image

Brussels centrum laat overheid broncode Microsoft controleren

woensdag 3 juni 2015, 14:26 door Redactie, 11 reacties

Microsoft heeft vandaag in Brussel een 'transparantiecentrum' geopend waar overheidsinstanties de broncode van de softwaregigant op de aanwezigheid van backdoors kunnen controleren. Eerder werd een soortgelijk centrum al in Remond geopend. Naast het controleren van de code van Microsoftproducten geeft het transparantiecentrum deelnemers ook toegang tot technische informatie over de producten en diensten van de softwaregigant, alsmede informatie over cyberdreigingen en beveiligingslekken.

"Het is onze hoop dat door het Government Security Programma en dit nieuwste transparantiecentrum, we de communicatie en samenwerking tussen Microsoft securityprofessionals en overheidsinstanties kunnen versterken om een veilige en betrouwbare digitale omgeving voor de Europese markt te ontwikkelen", aldus Microsoft.

Via het Government Security Programma konden overheidsinstanties al toegang tot de broncode van Microsoftproducten krijgen. Het ging hier echter alleen om een "read-only" versie, zo liet Microsofts Matt Thomlinson eerder dit jaar tijdens de ONE Conferentie van het Nationaal Cyber Security Center (NCSC) in Den Haag weten. In het transparantiecentrum kunnen overheden de broncode ook compileren en via hun eigen tools testen.

Reacties (11)
03-06-2015, 14:48 door Anoniem
En wie geeft mij de garantie dat het OS ook die broncode gebruikt?
03-06-2015, 15:07 door Anoniem
Door Anoniem: En wie geeft mij de garantie dat het OS ook die broncode gebruikt?

Precies hetzelfde met je linux vriend.
Top van MS weer!
03-06-2015, 15:49 door Anoniem
Door Anoniem:
Door Anoniem: En wie geeft mij de garantie dat het OS ook die broncode gebruikt?

Precies hetzelfde met je linux vriend.
Top van MS weer!

Leuk geprobeerd, maar er wordt in de Linux wereld daadwerkelijk iets gedaan om dit verifieerbaar te maken. Zie bijvoorbeeld het reproducible builds initiatief van Debian, waarmee bitwise identieke kopieen kunnen worden afgeleid van dezelfde broncode: https://wiki.debian.org/ReproducibleBuilds/About

Hierdoor wordt het mogelijk om a) onafhankelijk te verifieren dat de binary correspondeert met de broncode en b) te detecteren wanneer een van de machines in je build farm gecompromitteerd wordt.
03-06-2015, 15:52 door Anoniem
Door Anoniem:Precies hetzelfde met je linux vriend.
Eh, nee, niet hetzelfde, vriend.

Bij Linux heb je de mogelijkheid om niet alleen je eigen tools op de broncode los te laten maar om daadwerkelijk alles wat je gebruikt zelf te compileren. Dat doet natuurlijk lang niet iedereen, maar als je dat nodig vindt kan het wel degelijk. Dat gaat verder dan wat Microsoft biedt.
Top van MS weer!
Prima dat ze het doen, maar ik denk dat ze simpelweg moeten. Overheden worden steeds veeleisender op dit gebied. Als een softwareleverancier daar niet in meegaat dan loopt hij het risico op een gegeven moment niet meer aan de eisen van overheden te voldoen en dat zijn klanten die groot genoeg zijn om liever niet kwijt te raken.
03-06-2015, 16:05 door Anoniem
Zeker niet, de Linux source is openbaar en daarmee zelf te compileren.

Todat de source van Windows 8 online staat heb je dus geen garantie.

Door Anoniem:
Door Anoniem: En wie geeft mij de garantie dat het OS ook die broncode gebruikt?

Precies hetzelfde met je linux vriend.
Top van MS weer!
03-06-2015, 16:26 door [Account Verwijderd] - Bijgewerkt: 03-06-2015, 16:26
[Verwijderd]
03-06-2015, 17:29 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: En wie geeft mij de garantie dat het OS ook die broncode gebruikt?

Precies hetzelfde met je linux vriend.
Top van MS weer!

Leuk geprobeerd, maar er wordt in de Linux wereld daadwerkelijk iets gedaan om dit verifieerbaar te maken. Zie bijvoorbeeld het reproducible builds initiatief van Debian, waarmee bitwise identieke kopieen kunnen worden afgeleid van dezelfde broncode: https://wiki.debian.org/ReproducibleBuilds/About

Hierdoor wordt het mogelijk om a) onafhankelijk te verifieren dat de binary correspondeert met de broncode en b) te detecteren wanneer een van de machines in je build farm gecompromitteerd wordt.

Nice try as well! :)
De broncode kan misschien openbaar zijn en controleerbaar, maar ik zie het niet gebeuren door een random individueel.
En natuurlijk, als het geschreven staat moet het waar zijn.

Wel weer opmerkelijk dat 1 trapje tegen dit een heleboel linux response teweeg brengt.
Linux is niet perfect mensen, accepteer het nou eens.
En zeek Linus niet zelf de kernel af vanwege bulky onnodige meuk er in?

Ja... controleerbaar zei je?
03-06-2015, 22:54 door Anoniem
Door Anoniem:Nice try as well! :)
De broncode kan misschien openbaar zijn en controleerbaar, maar ik zie het niet gebeuren door een random individueel.

Het fijne is dat niet een random individueel dat hoeft te doen. Er zijn een heleboel mensen die het wel doen en die gaan heus wel stenis maken als een van de distibuties vreemde zaken uithaalt met hun gevcompileerde versie.

En als jij denkt dat een overheid stenis gaat maken als ze een backdoor in Windows ontdekken? Ze vragen gewoon toegang tot die backdoor en iedereen slaapt weer rustig verder.

En natuurlijk, als het geschreven staat moet het waar zijn.

Juist omdat er ergens iemand schrijft dat linux niet zo onbetrouwbaar is, moet er op gereageerd worden. Om te voorkomen dat het als FUD verspreid wordt. Zolang dat niet bestreden wordt, van wie het ook komt, gaat het een eigen leven leiden en krijg je het nooit meer weg.

Zie de 640k opmerking van Bill Gates.
Dat heeft hij nooit beweerd, maar omdat niemand het de eerste keren heeft tegengesproken, blijft het idee leven.

Peter
03-06-2015, 22:54 door [Account Verwijderd]
[Verwijderd]
04-06-2015, 00:12 door Joep Lunaar - Bijgewerkt: 04-06-2015, 00:17
Door Anoniem:
Door Anoniem: En wie geeft mij de garantie dat het OS ook die broncode gebruikt?

Precies hetzelfde met je linux vriend.
Top van MS weer!
Neen geit, het gaat niet om garanties!
Ten eerste kun je en mag je de code van open source programma's als Linux zelf compileren tot een uitvoerbaar bestand en ten tweede, ook niet onbelangrijk, steekt het aantal ogen dat (delen van) de code van Microsoft mag schouwen gezien de exclusiviteit (non-disclusure) nogal schril af bij het brede, veelal academische, publiek dat bijvoorbeeld interesse toont in de Linux kernel.

Dit betekent niet persé dat Microsoft geen goede code kan maken. Wel dat zij in een minder goede uitgangspositie verkeren om deugdelijke produkten af te leveren, om niet te spreken over de nadelen die allerlei anti-features als activering van licenties met zich meebrengen (extra code, extra kwetsbaarheden).
04-06-2015, 00:30 door Joep Lunaar
Overigens blijf op een fundamenteler niveau het garanderen van de integriteit van een binair uitvoerbaar programma vrijwel onmogelijk. Thomson (van sendmail e.d.) staat mij bij heeft dat ooit teruggebracht dat zulks alleen mogelijk is als de toolchain vanaf de eerste compiler, de compiler die niet zelf wordt gecompileerd en dus rechtstreeks in binaire code is geschreven, kunt verifiëren. Zo niet dan kan volstrekt ongezien ongenode code door de toolchain for-ever worden ingesloten.

Hoe dan ook, vooralsnog lijken echte garanties een illusie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.