Schneier: geef Rusland geen Windows broncode
Onlangs sloot Microsoft een overeenkomst waardoor de Russische geheime dienst toegang tot de broncode van Windows 7 krijgt, maar dat is volgens beveiligingsgoeroe Bruce Schneier een slecht idee. Naast de broncode van Windows 7, mag de Federale Veiligheidsdienst ook de broncode van Server 2008 R2 bekijken. Hiermee hoopt Microsoft de verkoop van Windows aan de Russische overheid te verbeteren.
Waarom Schneier tegenstander is laat hij niet weten. Volgens beveiligingsexpert Richard Clayton is het onduidelijk wat inzage in de broncode betekent. Overheden kunnen het gebruiken om beveiligingslekken te vinden waarmee ze andere landen vervolgens aanvallen. Toch is het ook mogelijk om deze kwetsbaarheden zonder toegang tot de broncode te vinden.
Patchen
"Als een overheid de broncode heeft kan het allerlei soorten beveiligingslekken vinden en misschien misbruiken, maar het is onduidelijk of mensen door toegang tot de broncode beter of slechter af zijn", laat Clayton weten. Landen die lekken vinden zouden voor een aanval hun eigen netwerken patchen, wat weer zichtbaar voor andere landen is.
Vanwege de hoeveelheid regels programmeercode zitten er in Microsoft producten tienduizenden bugs, merkt Clayton op. Dat maakt het onmogelijk voor een overheid om ze allemaal te patchen, terwijl een aanvaller slechts één lek hoeft te vinden om binnen te komen. Naast Rusland heeft onder andere China ook toegang tot de broncode van Windows.
Microsoft laat weten dat inzage in de broncode een dieper inzicht in Microsoft producten biedt. "Maar het kan eenvoudig in een goudmijn voor het ontdekken van beveiligingslekken veranderen of tenminste een belangrijke deel van de puzzel opleveren", zegt beveiligingsonderzoeker Dancho Danchev.
Reacties (29)
En daar is hij weer: de pipo van de beveiligingswereld.
De man die overal een mening over moet hebben.
Geef hem een rode pruik en een fopneus, dan kan je hem op waarde inschatten.
De man die overal een mening over moet hebben.
Geef hem een rode pruik en een fopneus, dan kan je hem op waarde inschatten.
16-07-2010, 13:26 door
Skizmo
Geeff niemand die code, zelfs Microsoft zelf niet !!!
Door Anoniem: En wanneer krijgen wij die broncode?
Die hebben we al.
16-07-2010, 13:29 door
sjonniev
"Inzage" is iets anders dan "gooi de broncode maar over de muur".
16-07-2010, 13:30 door
Preddie
gelijke koppen, gelijke kansen als je rusland toegang geeft moeten alle andere partijen ook toegang krijgen. Maargoed laten we gewoon open-source gaan gebruiken dan heeft iedereen altijd toegang tot de broncode, heeft iedereen gelijke kansen om lekken te vinden, andere aan te vallen of om zich te beveiligen .....
16-07-2010, 14:15 door
Silver
Door Anoniem: En daar is hij weer: de pipo van de beveiligingswereld.
De man die overal een mening over moet hebben.
Geef hem een rode pruik en een fopneus, dan kan je hem op waarde inschatten.
De man die overal een mening over moet hebben.
Geef hem een rode pruik en een fopneus, dan kan je hem op waarde inschatten.
Jij lult uit je nek. Bruce Schneier is een vakman die normaliter juist zaken op waarde weet te schatten en doorgaans nuchter reageert. Ook in deze zaak heeft hij eenvoudigweg gelijk. Microsoft heeft in het verleden ook China al inzage gegeven in de broncode van Windows, dit overigens wel onder grote druk (en een onbehoorlijke zak geld). Dit terwijl ze de Amerikaanse overheid al jaren diezelfde toegang weigeren te geven.
Of je hiermee overigens het verband moet leggen tussen deze inzage en (waarschijnlijk overheids-) operaties zoals Titan Rain en Aurora laat ik aan eenieder zelf over. Dat nu Rusland hetzelfde voor elkaar heeft zal inderdaad waarschijnlijk niet veel goeds voorspellen. Wanneer hebben we voor het laatst research uit Rusland gezien dat voor iedereen de veiligheid verhoogde? Don't worry, I'll wait.
Schneier zal waarschijnlijk zn mond houden over waarom hij dit zegt, omdat niemand hardop durft te zeggen dat de Russische overheid HELE dikke banden heeft met de Russische georganiseerde misdaad (die onevenredig groot vertegenwoordigd is in de cybercrime wereld). Gevolg van het geven van deze inzage betekent dus zeer waarschijnlijk dat we meer 0day exploits kunnen verwachten uit de Russische hoek. Lekker dan :P
"En daar is hij weer: de pipo van de beveiligingswereld. De man die overal een mening over moet hebben. Geef hem een rode pruik en een fopneus, dan kan je hem op waarde inschatten."
Hij heeft anders best goede argumenten. Bij jou kan ik die vooralsnog niet ontdekken; heb je een inhoudelijke mening over dit onderwerp ?
Hij heeft anders best goede argumenten. Bij jou kan ik die vooralsnog niet ontdekken; heb je een inhoudelijke mening over dit onderwerp ?
"Dit terwijl ze de Amerikaanse overheid al jaren diezelfde toegang weigeren te geven.""
De Amerikaanse regering heeft wel degelijk toegang; op basis hiervan levert de National Security Agency bijvoorbeeld advies aan Microsoft tijdens de ontwikkeling van nieuwe Windows versies.
De Amerikaanse regering heeft wel degelijk toegang; op basis hiervan levert de National Security Agency bijvoorbeeld advies aan Microsoft tijdens de ontwikkeling van nieuwe Windows versies.
@ Sjonnie :
""Inzage" is iets anders dan "gooi de broncode maar over de muur"."
Ik ben benieuwd hoe jij dit opvat. In de Engelse artikelen gaat het over "supplying the source code". Verder heb je bij zaken als de broncode van windows helemaal niets eraan om langs te mogen komen en de code even te mogen bekijken; op basis hiervan kan men geen eigen cryptografie e.d. ontwikkelingen voor de Russische windows versies, aangezien de code bestaat uit vele miljoenen regels.
In het geval van China heeft men ook de source code volledig in handen gekregen zodat men deze kon onderzoeken, en zodat men op basis van deze code aanpassingen kon maken om de code te laten voldoen aan de eisen van de Chinese regering.
Wat betreft Schneier's argumenten - vanuit beveiligingsoptiek heeft hij volledig gelijk. Echter staan beveiliging en commerciele belangen op gespannen voet met elkaar, waardoor Microsoft nu de source code levert aan Rusland, en waardoor een bedrijf als Google nu terugkrabbelt in China, en alsnog overstag gaat om het land niet te hoeven verlaten.
Bedrijven zijn uiteindelijk niet uit op maximale veiligheid, maar op maximale winst.
""Inzage" is iets anders dan "gooi de broncode maar over de muur"."
Ik ben benieuwd hoe jij dit opvat. In de Engelse artikelen gaat het over "supplying the source code". Verder heb je bij zaken als de broncode van windows helemaal niets eraan om langs te mogen komen en de code even te mogen bekijken; op basis hiervan kan men geen eigen cryptografie e.d. ontwikkelingen voor de Russische windows versies, aangezien de code bestaat uit vele miljoenen regels.
In het geval van China heeft men ook de source code volledig in handen gekregen zodat men deze kon onderzoeken, en zodat men op basis van deze code aanpassingen kon maken om de code te laten voldoen aan de eisen van de Chinese regering.
Wat betreft Schneier's argumenten - vanuit beveiligingsoptiek heeft hij volledig gelijk. Echter staan beveiliging en commerciele belangen op gespannen voet met elkaar, waardoor Microsoft nu de source code levert aan Rusland, en waardoor een bedrijf als Google nu terugkrabbelt in China, en alsnog overstag gaat om het land niet te hoeven verlaten.
Bedrijven zijn uiteindelijk niet uit op maximale veiligheid, maar op maximale winst.
Door Silver:
Jij lult uit je nek. Bruce Schneier is een vakman die normaliter juist zaken op waarde weet te schatten en doorgaans nuchter reageert. Ook in deze zaak heeft hij eenvoudigweg gelijk. Microsoft heeft in het verleden ook China al inzage gegeven in de broncode van Windows, dit overigens wel onder grote druk (en een onbehoorlijke zak geld). Dit terwijl ze de Amerikaanse overheid al jaren diezelfde toegang weigeren te geven.
Of je hiermee overigens het verband moet leggen tussen deze inzage en (waarschijnlijk overheids-) operaties zoals Titan Rain en Aurora laat ik aan eenieder zelf over. Dat nu Rusland hetzelfde voor elkaar heeft zal inderdaad waarschijnlijk niet veel goeds voorspellen. Wanneer hebben we voor het laatst research uit Rusland gezien dat voor iedereen de veiligheid verhoogde? Don't worry, I'll wait.
Schneier zal waarschijnlijk zn mond houden over waarom hij dit zegt, omdat niemand hardop durft te zeggen dat de Russische overheid HELE dikke banden heeft met de Russische georganiseerde misdaad (die onevenredig groot vertegenwoordigd is in de cybercrime wereld). Gevolg van het geven van deze inzage betekent dus zeer waarschijnlijk dat we meer 0day exploits kunnen verwachten uit de Russische hoek. Lekker dan :P
Heet je soms Klukkluk?Door Anoniem: En daar is hij weer: de pipo van de beveiligingswereld.
De man die overal een mening over moet hebben.
Geef hem een rode pruik en een fopneus, dan kan je hem op waarde inschatten.
De man die overal een mening over moet hebben.
Geef hem een rode pruik en een fopneus, dan kan je hem op waarde inschatten.
Jij lult uit je nek. Bruce Schneier is een vakman die normaliter juist zaken op waarde weet te schatten en doorgaans nuchter reageert. Ook in deze zaak heeft hij eenvoudigweg gelijk. Microsoft heeft in het verleden ook China al inzage gegeven in de broncode van Windows, dit overigens wel onder grote druk (en een onbehoorlijke zak geld). Dit terwijl ze de Amerikaanse overheid al jaren diezelfde toegang weigeren te geven.
Of je hiermee overigens het verband moet leggen tussen deze inzage en (waarschijnlijk overheids-) operaties zoals Titan Rain en Aurora laat ik aan eenieder zelf over. Dat nu Rusland hetzelfde voor elkaar heeft zal inderdaad waarschijnlijk niet veel goeds voorspellen. Wanneer hebben we voor het laatst research uit Rusland gezien dat voor iedereen de veiligheid verhoogde? Don't worry, I'll wait.
Schneier zal waarschijnlijk zn mond houden over waarom hij dit zegt, omdat niemand hardop durft te zeggen dat de Russische overheid HELE dikke banden heeft met de Russische georganiseerde misdaad (die onevenredig groot vertegenwoordigd is in de cybercrime wereld). Gevolg van het geven van deze inzage betekent dus zeer waarschijnlijk dat we meer 0day exploits kunnen verwachten uit de Russische hoek. Lekker dan :P
Door Silver:
Jij lult uit je nek. Bruce Schneier is een vakman die normaliter juist zaken op waarde weet te schatten en doorgaans nuchter reageert. Ook in deze zaak heeft hij eenvoudigweg gelijk.
...
Door Anoniem: En daar is hij weer: de pipo van de beveiligingswereld.
De man die overal een mening over moet hebben.
Geef hem een rode pruik en een fopneus, dan kan je hem op waarde inschatten.
De man die overal een mening over moet hebben.
Geef hem een rode pruik en een fopneus, dan kan je hem op waarde inschatten.
Jij lult uit je nek. Bruce Schneier is een vakman die normaliter juist zaken op waarde weet te schatten en doorgaans nuchter reageert. Ook in deze zaak heeft hij eenvoudigweg gelijk.
...
Ik moet toch ook de Anonieme poster gelijk geven, soms heeft Bruce Schneier een paar goeide opmerkingen, maar ze zijn eerder mager de laatste tijd. En daarbij een openbaring van de source code leid niet direct tot een verhoging van 0days. Een paar jaar geleden was het beste voorbeeld toen een deel van de windows source code was gelekt (2000 & NT4 als ik me niet vergis). Dit heeft 1 nieuwe 0 day opgebracht, 1tje. Nu niet exact wereldschokkends.
Wat ik wel vind, en dat heb ik al veel gezegd, Windows zou open source moeten worden voor het verbeteren van zijn OS.
Maar ja, zolang dat niet gebeurt blijf ik een trouwe linux aanhanger.
Groetjes
"gelijke koppen, gelijke kansen als je rusland toegang geeft moeten alle andere partijen ook toegang krijgen."
Wat is dat voor een onzin. Het is een commerciele beslissing van een bedrijf of zij partijen al dan niet toegang geeft. Gelijke kansen heeft daar dus helemaal niets mee van doen.
Wat is dat voor een onzin. Het is een commerciele beslissing van een bedrijf of zij partijen al dan niet toegang geeft. Gelijke kansen heeft daar dus helemaal niets mee van doen.
Door Rotsmoel:
Die hebben we al.
Door Anoniem: En wanneer krijgen wij die broncode?
Die hebben we al.
Krijgen is een groot woord :P. We hebben inzage op gecontroleerde wijze....
de Russische georganiseerde misdaad (die onevenredig groot vertegenwoordigd is in de cybercrime wereld)
Klopt. Ze zijn zelfs zo professioneel dat ze business modellen (gelijk aan die in de normale maatschappij) gebruiken om deze misdaad te bedrijven. Hier gaat gigantisch veel geld in om......
16-07-2010, 16:01 door
[Account Verwijderd]
[Verwijderd]
Door unbalanced:
En wat staat er op jouw palmares?
Edit: Ik moet ze ook niet voeren, die trollen.
In mijn palmares staat dat ik niet zomaar achter de eerste de beste oelewapper aanloop die vanalles begint te zeggen.Door Anoniem: En daar is hij weer: de pipo van de beveiligingswereld.
De man die overal een mening over moet hebben.
Geef hem een rode pruik en een fopneus, dan kan je hem op waarde inschatten.
De man die overal een mening over moet hebben.
Geef hem een rode pruik en een fopneus, dan kan je hem op waarde inschatten.
En wat staat er op jouw palmares?
Edit: Ik moet ze ook niet voeren, die trollen.
Het valt me altijd op dat als je iets vervelends over zo iemand zegt dat er altijd kuddes mensen zijn die hem beginnen te verdedigen. Waarom zou je dat doen, who cares wat ik van die pipo vind.
Die man probeert gewoon geld te verdienen door in de media zo nu en dan iets te roepen.
Je moet daar niet intrappen.
16-07-2010, 17:32 door
[Account Verwijderd]
[Verwijderd]
16-07-2010, 17:43 door
[Account Verwijderd]
[Verwijderd]
Windows word wereldwijd gebruikt, de overheid krijgt nu inzage in de broncode (en eventuele achterdeurtjes).
De normale gebruikers mogen geen inzage in de code hebben omdat dit een risico vormt, maar als er fouten inzitten zijn 'wij' de dupe.
De privacy van de gebruikers wordt hiermee gewoon te grabbelen gegooid!
Je maakt mij niet wijs dat de overheid echt niets achterhoud, als ze het in hun voordeel kunnen gebruiken doen ze dat echt wel (vooral China). Linux is vanaf dag één al open-source, daar zitten ook lekken in, maar die kunnen ook door de gebruikers zelf worden opgelost.
Bij Windows ben je afhankelijk van de (on)kunde van Microsoft, als zij de enige zijn die die de broncode kunnen inzien is het nog redelijk te doen. Op het moment dat je andere partijen (en niet alle partijen) inzage gaat geven in de broncode ben je gevaarlijk bezig.
Maak Windows gewoon open-source of hou alles geheim, Punt.
En wie zegt niet dat MS wel de 'echte' source vrijgeeft, het is allemaal closed-source dus controleren kun je het niet.
De normale gebruikers mogen geen inzage in de code hebben omdat dit een risico vormt, maar als er fouten inzitten zijn 'wij' de dupe.
De privacy van de gebruikers wordt hiermee gewoon te grabbelen gegooid!
Je maakt mij niet wijs dat de overheid echt niets achterhoud, als ze het in hun voordeel kunnen gebruiken doen ze dat echt wel (vooral China). Linux is vanaf dag één al open-source, daar zitten ook lekken in, maar die kunnen ook door de gebruikers zelf worden opgelost.
Bij Windows ben je afhankelijk van de (on)kunde van Microsoft, als zij de enige zijn die die de broncode kunnen inzien is het nog redelijk te doen. Op het moment dat je andere partijen (en niet alle partijen) inzage gaat geven in de broncode ben je gevaarlijk bezig.
Maak Windows gewoon open-source of hou alles geheim, Punt.
En wie zegt niet dat MS wel de 'echte' source vrijgeeft, het is allemaal closed-source dus controleren kun je het niet.
Wie zegt er dat de echte krijgen? Geloof me dat hier goedkeuring van de NSA voor nodig is, en ik heb het vermoeden dat er bij de NSA wel een paar slimme mensen rondlopen. Wellicht krijgt meneer Schneier een zak geld om dit verhaal te vertellen om de "echtheid" van de broncode te onderbouwen.
Het Orakel
Het Orakel
19-07-2010, 13:27 door
Silver
Door Anoniem: "Dit terwijl ze de Amerikaanse overheid al jaren diezelfde toegang weigeren te geven.""
De Amerikaanse regering heeft wel degelijk toegang; op basis hiervan levert de National Security Agency bijvoorbeeld advies aan Microsoft tijdens de ontwikkeling van nieuwe Windows versies.
De Amerikaanse regering heeft wel degelijk toegang; op basis hiervan levert de National Security Agency bijvoorbeeld advies aan Microsoft tijdens de ontwikkeling van nieuwe Windows versies.
Ik heb geen idee hoe je hier bij komt, maar als t klopt wat je zegt dan zit het hagelnieuwe boek van Richard Clarke (Cyber War) er in elk geval falikant naast. Net als een aantal andere zeer recente boeken zoals Inside Cyber Warfare. Ik denk dat jij in de war bent met het uitbrengen van die speciale extrazware Group Policy sets; deze zijn door de Amerikaanse Luchtmacht ism Microsoft gemaakt. Het kan ook zijn dat jij in de war bent met de Microsoft encryptie modules, waar de NSA inderdaad wel toegang toe heeft gehad (en zelfs invloed heeft gehad bij het bepalen welke encryptiesterkte er in Windows ingebouwd zou worden). Hoe dan ook: Citation needed.
Door Anoniem:
Heet je soms Klukkluk?
Heet je soms Klukkluk?
Nee. Pipo de Clown is een beetje voor mn tijd ook trouwens. Hoezo?
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
