Nieuws

"FBI vroeg Microsoft om backdoor in BitLocker"

woensdag 11 september 2013, 16:50 door Redactie, 9 reacties

De Amerikaanse opsporingsdienst FBI zou Microsoft hebben gevraagd om een backdoor aan de versleutelingssoftware BitLocker toe te voegen. Dat meldt Mashable op basis van bronnen. Toen Microsoft het programma in 2005 lanceerde ging het onder andere langs bij de NSA, GCHQ en FBI.

De softwaregigant had twee doelen, namelijk het krijgen van feedback van de inlichtingendiensten en het verkopen van BitLocker aan ze. Volgens Mashable zou het de FBI zijn geweest die herhaaldelijk aan Microsoft vroeg om een backdoor toe te voegen. Hierdoor zou het toch toegang tot versleutelde gegevens kunnen krijgen.

Verzoek

De FBI stelt in een verklaring tegenover Mashable dat het nooit een verzoek voor een backdoor heeft ingediend en alleen maar gerechtelijke bevelen gebruikt om toegang tot de gegevens van gebruikers te krijgen. Peter Biddle, destijds het hoofd van het Microsoft engineering team dat aan BitLocker werkte, zegt dat hij met verschillende overheidsagenten contact heeft gehad. "Ik werd meerdere keren gevraagd", aldus Biddle,

Die bevestigt dat een overheidsdienst een vraag over backdoors had gesteld, maar niet meer kan herinneren om welke dienst het precies ging. De vraag zou later nog herhaald worden, waarbij agenten van de dienst in kwestie wilde weten wat de mogelijkheden waren als ze het via officiële wegen zouden vragen.

Volgens twee voormalige Microsoft engineers hadden FBI-functionarissen geklaagd dat BitLocker hun leven een stuk lastiger zou maken. "Het gaat heel lastig voor ons worden om ons werk te doen als iedereen deze technologie kan hebben. Hoe kunnen we het kraken?", zo zou een FBI-agent hebben gevraagd.

Ontmoetingen

De engineers stellen dat de verzoeken om een backdoor toe te voegen tijdens verschillende ontmoetingen met de FBI werden gedaan. De lezing van Biddle wordt bevestigd door een andere Microsoft engineer die ook in het BitLocker team werkte, maar anoniem wil blijven. "Ik had meer ontmoetingen met meer agentschappen dan ik kan herinneren of tellen", merkt Biddle op.

Daardoor zou hij niet meer precies weten welke dienst om de backdoor vroeg, maar de anonieme engineer bevestigt dat het om de FBI gaat. Biddle zou echter nooit met de aanwezigheid van een backdoor akkoord zijn gegaan en Microsoft heeft dan ook ontkend dat zoiets in de software aanwezig zou zijn.

Samenwerking

Wel zou er met de FBI zijn samengewerkt om te laten zien hoe informatie kon worden teruggehaald als een agent toegang tot een versleutelde harde schijf nodig had. Zo werd er gesuggereerd om de back-up sleutel te gebruiken die BitLocker kan genereren. Via de back-upcode kan de gebruiker toch nog toegang tot zijn data krijgen als hij zijn eerste sleutel vergeet.

"Zodra we dat vertelden veranderde de sfeer in de kamer behoorlijk", aldus de anonieme Microsoft engineer. "Ze waren heel enthousiast." In dit geval zou er geen backdoor nodig zijn, maar alleen een gerechtelijk bevel om de documenten van de verdachte te doorzoeken.

Privacyonderzoeker Christopher Soghoian merkt op dat het niet uitmaakt of er wel of geen backdoor aanwezig is, vanwege het kleine aantal mensen dat BitLocker gebruikt. Wel demonstreert het volgens hem de vriendschappelijke relatie tussen bedrijven en de overheid. "Als je niet wil dat de Amerikaanse overheid toegang tot je gegevens krijgt, is Microsoft niet je vriend", zo laat hij weten.

NIST ontkent opzettelijke backdoor in encryptiestandaard

Europol heeft last van NSA-affaire

Reacties (9)

11-09-2013, 18:35 door Anoniem

Privacyonderzoeker Christopher Soghoian merkt op dat het niet uitmaakt of er wel of geen backdoor aanwezig is, vanwege het kleine aantal mensen dat BitLocker gebruikt.

Kleine aantal mensen?
Ik ken genoeg grote bedrijven die het ook gebruiken.
Voornamelijk omdat je e.e.a. via GPOs kan inregelen. Incl opslaan van recovery keys in active directory.
Bij ons (grote multinational) is het zelfs verplicht op de laptops.

11-09-2013, 21:22 door Anoniem

"De FBI stelt in een verklaring tegenover Mashable dat het nooit een verzoek voor een backdoor heeft ingediend en alleen maar gerechtelijke bevelen gebruikt om toegang tot de gegevens van gebruikers te krijgen. Peter Biddle, destijds het hoofd van het Microsoft engineering team dat aan BitLocker werkte, zegt dat hij met verschillende overheidsagenten contact heeft gehad. "Ik werd meerdere keren gevraagd", aldus Biddle"

De overheid is altijd oh zo betrouwbaar. Je zou denken dat het een doodzonde zou zijn indien je betrapt wordt op pertinente leugens als vertegenwoordiger van een opsporings instantie. Kennelijk nemen ze het zelf niet zo nauw met de waarheid, en daarmee met ethische normen. Neem verantwoordelijkheid voor je daden zou ik zeggen.

Dezelfde mentaliteit zie je helaas in Nederland ook bij soortgelijke instanties.

11-09-2013, 21:25 door hx0r3z

de fbi is niet lekker bezig de laaste tijd. een backdoor erin plaatsen. hoe kom je op het idee, criminelen zijn het.

reden waarom ik linux gebruik? omdat er nooit een backdoor in gezet zal worden, slimerd.

12-09-2013, 02:49 door Anoniem

Daarom slaat men ook graag je cryptokeys bij MS op in de nieuwe Windows versies. Geen zoekwerk bij de verdachte meer nodig. Ik ben benieuwd hoeveel it professionals een overstap naar Linux overwegen na al deze schandalen.

12-09-2013, 03:41 door Anoniem

(NSA) The documents reveal various covert methods have been used to break down internet security, including an NSA programme, costing $250m (£160m) a year, which works with technology companies and internet service providers to insert weaknesses into their product designs.

Supercomputers have also been used to break encryption with "brute force" and in some cases companies say they were forced by the government to hand over their master encryption keys or build in a back door.

12-09-2013, 09:46 door Anoniem

Door hx0r3z: de fbi is niet lekker bezig de laaste tijd. een backdoor erin plaatsen. hoe kom je op het idee, criminelen zijn het.

reden waarom ik linux gebruik? omdat er nooit een backdoor in gezet zal worden, slimerd.

Ben zelf ook linux fanaat, maar maak me geen enkele illusie dat de overheden zich geen toegang zouden kunnen verschaffen tot mijn machine.

12-09-2013, 10:56 door Anoniem

Toch een schandaal, want de AIVD heeft BitLocker goedgekeurd voor de Nederlandse overheid (https://www.security.nl/posting/37246/) terwijl de informatie dus op verzoek van buitenlandse diensten kan worden opgevraagd. Trekt de AIVD de goedkeuring nu in, of geven we de amerikanen gewoon onze staatsgeheimen af?

12-09-2013, 11:32 door Anoniem

Dan vraag ik me nu toch af hoe vaak jij de source van alle software pakketten checkt die je installeert??

Het verbaast me overigens niet dat dit gebeurd want het zou toch handig voor de FBI zijn als ze een backdoor in Bitlocker hebben zodat ze meteen kunnen zien of er kinderporno in zit.

12-09-2013, 14:05 door Anoniem

Door Anoniem:Het verbaast me overigens niet dat dit gebeurd want het zou toch handig voor de FBI zijn als ze een backdoor in Bitlocker hebben zodat ze meteen kunnen zien of er kinderporno in zit.

Als ik de overheid nou zou kunnen vertrouwen dat dit het enige is waarvoor ze een backdoor zouden gebruiken, dan kon ik er waarschijnlijk wel vrede mee hebben... Maar overheden en gerelateerde instanties blijken keer op keer niet te vertrouwen en/of "fouten" te maken danwel de wet op ruimere manier te interpreteren dan eigenlijk was bedoeld, iets wat ons als nederige burger duur zou komen te staan als we erop worden betrapt. Hoezo 2 maten?

Door hx0r3z:reden waarom ik linux gebruik? omdat er nooit een backdoor in gezet zal worden, slimerd.

"Linux" is alleen de kernel... Alleen al de kernel, laat staan het geheel waar je mee werkt, is zo omvangrijk dat de kans bestaat dat wij als gewone stervelingen een backdoor niet tussen alle code zouden herkennen als die er is. De kans dat ergens een backdoor in zit lijkt me bij closed-source groter dan bij open-source, maar ik durf het ook niet uit te sluiten.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer