Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Nieuwe Windows 8 heeft "achterdeurtje voor NSA"
Vond dit bericht hier wel thuishoren...(Computerbeveiliging - Hoe je bad guys buiten de deur houdt)
http://www.ad.nl/ad/nl/1013/Buitenland/article/detail/3496097/2013/08/21/Duitse-regering-nieuwe-Windows-8-heeft-achterdeurtje-voor-NSA.dhtml
http://webwereld.nl/beveiliging/78979-duitse-overheid-vreest-nsa-achterdeur-in-nieuwe-windows
Na alle commotie van de laatste tijd kan dit er ook nog wel bij.....
Wat vinden de kenners hiervan?
MvG. Quikfit
http://www.ad.nl/ad/nl/1013/Buitenland/article/detail/3496097/2013/08/21/Duitse-regering-nieuwe-Windows-8-heeft-achterdeurtje-voor-NSA.dhtml
http://webwereld.nl/beveiliging/78979-duitse-overheid-vreest-nsa-achterdeur-in-nieuwe-windows
Na alle commotie van de laatste tijd kan dit er ook nog wel bij.....
Wat vinden de kenners hiervan?
MvG. Quikfit
Reacties (2)
A backdoor in a computer system (or cryptosystem or algorithm) is a method of bypassing normal authentication, securing illegal remote access to a computer, obtaining access to plaintext, and so on, while attempting to remain undetected. The backdoor may take the form of an installed program (e.g., Back Orifice) or may subvert the system through a rootkit.
https://en.wikipedia.org/wiki/Backdoor_%28computing%29
M.a.w, MS zou het softwarematig mogelijk maken om in real-time data te onderscheppen van een Windows-systeem. Hoewel het me geen onmogelijkheid lijkt vraag ik me af hoe lang dit onopgemerkt kan blijven. Deze geruchten zijn niet van vandaag en ook over eerdere Windows versies zijn er soortgelijke beweringen gedaan in het verleden (denk maar aan de heisa die onstond over de data die bij updates van XP werd verzonden).*
Nu wil ik e.e.a niet bagatelliseren want inmiddels is bekend geworden (hoewel de bron van dit bericht niet bij naam genoemd wordt) dat MS informatie aan de overheid geeft over nog te patchen kwetsbaarheden waarvan niet bekend is hoe die worden gebruikt (MS vraagt er ook niet naar).** De officiële reden is om de overheid een ''an early start on risk assessment and mitigation' te geven maar ik denk dat we ervan uit kunnen gaan dat deze kwetsbaarheden op andere creatieve manieren gebruikt worden (Stuxnet maakte gebruik van enkele XP zero-days).***
MS heeft na de overname van Skype de bestaande distributed netwerk-achitectuur omgezet naar een die gebruik maakt van centrale door MS beheerde servers. Volgens de Snowden-leaks zou MS de Amerikaanse inlichtingendiensten pre-encryptie toegang geven. ****
Tegen de achtergrond van het voorgaande is een lokale backdoor in mijn optiek eigenlijk een hopeloos ouderwetse, overbodige en riskante luxe (denk maar aan de onoverzienbare reputatieschade voor MS als e.e.a aan het licht zou komen). Zoals Moxie Marlinspike al enkele jaren geleden aangaf tijdens DefCon hoeven de spooks niet meer, zoals in oude Hollywoodfilms, in telefoonpalen te klimmen omdat alle informatie nu door gebruiker netjes overzichtelijk in de cloud word geplaatst. *****
Uit de Snowden-leaks blijkt dat de inlichtingendiensten zich vooral op de cloud concentreren en wie maakt tegenwoordig geen gebruik van de cloud. Of het nou e-mail, facebook of internetbankieren is, je data wordt ergens op een anonieme server gelezen door een machine en die is potentieel weer toegankelijk voor een derde partij (lees: een mens). Terecht stelden de juristen van Google: ''a person has no legitimate expectation of privacy in information he voluntarily turns over to third parties''. De cloud is in mijn optiek dus de grootste backdoor-of in de woorden van Julian Assange: ''You are all fucked''....
Mijn devies:
Only the paranoid survive
(Andy Grove)
Trust no one Mr Mulder
(The Well-Manicured man)
*
http://www.geek.com/news/windows-update-sending-private-data-to-ms-552030/
**
http://www.bloomberg.com/news/2013-06-14/u-s-agencies-said-to-swap-data-with-thousands-of-firms.html
***
http://www.symantec.com/connect/blogs/stuxnet-using-three-additional-zero-day-vulnerabilities
****
http://www.theguardian.com/world/2013/jul/11/microsoft-nsa-collaboration-user-data
*****
https://www.youtube.com/watch?v=eG0KrT6pBPk
https://en.wikipedia.org/wiki/Backdoor_%28computing%29
M.a.w, MS zou het softwarematig mogelijk maken om in real-time data te onderscheppen van een Windows-systeem. Hoewel het me geen onmogelijkheid lijkt vraag ik me af hoe lang dit onopgemerkt kan blijven. Deze geruchten zijn niet van vandaag en ook over eerdere Windows versies zijn er soortgelijke beweringen gedaan in het verleden (denk maar aan de heisa die onstond over de data die bij updates van XP werd verzonden).*
Nu wil ik e.e.a niet bagatelliseren want inmiddels is bekend geworden (hoewel de bron van dit bericht niet bij naam genoemd wordt) dat MS informatie aan de overheid geeft over nog te patchen kwetsbaarheden waarvan niet bekend is hoe die worden gebruikt (MS vraagt er ook niet naar).** De officiële reden is om de overheid een ''an early start on risk assessment and mitigation' te geven maar ik denk dat we ervan uit kunnen gaan dat deze kwetsbaarheden op andere creatieve manieren gebruikt worden (Stuxnet maakte gebruik van enkele XP zero-days).***
MS heeft na de overname van Skype de bestaande distributed netwerk-achitectuur omgezet naar een die gebruik maakt van centrale door MS beheerde servers. Volgens de Snowden-leaks zou MS de Amerikaanse inlichtingendiensten pre-encryptie toegang geven. ****
Tegen de achtergrond van het voorgaande is een lokale backdoor in mijn optiek eigenlijk een hopeloos ouderwetse, overbodige en riskante luxe (denk maar aan de onoverzienbare reputatieschade voor MS als e.e.a aan het licht zou komen). Zoals Moxie Marlinspike al enkele jaren geleden aangaf tijdens DefCon hoeven de spooks niet meer, zoals in oude Hollywoodfilms, in telefoonpalen te klimmen omdat alle informatie nu door gebruiker netjes overzichtelijk in de cloud word geplaatst. *****
Uit de Snowden-leaks blijkt dat de inlichtingendiensten zich vooral op de cloud concentreren en wie maakt tegenwoordig geen gebruik van de cloud. Of het nou e-mail, facebook of internetbankieren is, je data wordt ergens op een anonieme server gelezen door een machine en die is potentieel weer toegankelijk voor een derde partij (lees: een mens). Terecht stelden de juristen van Google: ''a person has no legitimate expectation of privacy in information he voluntarily turns over to third parties''. De cloud is in mijn optiek dus de grootste backdoor-of in de woorden van Julian Assange: ''You are all fucked''....
Mijn devies:
Only the paranoid survive
(Andy Grove)
Trust no one Mr Mulder
(The Well-Manicured man)
*
http://www.geek.com/news/windows-update-sending-private-data-to-ms-552030/
**
http://www.bloomberg.com/news/2013-06-14/u-s-agencies-said-to-swap-data-with-thousands-of-firms.html
***
http://www.symantec.com/connect/blogs/stuxnet-using-three-additional-zero-day-vulnerabilities
****
http://www.theguardian.com/world/2013/jul/11/microsoft-nsa-collaboration-user-data
*****
https://www.youtube.com/watch?v=eG0KrT6pBPk
24-08-2013, 00:01 door
Erwtensoep
German government refutes Windows 'backdoor' claims
Summary: The German government says Windows 8 and TPM 2.0 chips, used in conjunction, can increase security but have the potential to reduce a user's control over software and hardware. The common-sense advice for government IT experts has been distorted by some observers into wild claims of "backdoors" or spying by the U.S. National Security Agency, or the Chinese.
Summary: The German government says Windows 8 and TPM 2.0 chips, used in conjunction, can increase security but have the potential to reduce a user's control over software and hardware. The common-sense advice for government IT experts has been distorted by some observers into wild claims of "backdoors" or spying by the U.S. National Security Agency, or the Chinese.
http://www.zdnet.com/german-government-refutes-windows-backdoor-claims-7000019739/
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
