Normalerweise wäre das Ganze an mir vorbei gegangen bzw. ich hätte es nicht thematisiert (der berühmte Sack Reis, der gerade in China umgefallen ist). Aber wir haben gerade das Thema „Aufkauf von Twitter durch Elon Musk“ (siehe Musks Twitter-Kauf: „Größter Clown der Welt kauft größten Zirkus der Welt“). Musk begründet den Kauf auch damit, dass er die Meinungsfreiheit auf der Plattform hoch halten will. Er hat sich geärgert, dass da zu viel zensiert worden sei. In dieser Angelegenheit muss man aber abwarten, wie sich das Ganze entwickelt.
Der zweite Punkt, warum zwei kurze Tweet von Kevin Beaumont bei mir einen Trigger ausgelöst haben: Ich bin im November 2021 selbst in diese Mühlen geraten, weil ein Adobe Brand Protection Team, vertreten durch die Incopro Ltd. in London, eine DMCA-Beschwerde, basierend auf falschen Anschuldigungen, gegen mich wegen eines Tweets eingelegt hatte. Hier die Information, was mir zur Last gelegt wurde.
Es handelte sich beim verlinkten Tweet um den Beitrag Adobe Acrobat Reader DC (21.007.20099) 64-Bit-Download fehlerhaft hier im Blog. Der Blog-Beitrag befasst sich mit der Problematik, dass die Installer für den Adobe Acrobat Reader DC in der 64-Bit-Version schlicht fehlerhaft sind. Das war der Firma Adobe wohl nicht wirklich genehm, dass ich das aufgespießt hatte.
Eine einfache DMCA-Beschwerde reichte, dass mein Twitter-Konto supendiert wurde – und ein Follower, der meinen Tweet geteilt hatte, wurde ebenfalls suspendiert. Ich hatte das Ganze im Blog-Beitrag Twitter-Account wegen Berichterstattung zu Adobe-Problemen per DMCA gesperrt thematisiert.
Im konkreten Fall konnte ich mein Twitter-Konto automatisch reaktivieren, aber es drohte und droht eine dauerhafte Sperre, wenn weitere DMCA-Beschwerden eingingen. Ich habe daher seit einigen Monaten ein Profil auf Mastodon, wobei die 166 Follower gerade einmal 10 % der Twitter-Gefolgschaft ausmachen.
Der Fall von Kevin Beaumont
Zuerst einige Bemerkungen zu Kevin Beaumont. Der Brite ist Sicherheitsforscher und bloggt unter doublepulsar.com über diverse Sicherheitsthemen. Auf Github finden sich einige Repositories von ihm und bei Medium gibt es diverse Artikel, die er verfasst hat. Auf Twitter hat Beaumont über 130.000 Follower und ich würde ihn als „Schwergewicht“ in diesem Bereich ansehen. Ich folge Beaumont seit längerer Zeit auf Twitter – und wenn ich es richtig mitbekommen habe, hat er kurzzeitig bei Microsoft in deren Sicherheitsteam angeheuert, dann aber das Handtuch geworfen. In manchen Tweet vermeine ich leise Kritik an Microsoft und deren Verhalten in Sicherheitsdingen herauszulesen.
So viel zu der Vorgeschichte. Nun zum gegenwärtigen Thema: Auf Twitter sind mir die beiden folgenden Tweets von Beaumont unter die Augen gekommen. Im ersten Tweet teilt er mit, dass „Microsoft sich hinter den Kulissen wieder über seine Tweets aufgeregt habe“. Wenn sein mein Twitter-Konto verschwindet, also gesperrt werde, war es das – was wohl so zu interpretieren ist, das er dann Twitter den Rücken kehrt.
Spiegele ich die von mir oben skizzierten Erfahrungen wieder, tippe ich darauf, dass es eine DMCA-Beschwerde gegen Tweets von Beaumont von Microsoft – oder einem beauftragten Dienstleister gab. Interessant ist, was Beaumont zum betreffenden Tweet veröffentlicht.
Der Stein des Anstoßes
Laut Beaumont hat dieser Tweet wohl den Ärger verursacht, und Microsoft gibt an, dass da vertrauliche Informationen veröffentlicht worden seien. Zur Sache an sich: In dem in obigem Screenshot gezeigten Tweet antwortet Beaumont auf diesen Post von Brian Pittsburg, der schrieb:
Der Fetisch der Windows-Sicherheit für die unverhältnismäßige Betonung hardwarebasierter, tiefgreifender Sicherheitsmaßnahmen, die erst dann zum Tragen kommen, wenn ein Angreifer auf einem Gerät sitzt und über Administratorrechte verfügt, während die tatsächliche Verhinderung dieses Vorgangs unterschätzt wird, ist ein Thema, das ich sehr interessant finde.
In der Diskussion geht es um die Frage, wie Microsoft Sicherheitsmaßnahmen umsetzt und die Frage, was von der Betonung auf Hardware-Schutz zu halten sei. Die Frage, die mitschwingt: „Was tut Microsoft, um zu verhindern, dass ein lokaler Angreifer Administratorberechtigungen erhält?“. Beaumont antwortet, dass Microsoft dafür sorgt, dass im Grunde jeder ein lokaler Administrator sei – wobei er darauf anspielt, dass unter Windows standardmäßig alle neu angelegten Benutzerkonten zur Gruppe der Administratoren gehören.
Dann erwähnt er im Tweet noch, dass Microsoft ein Threat Intelligence Center (MSTIC) habe, dass das die Vermögenswerte von Bedrohungsakteuren verfolge, um zu sehen, wer sie angreift. Und Microsoft habe unglaubliche IR- und PR-Ressourcen, die man für diese Zwecke einsetzen könne. So etwas hätten die Kunden von Microsoft (i.d.R.) nicht. Über das Sternchen im Tweet verlinkt er nachfolgende Microsoft-Stellenanzeige.
Dort wurde 2021 ein Senior Programm Manager für MSTIC gesucht – und wenn die Angaben von Beaumont in obigem Tweet stimmen, wirft Microsoft ihm vor, mit diesem Link vertrauliche Informationen gepostet zu haben. Gehe ich die Tweets und die Stellenanzeige durch, kann ich da nichts kritisches oder vertrauliches erkennen.
Ich bin an dieser Stelle vorsichtig, da ich nur die öffentlichen Tweets von Beaumont kenne – möglicherweise ist ihm ein Irrtum unterlaufen oder er hat nicht alles offen gelegt, oder ich habe nicht alles verstanden. Kann natürlich alles ein ungewolltes, gezieltes Missverständnis von beiden Seiten gewesen sein. Ist immer schwierig, diese kurzen Texte auf Twitter korrekt zu verfolgen und zu interpretieren.
Aber es dürfte spannend werden, zu verfolgen, ob Beaumont in den kommenden Wochen noch auf Twitter abhängt (momentan macht er mal 9 Tage Urlaub, wie ich gerade gesehen habe). Aktuell sollte man den Fall nicht zu hoch hängen – aber ich habe ihn mal kurz im Blog eingestellt – vielleicht kocht ja noch was hoch. Ein ungutes Gefühl bezüglich dieses Twitter-Cases bleibt bei mir auf jeden Fall.
Ähnliche Artikel:
Musks Twitter-Kauf: „Größter Clown der Welt kauft größten Zirkus der Welt“
Twitter-Account wegen Berichterstattung zu Adobe-Problemen per DMCA gesperrt
Microsoft legt DMCA-Beschwerden wegen geleakter „Windows 11“-ISOs ein
Ninjutsu OS: Von Microsoft per DMCA-Beschwerde weggemobbt
Bei Microsoft selbst ist quasi jeder lokaler Admin…
Betr. „dass im Grunde jeder ein lokaler Administrator sei – wobei er darauf anspielt, dass unter Windows standardmäßig alle neu angelegten Benutzerkonten zur Gruppe der Administratoren gehören.“:
Kann ich nicht bestätigen, s. (1). Desgleichen mit lusrmgr.msc angelegte Benutzer. Output von wmic os /get /value (partial): BuildNumber=19044, Caption=Microsoft Windows 10 Pro.
P.S.: Auch New-LocalUser legt per default keine Benutzer als Administratoren an!
(1)
Editierter Output, u. a. wegen WordPress Limitationen:
C:\… net user dummyuser /add
The command completed successfully.
C:\ … net user dummyuser
User name dummyuser
…
Local Group Memberships *Users
Global Group memberships *None
The command completed successfully.
die Aussage bezieht sich darauf, dass bei der Windows-Installation ein Admin-Konto angelegt wird (was erforderlich ist), dann aber kein Standardkonto für den Nutzer angelegt wird. Führt dazu, dass ein Großteil der Leute außerhalb verwalteter Umgebungen als Administrator unterwegs sind. Und ab Win10 werden die Leute, die administrative Aufgaben erledigen wollen, quasi zum Administrator-Konto gedrängt. Eine Benutzerkontensteuerung gibt es in der Einstellungen-Seite nicht mehr.
Betr. „dass Microsoft … die Vermögenswerte von Bedrohungsakteuren verfolge,“:
Unbedarfte Leser könnten leicht den Eindruck gewinnen, Microsoft verfolge Fritzchen Müller, der ab und zu garstiges Windows Bashing bei Heise betreibt und nun mit Microsoft ’s Gegenwehr à la ‚ich weiss wo dein Haus wohnt‘ rechnen muss. Das ist Mumpitz.
Aus (1): “ … to build the next-gen platform Microsoft uses to hunt nation state attackers, a.k.a. „Project SPECTRE“. SPECTRE … empowers our analysts to create a detailed graph of the cyber-attackers‘ assets, targets and modus operandi.“
Hier geht es einzig darum, im Falle grosser, mit staatlicher Unterstützung operierender Angreifer deren Schlagkraft (‚Assets‘) resp. ‚Waffenarsenal‘ (bspw. Anzahl unter Kontrolle gebrachter Bots) zu ermessen.
(1)
Senior Program Manager – Microsoft Threat Intelligence Center (MSTIC) [Stellenanzeige]
ich denke, die Implizierung dürfte für die Leserschaft hier klar sein.
Darum geht es meiner Meinung nach nicht. Diese Firmen die Beiträge melden fischen im Trüben. Wenn man oft genug etwas meldet wird halt jeder Account irgendwann gesperrt.
Ein berühmter Wettermoderator hat regelmäßig solche Beitrag-melden-Falschmeldungen als Screenshot getweetet um zu zeigen wie aktiv seine Gegner sind.
Es reicht halt einmal für eine Firma unangenehm zu werden und du bist für immer in deren Ungnade. Kennt man auch von Hardware-Herstellern die nach Kritik Computer-Magazine nicht mehr mit Grafikkarten/CPUs vorab zum Test beliefern.