Klokkenluider waarschuwt voor ernstige beveiligingsproblemen bij Twitter

Een oud-directeur van Twitter luidt de noodklok vanwege verschillende problemen rondom de interne beveiliging en processen van het bedrijf. Hij waarschuwt er onder andere voor dat te veel medewerkers te ruime interne toegang hebben tot data.

De klokkenluider, Peiter Zatko, was tot januari van dit jaar hoofd beveiliging bij Twitter. Hij werd toen ontslagen, officieel omdat hij zijn functie niet goed zou vervullen. Zatko heeft vorige maand een uitgebreide brief naar de Securities and Exchanges Commission gestuurd waarin hij verschillende nalatigheden van Twitter beschrijft. Die brief is niet openbaar, maar CNN en The Washington Post schrijven erover. Tweakers heeft ook een achtergrond geschreven over de aantijgingen.

Zatko noemt verschillende problemen die bij Twitter zouden spelen. Het bedrijf zou verouderde software op servers draaien, zwichten voor de invloed van overheden en 'gebruikersgroei boven spambestrijding plaatsen'. Het bedrijf zou daarmee volgens hem niet voldoen aan de schikkingseisen die Twitter in 2011 opgelegd kreeg van de Amerikaanse FTC na een groot beveiligingslek. Twitter moest onder die schikking bepaalde beveiligingsmaatregelen doorvoeren, onder andere zodat medewerkers minder toegang tot accountinformatie krijgen. Dat is volgens de klokkenluider niet goed geregeld; volgens Zatko voldoet Twitter ondanks de beloften niet aan die schikking.

Mede door zulke slechte beveiligingsmaatregelen en -processen zouden er in het verleden vaak prominente accounts zijn overgenomen. Dat gebeurde onder meer in 2020, toen een aantal grote accounts werd overgenomen om cryptovalutascams te verspreiden.

Door Tijs Hofmans

Nieuwscoördinator

23-08-2022 • 16:35

136

Reacties (136)

Sorteer op:

Weergave:

Waarom vermeld dit artikel niet dat Peiter "Mudge" Zatko een van de meest gewaardeerde hackers/cybersecurity experts is in de wereld is en niet zomaar een oud directeur? Mudge is door Jack Dorsey na de hacks bij Twitter in 2020 persoonlijk gevraagd om Twitter te helpen en uit meeste info blijkt dat hij dat geprobeerd heeft en bij elke stap werd tegengewerkt door nieuwe CEO en management (Jack Dorsey is in 2021 teruggetreden als CEO en schijnt al maanden uitgecheckt te zijn geweest). Waardoor hij dit als laatste mogelijkheid ziet om daar wat aan te doen en in zijn woorden de democratie te beschermen. Echt hele cybersecurity wereld op Twitter ontploft erover hoe Twitter er mee weg denkt te komen om te proberen Mudge zwart te maken. Dat kunnen ze bij iedereen doen maar dit is wel de laatste waarbij je dat moet flikken. Dit gaat echt wel een ding worden.

https://edition.cnn.com/2...zatko-security/index.html dit is het oorspronkelijke artikel hierover van CNN.

https://www.washingtonpos...ko-twitter-whistleblower/ en die van Washingtonpost.

[Reactie gewijzigd door Vrijegeest op 22 juli 2024 21:30]

Mudge was Chief Security Officer van Twitter, dus direct verantwoordelijk hiervoor. Maar begin dit jaar ontslagen ivm "slecht performance".
Je kan dit incident dat op 2 manier lezen:
1) Mudge maakte er een probleem van dat er effort gestoken moest worden om de security te verbeteren en de rest van de C-suite/board had er genoeg van.
2) Mudge is uit op wraak omdat hij ontslagen vanwege slechte performance.

Ik ken Mudge verder niet, maar optie 1 is toch wel vaker de realiteit geweest dan optie 2.

[Reactie gewijzigd door elmuerte op 22 juli 2024 21:30]

Begrijp ik nou goed dat je wil suggereren dat Mudge de boel zou traineren aan de kant van de security bij Twitter…? En waarom ontbreekt er ieder spoor van een optie waarbij Mudge niet incompetent of wraakzuchtig is? :+

Om te beginnen: hij heeft er slechts krap 1 jaar en 2 maanden gewerkt (November 2020 -> Jan 2022). Hij werd aangenomen omdat security een complete chaos zou zijn. Dat los je niet ff zomaar op. En hoe kan je hem dan “direct verantwoordelijk” houden voor de staat van de security die hij erfde en, volgens de schaarse info die we nu hebben, niets aan heeft kunnen doen omdat CEO/bestuur niet mee wilde werken…?

Hoe ik het zie: Mudge is in November 2020 aangenomen door Dorsey direct na een grootschalige hack op Twitter. De security was al niet in orde, je kan moeilijk stellen dat hij voor die chaos verantwoordelijk is (geweest). Vlak erna zijn er grote wijzigingen geweest in het C-level team. Mudge heeft een erg goede reputatie in de security wereld en is wel wat je een tophacker kan noemen. Ethisch hacker, welteverstaan. Heeft ook al eerder getuigd voor het congres in de VS en heeft met positieve afsluiting posities bekleed bij oa Google, Stripe, Ministerie van Defensie en naar verluidt wilde team Biden hem hebben. En dan lijkt het jou het meest waarschijnlijk dat uitgerekend hij, die notabene is aangenomen om de security onder handen te gaan nemen, dwars is gaan liggen bij… het verbeteren van de security en het maar vervelend vond dat er effort in gestoken moest worden? :+ Dat zou wel heel erg raar zijn. Het kan hoor, ik sluit het ook niet uit. Maar ik vind het wel nogal vergezocht van je. :P Maar wie weet. :)

Ik kijk tot alle feiten er zijn en bewezen zijn neutraal naar de zaak, maar als ik nu een gokje zou *moeten* wagen, dan zou ik toch eerder m’n geld er op inzetten dat het exact andersom is: Mudge wilde hard focussen op security, C-level had er geen zin in of wilde dat ie zich op iets anders focuste. Toen ie dat weigerde én maar bleef klagen dat de security echt rampzalig slecht in elkaar steekt is ie er uitgeknikkerd. (Misschien terecht, wie weet - we gaan ‘t over een tijdje wel horen wat de bevindingen van de autoriteiten zijn :)) Adhv hetgeen nu naar buiten is gekomen, ruikt het daar wel naar. Het is als dat waar is, en daar doen de autoriteiten vast onderzoek naar en Musk heeft hem gedagvaard, daadwerkelijk een last resort om Twitter te dwingen het nu serieus te gaan nemen.

Maar wie weet… Misschien heb je gelijk en is ie wraakzuchtig en incompetent. :P Resultaten behaald in het verleden zijn immers geen garantie voor de toekomst. Maar de man heeft de schijn absoluut niet direct tegen zullen we maar zeggen.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 21:30]

@WhatsappHack ik denk dat je het punt van @elmuerte verkeerd leest.
In optie 1 maakt hij eigenlijk hetzelfde punt als jij, en die noemt hij dat 'optie 1 is toch wel vaker de realiteit geweest dan optie 2'
Ik denk alleen dat het wat warrig leest door de typo 'dan' --> 'dat' bij optie 1.
Zelfs met de correctie lees ik het inderdaad anders dan wat er wellicht bedoeld wordt. Als je er immers “een probleem van maakt dat er iets moet gebeuren”, dan interpreteer ik dat als: hij wil het niet doen/heeft er dus geen zin in. Anders maak je er geen probleem van dat er iets moet gebeuren, maar maak je er een probleem van dat er juist niets/onvoldoende gedaan wordt. :P

Als er dus stond “dat hij er een probleem van maakt dat er niets/te weinig aan security wordt gedaan”, dan had ik dat zo meteen begrepen. :) Als dat laatste is wat er bedoeld werd dan zijn we het inderdaad eens, maar stond en staat ‘t er erg vreemd.

Maar kan aan mij liggen. :P
Ik snap je punt helemaal.
Ik denk dat meer mensen het wellicht zo zouden lezen, vandaar dat ik er ook even op in ging. Zonde als er discussie is waar dat niet hoeft :)
Optie 1 is dat hij niet incompetent was (en wraakzuchtig). Daarin kwam hij met "er moet X gebeuren, en daar is Y tijd en Z geld voor nodig", maar de rest van de C-suite en board wou daar niet aan beginnen. Als je dat lang vol blijft houden zullen ze je de deur wijzen omdat ze niet willen luisteren naar je constante gezeur hierover.
Dat is wel erg kort door de bocht.
Optie 3: hij wou effectief de situatie verbeteren en werd tegengewerkt. Zijn activiteiten werden een bedreiging voor board leden met een langere arm. Als gevolg werd hij ontslagen. Op basis van het brede sociaal belang stap hij nu over tot klokken luiden.
Ook een leuke wat niet expliciet in het artikel staat: https://twitter.com/KimZetter/status/1562038809646092289
“About half of the company's 500,000 servers run on outdated software that does not support basic security features such as encryption for stored data or regular security updates by vendors”
https://twitter.com/KimZetter/status/1562061556745089025
“John Tye, founder of Whistleblower Aid and Zatko's lawyer, told CNN that Zatko has not been in contact with Musk, and said Zatko began the whistleblower process before there was any indication of Musk's involvement with Twitter.”
Wel heel erg goede timing voor Musk, maar als die eerste tweet klopt, dan is dat wel echt bizar voor zo'n grote organisatie. Dat servers niet encrypted zijn is niet zo erg, maar dat ze het niet eens ondersteunen zegt wel veel. Zou dus betekenen dat ze ouder dan Vista hebben draaien op de servers.
ik denk eerder oude linux distro's, al moet het dan wel bizar oud zijn, 2006 of zo toen twitter is opgericht. Ik kan het wel voorstellen, want als het eenmaal draait, dan kan het verdomd lastig zijn zo'n server te vervangen zonder je heel veel sores op de hals te halen. In 2006 was containerization e.d. nog niet zo gebruikelijk als nu. Hoe dan ook ergens heeft iemand heel lang liggen slapen
Daarom heb je echter de mogelijkheid normaal gesproken voor het maken van backups en servers die taken van elkaar kunnen overnemen - zodat je desnoods even een server er tussenuit kan halen voor grondig onderhoud.

Tenzij men tijdens de groei niet eens een poging heeft gedaan echter om via containers of server groepen het te managen, want dan is Twitter gewoon compleet incompetent met de groei omgegaan. Als servers je core business zijn, dan dien je met onderhoud, updates etc rekening te houden.
Please submit your business case to improve management and security on our server infrastructure in 140 characters or less.

;-)
Je lacht er om, maar precies om die reden is bij ons ooit een security project in de prullenbak beland omdat het aan de beslissende manager niet uit te leggen was in een half a4tje waar de kosten van een half miljoen aan besteed zouden worden
Een half A4'tje heb je daar toch niet altijd voor nodig:
"Deze kosten zijn nodig om noodzakelijke security updates door te voeren. Doen we dit niet, dan zetten we onze deuren effectief open voor data-diefstal (=>GDPR) of het stil leggen van onze core business.
(=> uitbetaling SLA's aan onze klanten). Bij dergelijke gebeurtenissen zal onze naam hierdoor schade lijden en zal dit een langdurig effect hebben op onze toekomstige groei."

Een manager is vaak geen IT'er, je moet dus ook niet met een IT uitleg komen, gewoon uitleggen wat het effect voor de firma is (niet voor de IT). Indien mogelijk hang je er nog een paar prijskaartjes aan - of leg je uit dat die 5 ton uit onderdelen bestaat en dat mogelijks bepaalde onderdelen niet noodzakelijk zijn, of gefaseerd nodig zijn (over meerdere jaren bvb).
Best ook uitleggen hoe het komt dat je nu plots deze eenmalige kost hebt ipv dat je bvb de laatste 4 jaar maandelijks 10k vroeg.
Succes in sommige bedrijven. Veel van wat je zegt hebben we ook naar voren gebracht. Het werd ook wel gehoord. Alleen…
In veel bedrijven is het een casino. Gaan we een half miljoen uitgeven aan security dat ons misschien wellicht ergens eventueel in de toekomst gaat beschermen tegen claims en kosten?…. Of investeren we die half miljoen met een bijna zeker rendement in een half jaar tijd.

Tegen dat soort redeneringen kan je bijna niet op. Die manager denkt ook aan zijn jaar gesprek. “Je hebt een half miljoen uitgegeven aan security en nu hebben we een verlies” of “goedzo, hier is je bonus want we hebben een vette winst”. Wat zou jij kiezen zonder ICT inzicht?????
Eigenlijk zou de ransomware verzekering gewoon niet moeten uitbetalen in zo'n geval.
Twitter ondersteunt sinds 2017 tweets van maximaal 280 karakters.
Twitter heeft een blog waarin ze over hun infrastructuur spreekt. Daarnaast vind je er ook dingen als bijdragen aan open source software e.d.

Link Blog
centos 6 is niet uit 2006, maar is niet meer ondersteund bijvoorbeeld... er zijn tal van distro's die niet langer okay zijn om in productie te draaien... maar voor een bedrijf als Twitter hoop je toch dat ze dat op orde hebben.
Waar heb ik ik het over centos6 dan? Misschien nog wel ouder? Verder… dream on. Als het werkt…..afblijven. Is helaas nog vaak het credo

[Reactie gewijzigd door divvid op 22 juli 2024 21:30]

Twitter is ergens in 2006 of zo opgericht.

microsoft vista OS: 30 januari 2007
centos 6 was voor 2012. Maar het gaat om de periode van Red Hat Enterprise Linux, ook wel RHEL denk ik. Hadoop is prime suspect.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 21:30]

Stiekem heb ik ook nog iets staan of draaien met CentOS 6. :X

Is eerder ivm compatibility. Je kunt het niet zomaar upgraden zonder dat de boel in elkaar stort.
Dan gebruik je een waardeloze applicatie want op zich is centos makkelijk te upgraden hoor. https://www.redhat.com/en...se-linux/centos-migration
Vista is een desktop OS, ik denk niet dat ze daar hun servers op draaien.

Daarnaast draaien BigTech bedrijven hun servers vaak op een Unix- of Linux-gebaseerd systeem, Windows is daar doorgaans niet het OS van keuze voor de backend (gewone werkplekken is wellicht een ander verhaal).
Snap ik, Vista was slechts een voorbeeld.
Nouja… Als de boel echt zo bijzonder slecht in elkaar steekt als hier het geval lijkt te zijn; dan zou het me ook niet perse verbazen als men het een goed idee achtte om Vista te gebruiken. Ik bedoel, dat het geen Windows Server is wil niet zeggen dat het de software niet draait. :+ Als ze half zo incompetent zijn als hier beweerd wordt gaat er denk ik nog een beerput open aan compleet geschifte keuzes waarvan we nu denken “dat zal toch zeker niet?”
Op zich hoeft verouderde software niet per definitie een probleem zijn als het in een bepaalde (ook fysiek) beveiligde omgeving draait achter een stapel up to date firewalls en bijbehorende software.


Het wordt weer wel een probleem als te veel mensen toegang hebben tot die ruimtes/servers
Hij waarschuwt er onder andere voor dat te veel medewerkers te ruime interne toegang hebben tot data.
Op zich hoeft verouderde software niet per definitie een probleem zijn als het in een bepaalde (ook fysiek) beveiligde omgeving draait achter een stapel up to date firewalls en bijbehorende software.
Dit kan niet meer fout zijn.... Ongelofelijk wat je soms in de reacties leest...
Beveiliging werkt in lagen... Dat wil zeggen dat je (OS) software up2date houden één van die lagen is. Dat geld voor thuis en nog meer in bedrijf, 1 server niet up2date is letterlijk het enige wat je nodig hebt als kwaadwillige. Het is daarom ook een basisprincipe van beveiliging....

Daarnaast heb ik niet het idee dat je weet wat een firewall doet. Als je ongepatchte software hebt draaien dan doet je firewall daar helemaal niets aan. Die geeft gewoon connecties door op basis van een lijst met regels... De meeste externe hacks vinden plaats via ongepatchte software.....
Ik snap niet wat je zegt.

Je kan aan de voorkant een server zetten die verkeer beperkt tot de servers die bezig zijn met twitter.

Die houd zich bezig met wat er binnen komt en uitgaat en kan verdacht gedrag opmerken.
Tot je de firewall vergeet te updaten en dan kunnen ze leuk tot aan je old 2008 windows domain controller ... game over.

Enkele legacy toepassingen kun je soms niet anders dan toelaten, maar dat zou echt wel de exception moeten zijn en dat lijkt hier niet het geval.
Beveiliging bouw je altijd op in laagjes. Faalt er één laagje door een config fout of exploit heb je daar achter nog een laagje:
Als je alleen je voordeur goed beveiligt en vergeet deze op slot te doen heb je gelukkig een goede alarm installatie en je kostbare spullen in de kluis.
Beveiliging bouw je altijd op in laagjes. Faalt er één laagje door een config fout of exploit heb je daar achter nog een laagje:
Als je alleen je voordeur goed beveiligt en vergeet deze op slot te doen heb je gelukkig een goede alarm installatie en je kostbare spullen in de kluis.
Een beetje geografische spreiding van een paar datacenter's & een plethora aan firewall oplossingen moet voldoende zijn.

@svennd
Ik geloof niet dat een Twitter hack iets te maken heeft met een 2008 windows domain controller. Of betreft dit de verwijzing naar de social engineering effort?

