"Amerikaanse fabrikant stopte NSA-backdoor in computer"
Een Amerikaanse computerfabrikant zou op verzoek van de NSA een backdoor aan de hardware hebben toegevoegd nadat de inlichtingendienst ontdekte dat een buitenlands doelwit het product had besteld. Dat laat een anonieme bron tegenover de New York Times weten.
De krant publiceerde samen met de Guardian en ProPublica een artikel over de strijd van de NSA tegen encryptie. Eén van de programma's is het Sigint (signals intelligence) Enabling Project. Zoals gisteren al bericht probeert de NSA via dit project de ontwerpen van fabrikanten te beïnvloeden, zodat het hier later misbruik van kan maken.
Encryptiechips
Uit de stukken waar de Times over schrijft zou blijken dat het Sigint Enabling Project inmiddels bij verschillende encryptiechips zou zijn toegepast, zowel door het samenwerken met de chipfabrikanten om backdoors toe te laten voegen of het misbruiken van beveiligingslekken.
Ook zou de NSA volledige onversleutelde toegang tot een niet nader genoemde maar grote dienst voor online telefoongesprekken verwachten, alsmede toegang tot een internetdienst in het Midden-Oosten en de communicatie van drie buitenlandse overheden.
Reacties (20)
En dan noemen ze mensen die één Botnet hebben een crimineel..
Ze zijn <moderator>verwijderd, in strijd met huisregels</moderator> zelf criminelen. Ja toch?
Ze zijn <moderator>verwijderd, in strijd met huisregels</moderator> zelf criminelen. Ja toch?
06-09-2013, 12:07 door
Wim ten Brink
Het is tijd dat het Internet eens onafhankelijk wordt van de USA. Gewoon meer datacenters in Europa, inclusief al het andere wat erbij komt, en minder zaken doen met de USA. Ze zijn niet betrouwbaar, zo blijkt. Dan liever de Russen, ook al zijn dat ook stiekeme gluiperds. ;-)
Ik ben toevallig net overgestapt op een linux omgeving (van windows) met full disk encryption en daar ben ik nu toch erg blij mee. De kans dat de NSA er bij de Linux mannen een back door doorheen duwt acht ik een stuk kleiner dan bij allerlei commerciele bedrijven.
Bitlocker kun je meteen schrappen als betrouwbare optie lijkt me.
Bitlocker kun je meteen schrappen als betrouwbare optie lijkt me.
Door schele: Ik ben toevallig net overgestapt op een linux omgeving (van windows) met full disk encryption en daar ben ik nu toch erg blij mee. De kans dat de NSA er bij de Linux mannen een back door doorheen duwt acht ik een stuk kleiner dan bij allerlei commerciele bedrijven.
Bitlocker kun je meteen schrappen als betrouwbare optie lijkt me.
Bitlocker kun je meteen schrappen als betrouwbare optie lijkt me.
Niks persoonlijk, maar denk dat ik je dan hierbij maar even uit de droom help:
http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure-surveillance
Quote van Bruce Schneier:
The NSA also devotes considerable resources to attacking endpoint computers. This kind of thing is done by its TAO – Tailored Access Operations – group. TAO has a menu of exploits it can serve up against your computer – whether you're running Windows, Mac OS, Linux, iOS, or something else – and a variety of tricks to get them on to your computer. Your anti-virus software won't detect them, and you'd have trouble finding them even if you knew where to look. These are hacker tools designed by hackers with an essentially unlimited budget. What I took away from reading the Snowden documents was that if the NSA wants in to your computer, it's in. Period.
Al encrypt je je schijf 100x, als ze een trojan op je computer zetten help dat niks...
Sidenote: Natuurlijk is zoveel mogelijk encrypten wel veiliger dan geen encryptie...
06-09-2013, 13:09 door
steve sh1t
Het eerste wat je leert in de security wereld, is toch dat ieder systeem (dus ook *NIX) een achterdeurtje heeft.
En beheersen de Chinezen trouwens de westerse media? want zij produceren veel meer achterdeurtjes in hun hardware en daar hoor je eigenlijk nooit wat over.
En beheersen de Chinezen trouwens de westerse media? want zij produceren veel meer achterdeurtjes in hun hardware en daar hoor je eigenlijk nooit wat over.
Door schele: Ik ben toevallig net overgestapt op een linux omgeving (van windows) met full disk encryption en daar ben ik nu toch erg blij mee. De kans dat de NSA er bij de Linux mannen een back door doorheen duwt acht ik een stuk kleiner dan bij allerlei commerciele bedrijven.
Bitlocker kun je meteen schrappen als betrouwbare optie lijkt me.
Bitlocker kun je meteen schrappen als betrouwbare optie lijkt me.
Heeft weinig effect als het in de hardware zit.
Enige oplossing dan is ethernet stekker eruit of apparaat uit zetten
" zij produceren veel meer achterdeurtjes"
Bron? argumenten? fundering?
Pfff
Er word een beetje erg veel geroepen zonder controleerbare bronnen of argumenten hier de laatste tijd
Bron? argumenten? fundering?
Pfff
Er word een beetje erg veel geroepen zonder controleerbare bronnen of argumenten hier de laatste tijd
06-09-2013, 13:53 door
schele
Kom kom, dat is een beetje te makkelijk "iedere software heeft een backdoor". Closed source software wil ik daar nog in meegaan, maar open source is al een gradatie moeilijker.
06-09-2013, 14:13 door
wallum
Door Wim ten Brink: Het is tijd dat het Internet eens onafhankelijk wordt van de USA. Gewoon meer datacenters in Europa, inclusief al het andere wat erbij komt, en minder zaken doen met de USA. Ze zijn niet betrouwbaar, zo blijkt. Dan liever de Russen, ook al zijn dat ook stiekeme gluiperds. ;-)
Kom kom, blijf de zaken wel in verhouding zien.... USA is tenminste nog (een poging tot) een rechtstaat waar een publieke discussie over dit onderwerp kan worden gevoerd en kranten de overheidsdruk om niet te publiceren kunnen weerstaan. Dat hoef je in Rusland niet te proberen want je krijgt meteen een enkeltje Siberië. Als de russen dezelfde middelen hadden als de USA, zouden ze verder gaan en nog minder democratische controle toelaten.
06-09-2013, 14:31 door
steve sh1t
Door schele: Kom kom, dat is een beetje te makkelijk "iedere software heeft een backdoor". Closed source software wil ik daar nog in meegaan, maar open source is al een gradatie moeilijker.
Lees jij de broncode van opensource applicaties?
Hoe kon het dan bijvoorbeeld dat er 6+ jaar lang een ernstig lek in de Linux kernel zat?
Door schele: Ik ben toevallig net overgestapt op een linux omgeving (van windows) met full disk encryption en daar ben ik nu toch erg blij mee. De kans dat de NSA er bij de Linux mannen een back door doorheen duwt acht ik een stuk kleiner dan bij allerlei commerciele bedrijven.
Bitlocker kun je meteen schrappen als betrouwbare optie lijkt me.
Full disk encryptie op een draaiend systeem voegt helemaal niks toe aan de veiligheid tegen aanvallen vanuit het netwerk!Bitlocker kun je meteen schrappen als betrouwbare optie lijkt me.
Hier heb je alleen wat aan als je machine offline is en als hij uit staat als je er niet bij bent.
Door wallum:
Door Wim ten Brink: Het is tijd dat het Internet eens onafhankelijk wordt van de USA. Gewoon meer datacenters in Europa, inclusief al het andere wat erbij komt, en minder zaken doen met de USA. Ze zijn niet betrouwbaar, zo blijkt. Dan liever de Russen, ook al zijn dat ook stiekeme gluiperds. ;-)
Kom kom, blijf de zaken wel in verhouding zien.... USA is tenminste nog (een poging tot) een rechtstaat waar een publieke discussie over dit onderwerp kan worden gevoerd en kranten de overheidsdruk om niet te publiceren kunnen weerstaan. Dat hoef je in Rusland niet te proberen want je krijgt meteen een enkeltje Siberië. Als de russen dezelfde middelen hadden als de USA, zouden ze verder gaan en nog minder democratische controle toelaten.Ik prefereer ook de democratie van de USA boven de dictatuur van Rusland. Maar dan moeten we inderdaad wel die democratie gebruiken, en hij moet wel echt werken. Kritisch vragen moet niet onderdrukt worden en aangezien duidelijk wordt dat de NSA steeds de wetten overtreedt zou daar ook een duidelijke reactie op moeten komen.
Anders is het meer leven in de Matrix, je voelt je super maar je wordt gewoon gebruikt.
Het argument dat de NSA wel moet omdat de tegenstanders zo erg zijn, gaat niet op. Je burgers in hun vrijheid beknotten, ze voorliegen en afluisteren en uiteindelijk ook gebruik maken van martelpraktijken kun je niet rechtvaardigen door te wijzen op de vijand die anders hetzelfde gaat doen. Want wat schieten we er dan mee op? Dan leven we nu al in een dictatuur.
En is die vijand eigenlijk wel zo erg? In veel landen wordt de bevolking wijsgemaakt dat er een vijand is (Israel, of de VS, of juist Iran, of Cuba, noem maar op) wiens wandaden zo erg zijn dat er toch echt hele harde maatregelen nodig zijn. Het lijkt me goed om die retoriek te wantrouwen, juist omdat je tot je verbazing soms zelf die gevaarlijke vijand blijkt te zijn.
Criminelen stopten vele jaren geleden ook al hardware backdoors in pinautomaten, dus staatsveiligheidsdiensten zullen dat ook doen bij automatiseringsprojecten waarbij ze verwachten relevante informatieposities te winnen.
Gekke boel hoor, dat veiligheidsdiensten dat doen. Echt een scoop ook. Ik ga even een pot een verbaasd gezicht trekken, want ik krijg sterk de indruk dat dat de bedoeling is van meneer Greenwald bij de Guardian.
Voor de lol, even een grotere scoop dan Glenn posten: Een zekere nederlandse veiligheidsdienst is ook niet vies van hardware backdoors in commerciele apparatuur stoppen. En daar laat ik het bij.
Gekke boel hoor, dat veiligheidsdiensten dat doen. Echt een scoop ook. Ik ga even een pot een verbaasd gezicht trekken, want ik krijg sterk de indruk dat dat de bedoeling is van meneer Greenwald bij de Guardian.
Voor de lol, even een grotere scoop dan Glenn posten: Een zekere nederlandse veiligheidsdienst is ook niet vies van hardware backdoors in commerciele apparatuur stoppen. En daar laat ik het bij.
Door steve sh1t:
Lees jij de broncode van opensource applicaties?
Hoe kon het dan bijvoorbeeld dat er 6+ jaar lang een ernstig lek in de Linux kernel zat?
Door schele: Kom kom, dat is een beetje te makkelijk "iedere software heeft een backdoor". Closed source software wil ik daar nog in meegaan, maar open source is al een gradatie moeilijker.
Lees jij de broncode van opensource applicaties?
Hoe kon het dan bijvoorbeeld dat er 6+ jaar lang een ernstig lek in de Linux kernel zat?
Windows heeft lekken die er al > 15 jaar in zitten ...
Als dat over het ssl lek ging -> die zat ook in Windows ;)
06-09-2013, 16:16 door
johanw
Door steve sh1t: Het eerste wat je leert in de security wereld, is toch dat ieder systeem (dus ook *NIX) een achterdeurtje heeft.
Men probeert het daar ook ja, een ontwikkelaar van encryptie voor BSD heeft daar eens iets over gezegd.En beheersen de Chinezen trouwens de westerse media? want zij produceren veel meer achterdeurtjes in hun hardware en daar hoor je eigenlijk nooit wat over.
Hoe weet je dat? Omdat de Amerikanen dat roepen zodat mensen meer Cisco kopen?En dan nog, van de Chinezen heb ik geen last. Van de Amerikanen die hun doorgeschoten auteursrechten aan de hele wereld willen opleggen des te meer.
Dat zelfs open-source een backdoor kan hebben, is al begin 80'er jaren door Dennis Ritchie (van Unix-faam) aangetoond. Namelijk de code van su.c, die iedereen met een bepaald wachtwoord doorliet. Uiteraard kan je dat stuk code niet in de source laten zitten, dat valt een beetje op. Dus was ook de C-compiler aangepast. Als die zag dat su.c gecompileerd werd, werd automatisch de backdoor mee-ingebouwd.
Nu zat er natuurlijk een hack in de C-compiler, net zo makkelijk te vinden als in su.c natuurlijk. Dus had de compiler nog een andere hack: als deze zichzelf compileerde, werd de hack ingebouwd. Daarmee kon dus de source-code van de hack uit de compiler sources gehaald worden, waarmee deze dus geheel ontzichtbaar werd. Uiteraard controleert niemand of de executabele wel overeenkomt met de source-code.
Dus jongens, wie van jullie heeft de gcc executable gecontroleerd? Wie bouwt gcc met gcc zelf? Nou nou? ....
Nu zat er natuurlijk een hack in de C-compiler, net zo makkelijk te vinden als in su.c natuurlijk. Dus had de compiler nog een andere hack: als deze zichzelf compileerde, werd de hack ingebouwd. Daarmee kon dus de source-code van de hack uit de compiler sources gehaald worden, waarmee deze dus geheel ontzichtbaar werd. Uiteraard controleert niemand of de executabele wel overeenkomt met de source-code.
Dus jongens, wie van jullie heeft de gcc executable gecontroleerd? Wie bouwt gcc met gcc zelf? Nou nou? ....
06-09-2013, 23:43 door
johanw
Leuk zo'n su hack, maar su werkt alleen als je al binnen bent. Die gcc hack is zuiver theoretisch.
08-09-2013, 00:00 door
Overcome
Door johanw: Leuk zo'n su hack, maar su werkt alleen als je al binnen bent. Die gcc hack is zuiver theoretisch.
De hack is niet gerelateerd aan su. Iedere willekeurige applicatie kan op de beschreven manier worden voorzien van een backdoor. Ken Thompson (niet Dennis Ritchie) gaf in zijn ACM speech (https://www.ece.cmu.edu/~ganger/712.fall02/papers/p761-thompson.pdf) het voorbeeld van het login commando. Dat commando werkt ook wanneer je niet binnen bent.
Los van al die heel slim verborgen backdoors is het ook jarenlang mogelijk geweest om heel veel Unix en Linux systemen
binnen te komen door gewoon in te loggen als -froot
Dat was een bugje in een opensource versie van login dat heel lang undetected is gebleven.
(de -f optie was bedoeld om gebruikt te worden als de authenticate al door een ander stuk software geregeld was en
er alleen nog maar even ingelogd hoefde te worden. men had er niet aan gedacht dat getopt ook aan elkaar geplakte
opties en argumenten kon ondersteunen)
binnen te komen door gewoon in te loggen als -froot
Dat was een bugje in een opensource versie van login dat heel lang undetected is gebleven.
(de -f optie was bedoeld om gebruikt te worden als de authenticate al door een ander stuk software geregeld was en
er alleen nog maar even ingelogd hoefde te worden. men had er niet aan gedacht dat getopt ook aan elkaar geplakte
opties en argumenten kon ondersteunen)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
