Overheden kunnen broncode Microsoft in Brussel testen
Volgende maand opent Microsoft een speciaal centrum in Brussel waar overheden de broncode van Microsoftproducten kunnen controleren en met hun eigen tools kunnen testen. Dat liet Microsofts Matt Thomlinson zojuist tijdens de ONE Conferentie van het Nationaal Cyber Security Center (NCSC) in Den Haag aan de redactie van Security.NL weten.
Thomlinson stelde dat overheden zo'n tien jaar geleden plotseling beseften hoe afhankelijk ze van Microsoft en Microsoftproducten waren. Opeens zagen overheden dat de software van Microsoft voor allerlei vitale infrastructuren werd gebruikt, van water en energie tot financiële systemen, terwijl ze eigenlijk weinig over Microsoft en de werking van Microsofts software wisten, aldus Thomlinson. Dat deed de softwaregigant er toe besluiten om overheden een aantal jaren geleden toegang tot de broncode van allerlei producten te geven. "Dat was een grote verandering voor Microsoft", aldus Thomlinson. "Het maakte ons op dat moment gelijk aan open source." Overheden kunnen via een smartcard op een speciale website inloggen en de code bekijken.
Het is echter niet mogelijk om de broncode te compileren, het is dus eigenlijk een "read-only" versie van open source, merkte Thomlinson op. Om overheden hierin tegemoet te komen lanceerde Microsoft vorig jaar voor het eerst een transparantiecentrum in Redmond. De code kan hier niet alleen worden bekeken, bijvoorbeeld om op de aanwezigheid van backdoors te controleren, maar overheden kunnen ook hun eigen tools meenemen voor het testen van de software. Iets wat volgens Thomlinson overheden helpt hun zorgen weg te nemen, maar tevens de code van Microsoft beschermt. "Wanneer ze met hun eigen tools het centrum binnenkomen gaan ze niet met onze broncode weg", merkt hij op. Naast het centrum in Brussel dat volgende maand geopend wordt zal Microsoft dit jaar ook nog andere lokale transparantiecentra openen.
Als je niet kan compileren is het moeilijk om na te gaan of de broncode ook zodanig is als die voor de binairies. En wat is het nu dan nog? Dit wekt bij mij alleen maar meer argwaan.
Nou, zo open is die source ook weer niet. Maar hippe buzz-words doen het goed bij politici dus we slapen rustig verder..
*Alu-hoedje op*
En wie zegt dat het om de identieke source gaat als waarmee de software die we allemaal gebruiken is gecompiled? Zolang het niet mogelijk is om een binary te compilen die identiek is aan wat er door MS wordt geleverd, kan je geen volledige controle uitvoeren. Zouden ze ook historische source op deze manier openbaren? Misschien zit er nu geen backdoor in, maar zat die er wel...
*Alu-hoedje af*
Als je niet kan compileren is het moeilijk om na te gaan of de broncode ook zodanig is als die voor de binairies. En wat is het nu dan nog? Dit wekt bij mij alleen maar meer argwaan.
kortom je zult never nooit niet tevreden zijn..
Bedenk dat het nadeel van gedegen analyse van de source kan zijn dat je iets tegenkomt. Dat is het nadeel met open source. Helaas een paar ervaringen afgelopen jaar lieten zien dat die gedegen analyse kennelijk ontbrak.
Alu hoedje op?
1/ Wil je het opnieuw compileren? Dat hoeft niet dezelfde code op te leveren eerder onwaarschijnlijk. Ook compilers zijn software en kunnen met alle meegelverde basis libraries fouten bevatten. (eerder al gebeurd)
2/ De hardware zelf kan fouten bevatten of er kan een parallel systeem ingebouwd zijn (standaard al gangbaar)
Wanneer is een systeem betrouwbaar?
Het enige wat er op zit is openheid en meten is weten.
Het is een begin, 100% zekerheid is uitgesloten. Gaat meer om een onderbouwde waarschijnlijkheid met betrouwbaarheidsintervallen. Dat is goed te doen (wiskunde/statistiek) Plotters die blijven doorgaan zul je houden
Zolang het niet compileerbaar is en je je eigen binairies niet kunt draaien, zijn ze nog heel ver weg van open-source.
Als je niet kan compileren is het moeilijk om na te gaan of de broncode ook zodanig is als die voor de binairies. En wat is het nu dan nog? Dit wekt bij mij alleen maar meer argwaan.
Een klassieker uit 1984:
"Reflections on trusting trust."
Ken Thompson, AT&T Bell Labs, Murray Hill, NJ
http://dl.acm.org/citation.cfm?id=358210
In het kort komt het erop neer dat je met de source code alleen niets bent, je moet namelijk ook de compiler vertrouwen.
De paper handelt over een backdoor in het Unix login programma. De backdoor wordt geïnjecteerd door de compiler, waardoor source code audits niets zullen vinden. Het was zelfs persistant voor als je dacht slim te zijn om de compiler zelf te gaan compileren...
Dit, in mijn ogen: merkwaardig gebaar van Microsoft verandert daar niks aan.
Ik, als eenlingetje achter een beeldscherm, vind dat als het om computerveiligheid gaat, alleen opensource te vertrouwen is.
En ja, ook voor mij geldt dus dat Microsoftware evenmin als elke andere soort closed source te vertrouwen is voor alle toepassingen. Ook ik zou dus het liefst met enkel opensource-software werken maar helaas.... daar ben ik te 'computer-naïef' voor- ik kan niet met Linux omgaan.
Maar onze overheid zou dat wel kunnen. Die kunnen IT specialisten in dienst nemen naar hartelust.
Die vervolgens de domme gebruikers binnen de perken kunnen houden.
Jammer genoeg lijkt de overheid zelf, nog dommer dan de domme gebruiker.
Microsoft is oppermachtig geweest, en is nu hard op z'n retour. De almacht die Windows heeft gehad is nu overgenomen door Google en Apple.
Dit is een krampachtige poging om tenminste overheden in z'n greep te houden.
Ik controleerde 't eventjes: nee, ik heb geen aluminium hoedje op.
Maar het gaat dus ook al niet echt meer over opensource versus closed source.
Het gaat over macht.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