Ik geloof ook niet dat een bedrijf dat 500.000 servers heeft "vergeet" de servers te updaten. Lijkt me gewoon de zoveelste RHEL soap.
Bovendien, een simpele cliënt kan je vrij gemakkelijk up-to-date houden en een professionele firewall geeft vooralsnog niet de beoogde veiligheid.
@Verwijderd Ze hebben het vaak over AV & Spam filters.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 21:30]

Yep, of IDS systemen. Maar die moet je natuurlijk ook gewoon up2date houden.

Lijkt me gewoon de zoveelste RHEL soap
Eerste intelligente opmerking in deze hele thread. :D
Die houd zich bezig met wat er binnen komt en uitgaat en kan verdacht gedrag opmerken.
Hoe weet die server wat 'verdacht gedrag' is als je die niet update?
En die server is zelf een hackbaar item als je deze niet up2date houdt.

Mijn punt is dat firewall systemen niet 'weten' wat verdacht gedrag is. En de firewall zelf moet je ook up2date houden. Het is gewoon simpelweg een basisprincipe in beveiliging.
Op zich hoeft verouderde software niet per definitie een probleem zijn als het in een bepaalde (ook fysiek) beveiligde omgeving draait achter een stapel up to date firewalls en bijbehorende software.

Het wordt weer wel een probleem als te veel mensen toegang hebben tot die ruimtes/servers
Nou ik ben nog nooit een beetje server-ruimte ingekomen zonder een pasje en een registratie in een logboek. Da's gewoon toegangscontrole, wat op het gebouw zelf vaak ook zit, icm met het alarmsysteem.
Gebruikt Twitter Microsoft voor zijn servers?
Geen enkele grote (tech) organisatie gebruikt Windows als server OS. Dat is onnodig duur (licenties), meestal een verdubbeling van de kosten.

Zelfs de helft van Microsoft eigen cloud (Azure) draait meer Linux dan hun eigen OS. Microsoft omarmt dit ook prima.
Onzin. Genoeg banken gebruiken o.a. Windows als server OS.
Ja, de wereld bestaat ook enkel uit banken...

En die bankmanagers openen ook niet even de Azure Price Calculator om erachter komen dat Windows VM's dubbel de prijs zijn.... Want financien is niet hun ding _/-\o_
Je blind staren op de prijscalculator van azure is nogal ja, een beetje beperkt.

Ontwikkeling is zoveel duurder dan het draaien van software dat het in veel situaties een non-issue is en het gemak van de windows toolchain + .net + visual studio + azure nu eenmaal niet opweegt tegen de frustratie van omscholing naar de *nix wereld tegen de beperkte winst van licentie kosten.
Ja, daarom ontwikkeld iedereen ook op .NET... Zoals wie ook alweer? Noem anders even moderne diensten die op .NET draait? Netflix? Salesforce? Tweakers.net? Akamai? Oracle?
Node.js of React.js? Pfff, nooit van gehoord...

Wij hebben geheel andere ideeën van software ontwikkeling. Niets mis mee maar 'ontwikkelaars die 'omgeschoold' moest worden voor *nix' is wel een erg vreemde uitspraak? Volgens mij lopen de meeste ontwikkelaars al jaren rond met een macbook en geven de statistieken op Stackoverflow toch echt wel een volledig ander beeld...

Je blind staren op de prijscalculator van azure is nogal ja, een beetje beperkt.
Volgens mij snap je prima hoe bedrijven werken. Ooit wel eens een businesscase geschreven? of gehoord van terugkerende kosten? Kosten zijn de kern van iedere organisatie, hoe je het wendt of keert. Hoge kosten = minder winst. Geen rekening houden met kosten is nogal... beperkt....

Ontwikkeling is zoveel duurder dan het draaien van software dat het in veel situaties een non-issue
Haha, iedere commerciële organisatie zou je er op de kop uitgooien als je dat tegen iemand van management zegt..
Dream on!

Ik weet zeker dat er in Nederland grote organisaties zijn die Windows als server OS gebruiken.
Hij had het over tech organisaties. Geen grote kantoortuinen waar al die ransomware huishoudt.
Geen grote kantoortuinen waar al die ransomware huishoudt.
Haha, shots fired :D

Helemaal waar verder...
Ehm, nee. Een groeiend aandeel bedrijven (mij lijkt het overigens meer vanuit systech luiheid want men kent Windows) gebruikt Windows NT-gebaseerde systemen (Windows Server edition etc)
In de Windows wereld noemen ze een server de Windows NT-line, dus bv. NT4, en in de Linux wereld heb je een standaard (maar niet exclusief) kernel, en vele distro's (wat eigenlijk een collectie met default libs en wat themes is).

Sommigen beweren dat enkel Unix een echte server is, mainframe, en anderen dat de Cloud een groot mainframe met login is. Vandaar denk ik de confusie wat betreft een AD domain controller, wat vooral iets van Microsoft Windows is.

Vanuit client perspectief wordt het server dilemma uitgedrukt tussen alles op auto zetten of meer user control, waarbij je zowel met GNU/Linux als Windows OS (alsmede MacOS) kan communiceren.

Maar idd, de bedrijven die zonder automatisering kunnen die sterven uit.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 21:30]

https://build5nines.com/l...ver-50-percent-fo-vm-core
En dat is Azure, in AWS en GCP is vrijwel geen Windows te vinden.
Onzin. Ik ken een grote multinational in NL die vooral op Windows Server draait. Bron: heb er 10 jaar lang als serverbeheerder gewerkt…
Ik ben al 30 jaar 'Windows beheerder', wat wil je er mee zeggen? Dat jouw omgeving exclusief Windows draait en dat een goede bron van informatie is? Het geeft enkel aan dat er binnen die organisatie niet echt wordt nagedacht over TCO? Dat er goede verkopers rondlopen die je wijs maken dat het verstandig is om superdure Windows licenties af te sluiten?

Zelfs binnen Microsoft weet men wel beter:
https://build5nines.com/l...ver-50-percent-fo-vm-core
Laten we het maar niet over AWS of GCP hebben.
Super dure licenties? Ik weet niet hoor maar bijv het onderwijs bestaat geen drol aan licenties. En wat is een “dure” licentie precies? Support en de garantie dat bijv. je authenticatie altijd werkt? Of dat je alle mogelijke security erbij krijgt? En heb je de kosten per user per maand al eens afgezet tegen alle training, support en ellende van concurrenten die je nodig hebt?

Welk vergelijkend pakket biedt je bijvoorbeeld conditional access aan en MFA op het niveau van Microsoft? En wat kost dat aan implementatie? Ja in je uppie kom je een eind, maar een beetje bedrijf heeft honderden IT’ers in dienst die support moeten kunnen leveren voor allerhande applicaties (al dan niet zelf ontwikkeld of via leveranciers aangeschaft!). Hoe kom je aan, pakweg, 300 Linux mensen die je letterlijk zo van een opleiding kan halen?

In die 30 jaar heb ik alles van de garage op de hoek tot multinationals bediend. Één en al Windows wat de klok slaat. Zonder uitzondering. Of ja, 1 klant had een volledige MacOS-omgeving, van XServe tot aan MacBooks.

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 21:30]

https://azure.microsoft.com/nl-nl/pricing/calculator/
Neem een linux VM vs een Windows VM en trek zelf je conclusies.

Ik weet niet hoor maar bijv het onderwijs bestaat geen drol aan licenties.
Dat zijn specifieke kortingen om een vendor-lockin te creëren onder studenten en dat wil je echt als voorbeeld geven?

Welk vergelijkend pakket biedt je bijvoorbeeld conditional access aan en MFA op het niveau van Microsoft?
Je weet dat Microsoft dit niet heeft uitgevonden? En je wilt een voorbeeld? Kijk eens naar de grootste speler op dit gebied: Okta. Verder zijn er tientallen opties, denk je echt dat niet iedere grote cloudprovider een soortgelijke dienst aanbied?

Hoe kom je aan, pakweg, 300 Linux mensen die je letterlijk zo van een opleiding kan halen?
Ik denk niet dat je bekend bent met hoe DevOPs werkt maar je hebt echt niet veel mensen nodig voor onderhoud van een CI/CD pipeline. Containers zijn verder ook stateless dus dat onderhoud is letterlijk een geautomatiseerde taak? Ik hoop niet dat je denkt dat modern beheer iets is dat niet geautomatiseerd verloopt?

In die 30 jaar heb ik alles van de garage op de hoek tot multinationals bediend. Één en al Windows wat de klok slaat. Zonder uitzondering. Of ja, 1 klant had een volledige MacOS-omgeving, van XServe tot aan MacBooks.
Same here, maar tegenwoordig zie ik het nergens meer. En als we ze tegenkomen dan vervangen wij ze met een SaaS dienst. Qua TCO vrijwel altijd goedkoper (jij als beheerder kost teveel ;) ) Vrijwel iedere Microsoft dienst is ook als SaaS aan te schaffen dus als je een businesscase wilt schrijven dan moet je echt wel een enorme goede reden hebben om nog zelf Windows te deployen.
Ik vraag niet of MS het uitgevonden heeft, ik zeg alleen dat zij het op een dusdanige schaal kunnen uitrollen dat praktisch iedereen er iets aan heeft.

Ondertussen werkt de fingerprint scanner op een HP Probook 450 G6 gewoon niet onder Ubuntu. Om over Secure Boot nog maar te zwijgen…

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 21:30]

Tja, dat zegt toch meer over HP dan over iets anders?
Verder is Secure Boot een Microsoft techniek, dus je klaagt over een Microsoft vendor lockin techniek die letterlijk de laptop forceert om enkel Windows te draaien en dat is dan een Linux probleem? Volgens mij moet je dit antwoord een keer heroverwegen ;) :
nieuws: Dell en HP willen secure boot niet opleggen aan gebruiker
nieuws: 'Fastboot van Windows 8 hindert installatie alternatief OS'

ik zeg alleen dat zij het op een dusdanige schaal kunnen uitrollen dat praktisch iedereen er iets aan heeft.
Ik snap hier niet helemaal wat je bedoelt maar Azure is slechts een kleine speler ten opzichte van bijvoorbeeld Amazon?
Als je over conditional access en MFA hebt, deze technologieën zijn niet door MS uitgevonden en relatief open standaarden? Als in SAML, OpenID, Oauth. Microsoft heeft ook zeker niet de meest gebruiksvriendelijke implementatie van deze standaarden?

Dus als je praat over 'kunnen uitrollen dat praktisch iedereen er iets aan heeft' dan moet je de open standaarden prijzen, niet Microsoft? Ter referentie, dat is bijvoorbeeld OASIS.
Als je geen idee hebt waar het over gaat, waarom reageer je dan?

Ik heb het nergens over standaarden, ik heb het over dat MS zoveel gebruikt wordt en aanpassingen dus op enorme schaal doorgevoerd kunnen worden.

Lees je even in over conditional access. Daar heb ik het oa over; niet over SAML en single sign-on.

Overigens is SecureBoot iets wat je juist wel moet willen gebruiken; SuSE ondersteunt het bijv wél maar andere distros weer niet.

Vwb die fingerprint scanner: ja dat is iets van HP. Maar onbruikbaar als je Linux wil gebruiken kennelijk. Dat is maar een kleinigheidje, ik ga er ook niet teveel energie in steken, maar out of the box krijg ik dat ding niet werkend in Ubuntu 22.04. En das ruk. De tijd die ik daaraan kwijt ben is me te kostbaar tov wat het oplevert.

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 21:30]

Als je geen idee hebt waar het over gaat, waarom reageer je dan?
Omdat ik denk dat je het verkeerd hebt en mij afvraag waarom je zo denkt.

Ik heb het nergens over standaarden, ik heb het over dat MS zoveel gebruikt wordt en aanpassingen dus op enorme schaal doorgevoerd kunnen worden.
Dit is een goed voorbeeld. Waarom zou het goed voor iemand zijn dat Microsoft een eigen implementatie van een standaard 'op schaal doorgevoerd'? Het is zo'n rare uitspraak. Vindt je het ook een goed punt dat Google en Okta hetzelfde doen (waarschijnlijk op een nog veel grotere schaal?) en haal je daar hetzelfde uit?

Lees je even in over conditional access. Daar heb ik het oa over; niet over SAML en single sign-on.
Haha, Ik denk dat jij je moet inlezen. Hier is een link waar je kunt beginnen:
https://docs.microsoft.co...eration-and-issued-tokens
Waar denk je dat je de 'conditionele toegang' op toepast? SAML/SSO is de manier om in te loggen op applicaties in Office 365....Als je policy toepast die MFA verplicht, waar denk je dat die MFA verplicht op wordt? Mogelijk op het inloggen? En als je een applicatie benaderd met andere policies waar denk je dat die tegen gecontroleerd wordt (je SSO sessie en onderliggend met SAML tokens).

Overigens is SecureBoot iets wat je juist wel moet willen gebruiken; SuSE ondersteunt het bijv wél maar andere distros weer niet.
Het ligt eraan welke toekomst je wilt hebben. Als je een toekomst wilt hebben waar jij geen mogelijk meer wilt hebben om ooit nog een ander besturingssysteem te kunnen installeren, dan ja. Wil je niet een locked 'bootloader' hebben, dan niet. Ik vraag mij af waarom je zoiets zou willen aanmoedigen? De links die ik aanbied schrijven hierover en ik denk niet dat je snapt wat SecureBoot precies inhoudt.

Vwb die fingerprint scanner: ja dat is iets van HP. Maar onbruikbaar als je Linux wil gebruiken kennelijk.
Als de leverancier van een product geen software (drivers/stuurprogramma's) vrijgeeft voor een OS, dan is dat de schuld van de leverancier. Als niemand stuurprogramma's voor Windows schrijft, dan zal het nooit met Windows werken maar dat is nooit Microsoft's schuld...

De tijd die ik daaraan kwijt ben is me te kostbaar tov wat het oplevert.
Het is ook niet de bedoeling dat jij dit gaat doen. Jij als consument moet nadenken over wat je koopt (voordat je koopt). Als jij een mooie Framework laptop had gekocht, dan had je dit probleem niet gehad. Plus dat je hem nog zelf kunt repareren / upgraden ook nog. Ik vind het maar vreemd dat vingers gewezen worden en mensen niet eerst in de spiegel kijken of ze zelf niet betere keuzes hadden kunnen maken. Het maakt niet uit dat je een vergissing maakt (doen we allemaal) maar ga dan niet vingers wijzen en iemand anders de schuld geven. Leer ervan en hou er bij de volgende aankoop gewoon rekening mee.....
Durf je een naam te noemen?
Jawel, maar doe ik niet.
Waarom zou ik een bedrijf bij naam en toenaam noemen of me ergens voor schamen? Ik werk er al een tijd niet meer, maar ik ga al een tijdje mee in de IT; ik weet hoe de markt werkt.

Het is geen schaamte dat een bedrijf Windows Servers gebruikt of zelfs hybride in de (Azure) cloud werkt. Dat leer met de jaren nog wel.
Maakt niet uit; kijk eens bij de MX-records voor Shell, Unilever, ASML, Philips…. Allemaal Office 365. En dus Microsoft.
Tsja. Van mij geen -1 hoor.. en ja Office 365 draait onderhuids misschien op Linux, maar de clients zullen vooral Windows icm Outlook draaien ;) wat Microsoft doet moeten ze zelf weten.
Windows runners zijn inderdaad duurder dan Linux runners op nota bene GitHub (bron: eigen ervaring van anderhalf jaar geleden, kan inmiddels anders zijn)
Yep, check ook maar eens Azure Price Calculator met een Windows VM. Dubbel zo duur...
Grappig dat wij gedownmod worden. Zo zie je maar weer hoe weinig ervaring men hier op Tweakers heeft met IT systemen.
Waar heb je dat vandaan?

Ik kan je uit ervaring vertellen dat een grote verzekeraar welke ook in NL actief is gewoon een hele buts Windows servers draait.

En dat is maar een voorbeeld. Ik ken ook nog een flink ziekenhuis wat plus-minus 50/50 draait. Het is echt niet zeldzaam bij grote bedrijven en organisaties, verre van.

Er zijn prima redenen te bedenken om een Windows server te verkiezen boven Linux. Licenties zijn ook maar één punt in de gehele aanschaf- en ontwerpprocedure.

[Reactie gewijzigd door eric.1 op 22 juli 2024 21:30]

Waar heb je dat vandaan?

Ik kan je uit ervaring vertellen dat een grote verzekeraar welke ook in NL actief is gewoon een hele buts Windows servers draait.

En dat is maar een voorbeeld. Ik ken ook nog een flink ziekenhuis wat plus-minus 50/50 draait. Het is echt niet zeldzaam bij grote bedrijven en organisaties, verre van.

Er zijn prima redenen te bedenken om een Windows server te verkiezen boven Linux. Licenties zijn ook maar één punt in de gehele aanschaf- en ontwerpprocedure.
Sterker nog, Windows AD domain controller is een zeer dominant product. Andere/oudere oplossing als netware en netlogin en zo zijn allemaal zo goed als uitgestorven.

En dat geldt ook voor Exchange, identity management & group policy's, waarbij er wellicht nog wat exotische intranet oplossing op Kerberos of Yubikey draaien.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 21:30]

Sterker nog, Windows AD domain controller is een zeer dominant product. Andere/oudere oplossing als netware en netlogin en zo zijn allemaal zo goed als uitgestorven.
In Nederland is het vrij dominant door alle MS verkopers inderdaad. Maar met de cloud migratie gaan mensen wel nadenken. Verder is ADDS helemaal dood. Wanneer was de laatste update aan AD?

Microsoft investeert enkel nog tijd in Azure AD. En dat is totaal anders dan ADD.
Sterker nog, Windows AD domain controller is een zeer dominant product. Andere/oudere oplossing als netware en netlogin en zo zijn allemaal zo goed als uitgestorven.
In Nederland is het vrij dominant door alle MS verkopers inderdaad. Maar met de cloud migratie gaan mensen wel nadenken. Verder is ADDS helemaal dood. Wanneer was de laatste update aan AD?

Microsoft investeert enkel nog tijd in Azure AD. En dat is totaal anders dan ADD.
multi-cloud met op strategische plekken enkele datacenter's en cdn's moet voldoende zijn. Mijn voorkeur is doas inrichten, en niet een Windows AD domain controller gebruiken, maar wel mail, ftp/smb & print services draaien.

En het Microsoft ISV partner kanaal (alsmede de Windows AD domain controller) is echt niet enkel in Nederland dominant.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 21:30]

Waar heb je dat vandaan?
Van Microsoft? Die zijn daar vrij transparant over.... Ga maar eens naar Spire of Technet.
Verder kan je ook gewoon Google vragen:
https://build5nines.com/l...ver-50-percent-fo-vm-core
Of simpelweg jezelf de vraag stellen welke VM je zou huren in Azure en dan naar de prijslijst kijken?
Voorbeeld D4 VM met Windows: 866,51 USD
Voorbeeld D4 VM met Linux: 490,56 USD

Fun dat ik weer gedownvote wordt en iedereen daaronder niet. Wat een fun systeem is dit...

Ik kan je uit ervaring vertellen dat een grote verzekeraar welke ook in NL actief is gewoon een hele buts Windows servers draait.
Ja, hier in NL zijn de IT mensen vaak niet erg snugger. Dan hoor je ook: 'ik ga niet over de prijzen' terwijl de licentie boer in zijn handen wrijft.

En dat is maar een voorbeeld. Ik ken ook nog een flink ziekenhuis wat plus-minus 50/50 draait. Het is echt niet zeldzaam bij grote bedrijven en organisaties, verre van.
Ziekenhuizen zijn altijd het beste voorbeeld van hoe je IT landschap er niet uit moet zien. Men zit ook helemaal compleet vast in de vendor-lockin van Microsoft. Best schandalig want dit is geld van jou en mij dat hier door de pot gespoeld wordt. Maar gelukkig kunnen ze niet failliet gaan anders was dat al lang gebeurd. HiX (het meest gebruikte EPD) is er ook zo'n voorbeeld van.

Er zijn prima redenen te bedenken om een Windows server te verkiezen boven Linux. Licenties zijn ook maar één punt in de gehele aanschaf- en ontwerpprocedure.
Noem er eens 1? Ik zou het namelijk niet weten? En licenties zijn de helft van de maandelijkse kosten, zie Azure price calc. Dat is niet maar 'één' punt.. Laten we maar niet over onderhoud hebben (Windows Update) want ik zie niet hoe dat ook maar in de buurt komt wat Linux kan qua onderhoud en uitrol....
Men gebruikt tegenwoordig de Linux tools om het Windows beheer in toom te houden...
De prijs van de server is weinig boeiend bij dure unieke software gemaakt voor 1 bedrijf. In mijn 25 jaar als software engineer is dat nog nooit het punt van discussie geweest, alleen bij mensen die persee linux willen.
Een goede CD/CI Pipeline dan? Of ieder open-source project willen gebruiken? Zijn dat geen goede redenen om voor Linux (of docker) te kiezen?

In mijn 25 jaar als software engineer is dat nog nooit het punt van discussie geweest, alleen bij mensen die persee linux willen.
Sorry, maar dat werk je voor een erg dom bedrijf (no offense). Je weet wat de hoofdmotivatie is van ieder bedrijf? Geld verdienen. Niet licenties kopen voor oom Microsoft? Misschien had in die 25 jaar wel iets van die licentiekosten jouw kant op kunnen gaan ;)
Goeie developers zijn veel duurder dan een licentie voor software in welke situatie dan ook. Licentie kosten voor os;en zijn nooit het probleem geweest in mijn tak van de sport nee.

Ik hoor al 25 jaar linux hier en daar, maar in het MKB zie je het nauwelijks en daar waar men linux gebruikt wil men ervanaf omdat de developer die het neergezet heeft er niet meer werkt en er niemand te vinden is die er iets mee kan.

Bedrijven die een paar duizend euro extra uitgeven aan licenties voor hele andere redenen dan je op het eerste gezicht zou denken zomaar dom noemen is eerder dom gezien die bedrijven wel miljoenen/miljarden naar binnen trekken en licentie kosten een schijntje zijn.
Licentie kosten voor os;en zijn nooit het probleem geweest in mijn tak van de sport nee.
Dat komt omdat die vrijwel onzichtbaar waren en er werd ook genoeg illegaal gedraaid. Dat lukt niet meer bij een cloud provider.

Ik hoor al 25 jaar linux hier en daar, maar in het MKB zie je het nauwelijks en daar waar men linux gebruikt wil men ervanaf omdat de developer die het neergezet heeft er niet meer werkt en er niemand te vinden is die er iets mee kan.
No offense, maar in het MKB is er ook vrijwel geen kennis en laat men zich van alles aansmeren. Die doen wat de verkoper zegt en de verkoper zegt Windows want daar verdient hij aan. Ik heb ook genoeg SBS servers weggezet bij MKB bedrijven, keihard cashen! Tot je een keer in de spiegel kijkt en afvraagt voor wie je het doet... Voor de klant of die IT directeur die in de quote staat... In een omgeving waar een businesscase geschreven moet worden is het gelukkig wel anders.

Bedrijven die een paar duizend euro extra uitgeven aan licenties voor hele andere redenen dan je op het eerste gezicht zou denken zomaar dom noemen is eerder dom gezien die bedrijven wel miljoenen/miljarden naar binnen trekken en licentie kosten een schijntje zijn.
Licentiekosten een schijntje? Volgens mij ben je onbekend met de materie... Weet je wel wat een Oracle /MS SQL 'opzetje' kost? Of een mooie VMware omgeving? De hardware is niet eens een factor op de offerte... En je licentieert ook nog eens per-core. Waarom denk je dat alle moderne software zo zwaar gebaseerd zijn op open source software? Ik noem maar even een Elasticsearch, EC2, Aurora, PostgreSQL, MySQL, MariaDB, iedere webserver op internet en letterlijk de telefoon in je broekzak...

Dat een MKB bedrijf zo dom is om dit niet te snappen is niet echt een argument te noemen..
Het ene na het andere bedrijf wordt tegenwoordig elke dag versleuteld. Wat hebben ze gemeenschappelijk denk je?
Ja, hier in NL zijn de IT mensen vaak niet erg snugger.
Goed argument ook. Wat een onzin.
Ziekenhuizen zijn altijd het beste voorbeeld van hoe je IT landschap er niet uit moet zien
Wederom, loze kreet ondanks dat het deels hout snijdt.
Noem er eens 1? Ik zou het namelijk niet weten?
En daar ligt misschien wel gewoon het probleem. Jij kan geen reden bedenken dus dan bestaat het niet. Het is goed, blijf vooral in je "geen enkele grote organisatie gebruikt Windows servers"- mindset. Het is echter niet de realiteit.
Haha, en dan reageer je met ook zulke goede argumenten... Iets met een pot en zwart.
Ik geef de hoofdreden waarom alle mensen iets doen: prijs, kosten TCO, blabla... Geld!

Hier is een uitdaging: zoek eens een cloudprovider die meer Windows draait dan Linux. Ik ben al begonnen met Azure (zie link). Nu jij!
Sjah, ik reageer op jou.

Waarom zou ik me beperken tot cloudproviders? Dat zijn niet de enige grote techorganisaties op deze aardkloot.

Maar goed, bij het verschuiven van context is het ook wel snel klaar. Succes verder.
Yep, goede argumentatie weer.
Dat zijn niet de enige grote techorganisaties op deze aardkloot.
Noem er 1 die op Windows draait. Oracle? Google? Netflix? :+
IBM ? Twitter? Facebook? :)
Ik denk dat IBM zijn eigen OS draait maar zo te zien kan Linux ook. IBM Z en IBM LinuxOne zijn de enige optie die je daar vindt, Windows staat niet eens vermeld.

Waar Twitter op draait is een groot raadsel op dit moment. Volgens de laatste geruchten op een oud (en ongepatched) Linux OS.
nieuws: Klokkenluider waarschuwt voor ernstige beveiligingsproblemen bij Twitter
Maar wie weet, misschien is het inderdaad wel Windows 208R2. Dan zou ik van mijn stoel vallen :D

Facebook draait op Linux (CentOS) maar dat is nooit gevalideerd. Wie weet draaien ze nu wel op hun eigen OS.
Nogmaals, waar heb je dit vandaan?
Toch is Windows Server bij bedrijven nog altijd een stuk groter dan Linux. Dat het WWW grotendeels op Linux draait tegenwoordig heeft er voor een deel mee te maken dat IIS praktisch niet geupdate is sinds Windows 2008 R2. Voor die tijd was dat ook ongeveer 50-50.

AD is overigens een fatsoenlijke reden, aan de Linux kant is het al heel snel houtje-touwtje werk om een soortgelijk systeem op te tuigen door verschillende meuk aan elkaar te knopen. Het standaard rechten systeem van Linux is vrij hopeloos vergeleken met AD om vele honderden of duizenden gebruikers te beheren.
Toch is Windows Server bij bedrijven nog altijd een stuk groter dan Linux.
Klopt helemaal maar dan kom je met de rekening omdat vrijwel ieder bedrijf naar de cloud verhuist. En dan gaat men zich wel even achter de oren krabben. Of men kiest voor een SaaS oplossing en die draait echt niet op Windows...

Voor die tijd was dat ook ongeveer 50-50.
En nu zeker niet meer. Op AWS en GCP is het al helemaal geen doen om Windows te draaien (kosten).

AD is overigens een fatsoenlijke reden, aan de Linux kant is het al heel snel houtje-touwtje werk om een soortgelijk systeem op te tuigen door verschillende meuk aan elkaar te knopen.
Sorry, ik ben al meer dan 20 jaar een AD man maar je weet dat het gewoon letterlijk LDAP is... En weet je waar LDAP vandaan komt?

Het standaard rechten systeem van Linux is vrij hopeloos vergeleken met AD om vele honderden of duizenden gebruikers te beheren.
Wat? Ik weet niet in welke context je dit bedoelt maar vrijwel alle grote opslag systemen draaien een *unix variant... Als je duizenden gebruikers beheerd dan gaat het om het het bestands en filesharing systeem en niet om het OS... Letterlijk iedere NAS draait zelfs SAMBA... Dus ik weet niet waarom je dit erbij haalt.
Valt wel mee hoor. ADDS is gewoon LDAP (en waar komt dat vandaan? ;)
Ik heb wel eens een paar Linux servers uitgerust met ADDS authenticatie...
Maar gelukkig hebben we tegenwoordig veel modernere systemen (SAML,OPENID,etc). ADDS is voor Microsoft zelf ook al lang dood...
Meer dan voldoende organisaties gezien waar voor een specifieke applicatie alleen maar een Windows-versie van was (verzekeraars, banken, industriële multinationals). Meestal .NET, maar soms ook Java.

Denk wel dat het een afkalvende zaak is, maar goed, meer dan genoeg gezien.
Yep, ik ook hoor. Heel wat legacy omgevingen maar die zijn allemaal oud en aan vervanging toe. En dan vervangt men deze met een moderne applicatie en ik zie amper mensen een CI/CD pipeline bouwen op Windows (uberhaupt maakt men liever gebruik van github/lab).
Java draai je natuurlijk ook niet op Windows, Oracle heeft hiervoor hun eigen distributie...
Klopt helemaal. Je kan erop aan dat 20% van de websites gehost worden door Windows Servers (en dit moet niet IIS zijn, maar kan evengoed Apache, Nginx oid zijn natuurlijk) (bron)

En dan kijken we niet naar alle applicaties die geschreven zijn voor Windows, Terminal servers, etc... In de Corporate wereld wordt Windows érg vaak gebruikt. Mensen schrijven hier vaak dat het duur is, maar ik begrijp niet wat er duur is aan +/- 1000€ aan de standaard server editie. Hier komt een hoop support bij die je bij Linux niet hebt.
En 19% van de webservers zijn parked domains van Godaddy die allemaal gehost worden op Windows.
https://apache.slashdot.o...for-first-time-since-2009
Klopt helemaal. Je kan erop aan dat 20% van de websites gehost worden door Windows Servers (en dit moet niet IIS zijn, maar kan evengoed Apache, Nginx oid zijn natuurlijk) (bron)
Heb je geen directe link? bv. # Actieve IIS versies is ook wel interessant.

Want dit is een goed voorbeeld dus over de miss-communicatie m.b.t. de cliënt-server-architecture. Zie mijn overige comments onder dit artikel. Maar dit is dus een webserver; geen AD Domain Controller en ook geen mail-server.
En dan kijken we niet naar alle applicaties die geschreven zijn voor Windows, Terminal servers, etc... In de Corporate wereld wordt Windows érg vaak gebruikt.
Waarom niet? .NET (alle versies) en Visual Studio (alle versies) lijkt me juist het begin.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 21:30]

Onzin. Als je een goed contract afsluit kunnen die partners ook alles.
Dus je hebt het vaak voor gehad dat de bug lag aan de sourcecode van het OS? Dat zegt dan namelijk meer over Redhat dan iets anders.
Kan ik overigens moeilijk geloven, Linux (Zowel Radhat/CentOS, als Debian/Ubuntu) is zo stabiel als het maar kan.
Windows overigens ook. Mensen die anders beweren hebben zich er gewoon nog nooit in verdiept...
Vista? Dat is geen server OS, dat zul je in server land dus niet gauw tegenkomen.
Tevens: desktop OS is heel andere koek als een Windows server 2008 of 2008R2 (zeg naar de server broertjes van Win7) ook al lijkt het wel op elkaar; onder de kap zit er een hele partij server gerelateerd spul bij.

Windows server is echt niet slecht hoor, het heeft alleen bepaalde toepassingen en die keuze moet je dan ook bewust maken, net als voor een linux of iets anders…linux is ook niet heilig en als je toepassing er niet op draait heb je er weinig aan immers. Ik ken de toepassing van Twitter niet maar ik gok dat het op een nix-achtige draait.

Even de linux/Windows discussie (die hieronder vast wel weer ontstaat) terzijde:
Waarschijnlijk draait het op een oude Centos, Rhel/Redhat of een debian, een SLES/Suse verwacht ik niet (dat verwacht je eerder in Duitsland) maar eender welke distributie het is : dat ga je ook niet ‘even updaten’ als er iets ‘mission critical’ op draait want linux breekt ook wel eens en al helemaal als er niet standaard spul op draait… beter een nieuwe doos parallel zetten en die oude eruit proberen te wippen via de load balancer dan prullen met OS upgrades iig. Dat er dan soms wat oude troep blijft draaien, tja, dat heb je wel eens :)
Vista? Dat is geen server OS, dat zul je in server land dus niet gauw tegenkomen.
Tevens: desktop OS is heel andere koek als een Windows server 2008 of 2008R2 (zeg naar de server broertjes van Win7) ook al lijkt het wel op elkaar; onder de kap zit er een hele partij server gerelateerd spul bij.

Windows server is echt niet slecht hoor, het heeft alleen bepaalde toepassingen en die keuze moet je dan ook bewust maken, net als voor een linux of iets anders…linux is ook niet heilig en als je toepassing er niet op draait heb je er weinig aan immers. Ik ken de toepassing van Twitter niet maar ik gok dat het op een nix-achtige draait.

Even de linux/Windows discussie (die hieronder vast wel weer ontstaat) terzijde:
Waarschijnlijk draait het op een oude Centos, Rhel/Redhat of een debian, een SLES/Suse verwacht ik niet (dat verwacht je eerder in Duitsland) maar eender welke distributie het is : dat ga je ook niet ‘even updaten’ als er iets ‘mission critical’ op draait want linux breekt ook wel eens en al helemaal als er niet standaard spul op draait… beter een nieuwe doos parallel zetten en die oude eruit proberen te wippen via de load balancer dan prullen met OS upgrades iig. Dat er dan soms wat oude troep blijft draaien, tja, dat heb je wel eens :)
Doen die Duitsers niet slecht dan, met SLES/Suse en Tux. Ook met WolfSSL zitten ze ook aardig goed. En wat is er niet mission critical, als je software een serverpark van 500.000 units moet beheren?

Nederland heeft maar weinig software tot publiek nut bijgedragen. Ik bedoel, Amerika nog de GPL, BSD, MIT licenties, wat GNU/Linux, Samba, Apache & FireFox heeft mogelijk heeft gemaakt, en alles draait toch ook in Amerikaanse Foundations met Delaware wetten. Zeker als het over bitcoin en automation gaat.

Ik weet niet hoeveel personeel en mangement het betreft, maar het zou me niks verbazen als die gewoon Microsoft AD draaien, evt. met mail met spam&AV filters of zo. Eén of ander package-dealtje.
Maar de Win32 API is niet hetzelfde als een REST HTTP RPC. Het is wachten op Microsof SOAP Opera O-)

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 21:30]

Debian is 1 van de veiligste Linux distro's. Security staat daar (bij stable) hoog in het vaandel.

https://www.debian.org/security/

Toch ook de nodige (kritieke) lekken komen daar voorbij.

Het is maar net welke bril je op zet. Alle software is lek, Windows is voornamelijk gewoon een beter doelwit.
Vanwege de massa (=desktops...) en die is relatief "makkelijk" bereikbaar: Het is allemaal online, er zit relatief weinig kennis tussen monitor en stoel (...klikt u maar, ja dank u!) dus met een grof schot hagel heb je al gauw een partij te pakken... sinds UAC, Windows firewall en Defender is windows desktop al stukken minder vatbaar maar mensen zetten het uit want het is "lastig" of "random crappy tool X is beter want <xyz>"... gebruikers op windows zijn over het algemeen van een ander niveau als linux gebruikers en dat moet je zeker niet vergeten.

Serverparken zijn niet heilig maar daar zitten over het algemeen wel wat lagen tussen waar men hopelijk iets meer nadenkt over dit soort ongein en het gewoon dichtzet... echter: onderhoud moet je wel doen en blijkbaar is men hier en daar wat vergeten bij Twitter...kwalijke zaak natuurlijk maar "als het draait = afblijven" of "ouwe zooi, het werkt, teveel gedoe = laat maar draaien tot het ontploft" is een bekende manier van werken bij veel bedrijven.

"niet elke maand" is geen garantie dus je voorbereiding moet je toch op orde hebben; adhoc packages doe je ook niet zonder goede reden, test en planning - is dus meteen een goede manier om je procedures geforceerd op orde te houden; een reboot is geneuzel in de marge (tegenwoordig is dat minutenwerk op HW ivm HW-inits en seconden met een VM, gewoon planbaar, makkelijk op te vangen door redundante servers) en zit de uitdaging er meer in dat je het management zover moet krijgen dat ze potentieel wat werk moeten inboeken in het budget ivm security...
Redundante servers inrichten om een reboot op te vangen is wat overdreven. Waar het probleem bij twitter zit weten we nog niet. Ik verwacht wel dat zij devops gericht werken.
Niet alleen voor reboots natuurlijk, maar dat wil niet zeggen dat ze daar niet nuttig voor zijn :)
Kritieke lekken zijn er op elk systeem; patch dinsdag kan je plannen (en een server ligt altijd wat achter want je wilt die bende eerst testen voor je het doorrolt naar productie dus gewoon plannen en doen: apen klus maar hoort erbij). Met een paar simpele maatregelen zijn je servers al niet te bereiken van buiten - lijkt mij trouwens redelijk standaard manier van werken dat je daar een paar lagen beveiliging en load balancing voorzet…en geen internet toegang naar buiten natuurlijk.

Maar effectief: je applicatie bepaald de keus voor het OS; als je vendor hun product levert op Windows, of je hebt een afhankelijkheid , etc… dan neem je het OS waar de vendor support op levert.
Niks mis met MSSQL hoor, kost alleen wat centjes - nou en? Hij kan ook op Linux trouwens, maar als de applicatie vendor dat niet support (ja, die bestaan nog) ben je nog nergens. In de zakelijke wereld draait het om support, het OS boeit niet als je applicatie er niet op draait, patches e.d. Is IT geneuzel, plan it & make it happen..

Andere applicatie vendor nemen dan maar? Tuurlijk, dat kan maar als er een hele hoop klanten hardware aan vast hangt moet je wel die API beschikbaar hebben…of er is misschien geen andere vendor? Zelf maken? Vendor vragen linux versie te maken? Dat kan, krijg je een quote van een miljoen en ben je 3 jaar verder, tot die tijd geen business doen want Windows is niet cool? Lijkt mij niet…

OS is een stuk gereedschap, kies hetgeen de klus klaart en dan kan je op naar de volgende klus…
Interessante informatie:
https://blog.twitter.com/...ture-behind-twitter-scale

Ruim 40% van de servers draait Hadoop. Hadoop komt ook uit 2006. En hoewel het nu encryption heeft, is het mogelijk dat dit niet het geval is in het verleden. Wellicht heeft Twitter Apache Hadoop geforked en nooit de encryption toegevoegd? I'm just guessing here, aangezien ik niet voldoende kennis heb over de software.
Interessante informatie:
https://blog.twitter.com/...ture-behind-twitter-scale

Ruim 40% van de servers draait Hadoop. Hadoop komt ook uit 2006. En hoewel het nu encryption heeft, is het mogelijk dat dit niet het geval is in het verleden. Wellicht heeft Twitter Apache Hadoop geforked en nooit de encryption toegevoegd? I'm just guessing here, aangezien ik niet voldoende kennis heb over de software.
Hadoop is idd een zwakke vector van 200.000 servers. Die link betreft een situatieschets van 19 January 2017. MEsos wordt ook benoemd.

The storage & messaging teams provide the following services:
Hadoop clusters running both compute and HDFS

Hadoop: We have multiple clusters storing over 500 PB divided in four groups (real time, processing, data warehouse and cold storage). Our biggest cluster is over 10k nodes. We run 150k applications and launch 130M containers per day.

Hadoop/HDFS is also the backend to our Scribe-based log pipeline, but in the final testing phases of the transition to Apache Flume as a replacement in order to address limitations like a lack of rate limiting/throttling of selective clients to aggregators, lack of delivery guarantee for categories, and to solve memory corruption issues. We handle over a trillion messages per day and all of these are processed into over 500 categories, consolidated and then and selectively copied across all our clusters.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 21:30]

Jij bent er dus 1 van, goed gedaan met jezelf te kakken te zetten.

Duidelijk een Musk hatertje ben jij dus. Want elke waarheid is er geen volgens jou, jij gelooft enkel wat de marketing je verteld en al de rest zijn vast leugens, een groter kieke dan jij valt moeilijk te vinden, stukje mislukte influencer.
Wat? Nee totaal niet. Ik heb respect voor Elon Musk voor alles wat hij doet. SpaceX, Starlink, Tesla, hij heeft er (met zijn team) voor gezorgd dat we sneller over gaan op elektrische auto's (want concurrentie) en herbruikbare raketten waren een ongelovelijk idee.

Omdat iemand het niet met je eens is betekend niet meteen dat diegene ook een Elon hater is oid 8)7
Eigenlijk zegt deze man dat hij zijn werk niet goed heeft gedaan of heeft kunnen doen?

Wanneer je hoofd beveiliging bent en je weet dat het anders moet maar dat niet doet dan verzaak je. In dit geval is de beste man ontslagen dus het zou ook prima kunnen dat hij het wel heeft aangekaart maar dat er vanuit andere teams is gezegd dat dit niet mag veranderen. In dat geval is de beveiliging iemand anders te wijten.

Als ik Elon was zou ik er nog een nachtje over slapen en dan alsnog de boel stopzetten.
Peiter Zatko is op 16 november 2020 en ontslagen in januari 2022, dus misschien 14 maanden op die positie gezeten. Twitter is niet bepaald klein en heeft duizenden medewerkers, voordat je de situatie goed inzichtelijk hebt (en niet de informatie van je voorganger klakkeloos overneemt) ben je wel een half jaar verder. Dan je plannen maken om die situatie aan te pakken, die voor te stellen, budget voor te krijgen, etc. Als je daar geen budget voor krijgt of men wil niets weten van je plannen, ga je het op een andere manier proberen, werkt niet. Je krijgt een bepaalde reputatie en je krijgt de zak...

Geen idee of het zo is gegaan, maar dat zou zo maar kunnen. Grote multinationals staan niet bepaald bekend om hun wendbaarheid. Hoe groter de organisatie, hoe meer voeten in de aarde het heeft om daar significante wijzigingen door te voeren...
Gezien nieuws: 5 vragen over de beveiligingszorgen van de klokkenluider bij Twitter, komt bij mij de vraag op of het niet ´by design' is. Bijvoorbeeld het volgende stuk er uit:

"Een ander incident is dat Agrawal, nu ceo en toen cto, Zatko opriep om aan Russische eisen te voldoen om verregaande censuur en surveillance op het platform toe te passen. Dat plan heeft Twitter nooit doorgezet."

Of:

"Managers binnen het bedrijf zouden belangrijke cijfers rondom datalekken en beveiligingsincidenten achterhouden. Ze zouden hun bazen alleen onbelangrijke informatie met positieve informatie tonen."

Waarom Agrawal (hij werd CTO in 2017 van Twitter) op de positie van CEO terecht kan komen van Twitter met zo'n houding is mij een raadsel. Een CTO zou zich er juist tegen moeten verzetten, maar Agrawal was juist degene die blijkbaar opriep tot het toestaan van de actieve operationele inbreuk.

En blijkbaar is het voor managers zeer winstgevend om ernstige problemen geheim te houden ipv deze door te geven en verbeteringen te zoeken.

Het lijkt erop dat de cultuur binnen Twitter gewoon compleet verrot is.
Peiter Zatko is op 16 november 2020 en ontslagen in januari 2022, dus misschien 14 maanden op die positie gezeten. Twitter is niet bepaald klein en heeft duizenden medewerkers en 500,000 servers, voordat je de situatie goed inzichtelijk hebt (en niet de informatie van je voorganger klakkeloos overneemt) ben je wel een half jaar verder.
Klopt, maar de problemen bij Twitter waren er al ten tijden van Trump toen iedereen gehacked werd, incl. Twitter CEO Jack Dorsey, die dus deze Peiter Zatko heeft aangesteld. Heeft Peiter Zatko een goede Github profile? Goeie commits aan security frameworks gemaakt?
Dan je plannen maken om die situatie aan te pakken, die voor te stellen, budget voor te krijgen, etc. Als je daar geen budget voor krijgt of men wil niets weten van je plannen, ga je het op een andere manier proberen, werkt niet. Je krijgt een bepaalde reputatie en je krijgt de zak...
Zatko's reputatie en ambitie bracht hem dus bij de missie van Twitter. Hetzelfde geldt voor Agrawal (Twitter CTO in 2017), de CEO nadat Dorsey ging toezicht houden.
Geen idee of het zo is gegaan, maar dat zou zo maar kunnen. Grote multinationals staan niet bepaald bekend om hun wendbaarheid. Hoe groter de organisatie, hoe meer voeten in de aarde het heeft om daar significante wijzigingen door te voeren...
hmm, volgens mij moet Twitter wel op een usb stick passen. Ze generen vooral veel data, en de meeste en belangrijkste business logic moet vrij simpel te cachen zijn op wat cdn's.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 21:30]

Voglens mij heeft Musk er allang over geslapen, dit kan best wel een van de redenen zijn die hem zijn toegefluisterd. Mogelijk kan hem dit ook nog helpen.

Zie ook: https://www.theguardian.c...44bn-twitter-sale-verdict
Voglens mij heeft Musk er allang over geslapen, dit kan best wel een van de redenen zijn die hem zijn toegefluisterd. Mogelijk kan hem dit ook nog helpen.

Zie ook: https://www.theguardian.c...44bn-twitter-sale-verdict
nah, Musk heeft net $6.9bn gecached en de aandelen koersstijging heeft de beurswaarde van Tesla zelfs goed gedaan en Musk nog wat extra "virtuele" Tesla-miljarden meer waard is (mits de SEC een beetje meewerkt). Wat de status van die deal met Twitter is weet ik niet exact, maar Musk maakt zich echt geen zorgen
Musk is not happy with Twitter’s verification processes
After agreeing to buy the business with minimal due diligence, the suit says Musk was “astonished” to learn about how “meagre” Twitter’s processes for identifying spam accounts were. It said 100 accounts a day were sampled by human reviewers in order to come up with the less-than-5% figure. Twitter’s CEO and chief financial officer were unable to explain how these accounts were selected to be a representative sample.

“Musk realised that, at best, Twitter’s reliance on and touting of its process was reckless; at worst, it was intentionally misleading,” says the suit.

Information was not forthcoming
Musk is also claiming that Twitter failed to provide him with all the data and information that he requested “for any reasonable business purpose related to the consummation of the transaction”. The suit says Musk was sent reams of “stale data” that didn’t answer his questions.
Volgens mij kreeg hij een url en een login of zoiets. Met een toegang tot een paar Terrabyte data.
It says, pointedly, that Twitter was happy to send data such as “a copy of its agreement with the Golden State Warriors for courtside basketball tickets and VIP parking”.

After more back-and-forth arguments over increasingly detailed information requests, the suit claims “the only conclusion the Musk parties could draw from Twitter’s obfuscation and delay was that Twitter knew that it had something to hide”.
Het is eerder de SEC die problemen heeft, en Musk voert terecht (of dien ten gevolge) de druk op.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 21:30]

Het is 1 van de bekendere cyber security specialisten die door Jack Dorsey persoonlijk was gevraagd voor deze plek. Deze man kan overal werken. Ik denk dat Twitter geen interesse had om dit te willen oplossen.
"Als ik Elon was zou ik er nog een nachtje over slapen en dan alsnog de boel stopzetten."
Als jij Elon was zou je weten dat jij jezelf hebt genaaid door een contract te tekenen waar je niet zomaar onderuit kan.
Wanneer je hoofd beveiliging bent en je weet dat het anders moet maar dat niet doet dan verzaak je. In dit geval is de beste man ontslagen dus het zou ook prima kunnen dat hij het wel heeft aangekaart maar dat er vanuit andere teams is gezegd dat dit niet mag veranderen. In dat geval is de beveiliging iemand anders te wijten.
Het lijkt me eerder, gezien het tempo waarin hij na zijn ontslag de SEC lijkt te hebben benaderd, dat men binnen Twitter er niet aan wou en dat hij is tegengewerkt.
Wat mij opviel is dat ze heel lang de oude api's open hielden waarmee je via input velden $gebruikersnaam en $wachtwoord een tweet kon sturen. Zonder dat dit via een officieel Twitter inlog pagina ging.
Wat mij opviel is dat ze heel lang de oude api's open hielden waarmee je via input velden $gebruikersnaam en $wachtwoord een tweet kon sturen. Zonder dat dit via een officieel Twitter inlog pagina ging.
Plain-text unencypted login API verkeer?
Elon Musk zal hierover niet ontevreden zijn. Ik kan me zelfs voorstellen dat hij hierover eerder al iets gehoord heeft en dat dat mede reden was van de koop af te zien. Maar dat is speculatie.

Zatko claimt dat Twitter nooit echt geweten heeft hoeveel bots er zijn, en dat ze het eigenlijk niet wilden weten. Auw.
En het verzwijgen van de beveiligingsproblemen (indien waar natuurlijk) betekent dat de SEC filings niet accuraat zijn, wat ook een reden kan zijn het koopcontract te ontbinden.

Dat staat en valt allemaal met hoe geloofwaardig de rechter deze Zatko straks gaat vinden (Volgens Twitter was hij ontslagen omdat hij ondermaats presteerde, maar als ik het artikel zo lees was er meer aan de hand).

Anyway, Twitter gaat dit niet leuk vinden. Dit geeft het team van Musk weer allerlei mogelijkheden om in de discovery fase van de rechtszaak voor Twitter belastende informatie op te graven.

[Reactie gewijzigd door locke960 op 22 juli 2024 21:30]

Het is mij niet helemaal duidelijk wat het probleem is. Bedoelen ze nu een verouderd OS of verouderde applicaties. Ik denk applicaties want twitter gebruikt op grote schaal centos stream (en coreos) en dat is niet oud. Het is zelfs een minor upstream ontwikkelversie van de nieuwste redhat. Dat verbaast mij dan weer waarom twitter een ontwikkelversie gebruikt.
Kan zijn dat dit inherit is van The Great Betrayal, immers is de stekker spontaan uit 8 gerukt... IBM beweerde ook dat het écht niet als beta gezien moest worden.
waarschuwing: onderstaande links zijn naar Engelstalige sites/pagina's - helaas is niet altijd een Nederlandstalig equivalent beschikbaar.

Oudere lezers herinneren zich Zatko waarschijnlijk nog als een van de leden van het destijds befaamde (beruchte?) hackers collective Cult of the Dead Cow: https://en.wikipedia.org/wiki/Cult_of_the_Dead_Cow, en hij was ook nauw geassocieerd met een ander hacker collective, L0pht Heavy Industries: https://en.wikipedia.org/wiki/L0pht, een naam die velen associëren met een destijds beruchte Windows password cracker, L0phtCrack: https://en.wikipedia.org/wiki/L0phtCrack
3+ van mij voor je leuke reactie. Vind ik tenminste.
Ik snap niet dat anderen niet zien dat het nergens over gaat. Het is Twitter maar.
Nauwelijks waard om moeilijk over te gaan doen.
3+ van mij voor je leuke reactie. Vind ik tenminste.
Ik snap niet dat anderen niet zien dat het nergens over gaat. Het is Twitter maar.
Nauwelijks waard om moeilijk over te gaan doen.
Thnx, het betreft toch een aardige marketcap zeker als je Facebook er ook bijtelt.

Het topic is voor Nederland ook niet 1:1 te kopiëren; wij hebben de npo, met een heel andere rol en history dan Twitter heeft; dat bestaat niet eens een decennium en past, op de user data na, op een usb stick.

De NPO hoeven ze zichzelf dan niet aan de SEC uit te leggen, wel aan alle Nederlanders. De keuze voor Silverlight valt overigens wel te verklaren, gezien de innige relatie met Microsoft.

Op dit item kan niet meer gereageerd worden.