Nieuws

Microsoft geeft VS toegang tot ongepatchte lekken

vrijdag 14 juni 2013, 12:03 door Redactie, 13 reacties

Microsoft informeert Amerikaanse inlichtingendiensten over beveiligingslekken in Windows, Internet Explorer en Office waarvoor nog geen beveiligingsupdates beschikbaar zijn. De Amerikaanse overheid kan via deze kwetsbaarheden de computers van buitenlandse overheden binnendringen, iets wat ook zou zijn gebeurd, zo meldt persbureau Bloomberg vandaag.

In een reactie stelt Microsoft dat het delen van informatie kan worden gebruikt om de impact van kwetsbaarheden te bepalen en te helpen bij het beveiligen van systemen. Microsoft zou niet weten hoe de informatie verder door inlichtingendiensten zoals de NSA, FBI en CIA wordt gebruikt.

MAPP
Aangezien het artikel van Bloomberg verder geen details bevat is het onduidelijk om wat voor programma het precies gaat. Microsoft deelt al jaren informatie over beveiligingslekken die het gaat patchen met andere beveiligingsbedrijven. In oktober 2008 startte Microsoft het Microsoft Active Protections Program (MAPP).

Het bestaat uit een samenwerkingsverband met zo'n 80 anti-virusbedrijven en leveranciers van IDS/IPS oplossingen. In het geval van een beveiligingslek in Microsoft software, worden deze partijen ingelicht, zodat ze detectie van exploits aan hun producten kunnen toevoegen voordat er een update van Microsoft beschikbaar is.

Programma
Volgens Bloomberg zou niet alleen Microsoft informatie delen, maar zouden duizenden techbedrijven, financiële instellingen en andere bedrijven nauw samenwerken met Amerikaanse inlichtingendiensten. De bedrijven verstrekken gevoelige gegevens in ruil voor bijvoorbeeld geclassificeerde inlichtingen. Via deze gegevens zouden de diensten buitenlandse computers kunnen infiltreren.

Update 12:18
Het lijkt erop dat Bloomberg op het Defensive Information Sharing Program (DISP) doelt. Dit programma werd op 18 mei 2010 door Microsoft gelanceerd en voorziet overheidsinstanties die onderdeel van zowel het Government Security Program (GSP) als het Security Cooperation Program (SCP) zijn van technische informatie over kwetsbaarheden die Microsoft nog moet patchen.

DISP-leden zouden de informatie over de kwetsbaarheden pas aan het einde van het patchproces ontvangen en kunnen de gegevens gebruiken om de kritieke infrastructuur te beschermen, aldus Microsoft.

'Britse banken banger voor cyberaanval dan Eurocrisis'

Apple verwijdert dubieuze dating-app uit App Store

Reacties (13)

14-06-2013, 12:21 door Mysterio

Verklaart meteen waarom het soms zo lang duurt eer een lek wordt gedicht.

14-06-2013, 12:36 door Preddie

Ik vond het eerder altijd heel erg netjes als je een vulnerability bij de vendor rapporteert, ik heb me echter altijd al afgevraagd of daar ook misbruik van gemaakt zou worden. Na dit soort berichtgeving voel ik toch mee voor full-dislosure omdat vendors blijkbaar ook niet te vertrouwen zijn ....

Bounty vendor: $1000
Bounty cybercrimineel: $50 000
Bounty full-disclosure: Algemeen belang = onbetaalbaar

14-06-2013, 12:44 door 0101

Volgens mij is dit programma wel bekend. Een jaar geleden was er nog een incident waarbij een Chinees bedrijf uit het MAPP werd gegooid nadat het een exploit had gelekt (https://www.security.nl/artikel/41360/Microsoft_trapt_Chinees_bedrijf_uit_beveiligingsprogramma.html).

14-06-2013, 12:55 door AcidBurn

Before they agreed to install the system on their networks, some of the five major Internet companies -- AT&T Inc. (T), Verizon Communications Inc (VZ)., Sprint Nextel Corp. (S), Level 3 Communications Inc (LVLT). and CenturyLink Inc (CTL). -- asked for guarantees that they wouldn’t be held liable under U.S. wiretap laws. Those companies that asked received a letter signed by the U.S. attorney general indicating such exposure didn’t meet the legal definition of a wiretap and granting them immunity from civil lawsuits, the person said.

14-06-2013, 13:48 door Anoniem

De opgehemelde onafhankelijkheid t.o.v. de staat die door Westerse bedrijven en -journalisten worden geclaimd, blijkt alleen op papier te bestaan. Alweer een democratische illusie armer!

14-06-2013, 13:49 door [Account Verwijderd]

[Verwijderd]

14-06-2013, 14:30 door Anoniem

Er zullen naar ik aanneem ook lekken zijn die met opzet zijn ingebouwd om geheime diensten de mogelijkheid te
geven om in te breken. Dat zijn dus lekken waar weliswaar "nog geen beveilingingsupdates voor beschikbaar zijn"
maar die komen er ook niet zomaar.
Als een 3e partij een dergelijk lek per ongeluk vindt dan komt er wel een update, maar deze update zal dan
waarschijnlijk weer een nieuw lek introduceren.

De vraag is, hoe wordt dit bij open source software geregeld, bijvoorbeeld bij Linux. Waar zitten die lekken en waarom
ziet niemand ze?
Wat gebeurt er bij nieuwe projecten die door weinig mensen worden getrokken? Hoe infiltreert men daarin?

14-06-2013, 15:20 door Anoniem

Microsoft en de VS overheid is dus crimineel bezig? Waarom boycotten wij als Nederland hun besturingssysteem (backdoor) niet? Waarom zien wij alles wat de VS doet door de vingers?

14-06-2013, 16:33 door Anoniem

"Voor veiligheidsdoeleinden", zo zal het vast begonnen zijn. Maar ondertussen moge toch wel duidelijk zijn dat alles wat offensief gebruikt kan worden vroeg of laat ook offensief gebruik zal worden door de amerikaanse overheid.

Het maakt niet uit in hoeverre andere landen dat ook (proberen te) doen. De amerikanen staan altijd op voorsprong. Niet dat je ze kan tegenhouden. Je moet er gewoon vanuitgaan dat het gaat gebeuren.

14-06-2013, 16:41 door Anoniem

"DISP-leden zouden de informatie over de kwetsbaarheden pas aan het einde van het patchproces ontvangen en kunnen de gegevens gebruiken om de kritieke infrastructuur te beschermen, aldus Microsoft."

En indien die informatie eerder verstrekt wordt aan (bijvoorbeeld) inlichtingendiensten, dan geeft Microsoft dat natuurlijk eerlijk toe ? ;)

14-06-2013, 20:25 door Skizmo

MS is toch al aan het instorten... laten we er nog een schopje bovenop doen zodat het sneller gaat.

14-06-2013, 20:30 door Anoniem

Door Anoniem: De opgehemelde onafhankelijkheid t.o.v. de staat die door Westerse bedrijven en -journalisten worden geclaimd, blijkt alleen op papier te bestaan. Alweer een democratische illusie armer!

En wat ga jij straks weer stemmen? Net als velen die weinig vertrouwen zeggen te hebben in de overheid stemt vrijwel iedereen weer op dezelfde partijen die dit vertrouwen ondermijnen.

18-06-2013, 19:01 door [Account Verwijderd]

[Verwijderd]

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer