NSA lanceert open source security-tool op GitHub
De Amerikaanse inlichtingendienst NSA heeft op GitHub een open source security-tool geplaatst waarmee organisaties hun netwerken kunnen beschermen. Het System Integrity Management Platform (SIMP), zoals de tool heet, moet netwerken compliant met beveiligingsstandaarden houden.
De afgelopen jaren hebben verschillende overheids- en industrieorganisaties soortgelijke technologieën ontwikkeld. Door SIMP vrij te geven hoopt de NSA dubbel werk te voorkomen en samenwerking binnen de gemeenschap te bevorderen. "Het wiel hoeft niet door elke organisatie opnieuw te worden uitgevonden", aldus de inlichtingendienst. Volgens de NSA is open source een zeer efficiënte manier om technologie van het "overheidslaboratorium" naar de marktplaats te krijgen.
"De opensourcegemeenschap kan van het werk profiteren dat de NSA heeft opgeleverd, en de overheid kan profiteren van de expertise van de gemeenschap. Iedereen wint op deze manier", zegt Linda Burger, directeur van het NSA Techology Transfer Program. Via het Transfer Program kan de NSA technologieën met andere partijen delen, zoals academici, overheidsinstanties en de industrie.
Net niet gelukt.
http://arstechnica.com/security/2015/07/opm-got-hacked-and-all-i-got-as-a-former-federal-employee-was-a-stupid-e-mail/
Wat zou de werkelijke agenda kunnen zijn?
Publieke netwerken als testlaboratorium?
De NSA zet natuurlijk geen backdoor van het type "hard gecodeerde user/pass" in een stuk open source code.
Maar er zijn zat mogelijkheden die je niet zomaar vindt. Zie bijvoorbeeld het beroemde OpenSSL lek.
Ik dacht dat iedereen juist beweerde dat open source volledig te vertrouwen is?
Ik dacht dat iedereen juist beweerde dat open source volledig te vertrouwen is?
Behalve als het van de NSA is.
Ik dacht dat iedereen juist beweerde dat open source volledig te vertrouwen is?
Nou, ik hoop dat iedereen het gapende gat in openssl zich nog kan herinneren, het feit dat iets opensource is wil niet zeggen dat het geïnspecteerd wordt, of ben ik abuis ?
Kan een gevoel van wantrouwen niet onderdrukken ^^
dus het zal wel meevallen...
In zijn boek Applied Cryptography heeft Bruce Schneier een mooi verhaal opgenomen over de rol die de NSA heeft gespeeld in de totstandkoming van de NIST norm DES.
Toen het NIST in de 70-er jaren een uitnodiging deed voor het indienen van voorstellen, kwam IBM met Lucifer op de proppen. Bij de beoordeling van de voorstellen had de NSA een bijzondere rol. In dit geval adviseerde de NSA dat in de S-boxes die een essentieel onderdeel uitmaken van het Lucifer argoritme, enige kleine (en toendertijd onbegrijpelijke) wijzigingen werden doorgevoerd. Met inbegrip van deze voorgestelde wijziging werd Lucifer DES. In weerwil van het wantrouwen dat deze gang van zaken opriep, bleek in de jaren 90 toen de cryptoanalyse zich rap ontwikkelde, dat de door de NSA voorgestelde wijzigingen precies was wat nodig was om een bepaalde zwakte te pareren. De NSA wist dus onegveer 20 jaar voordat de civiele cryptografie daaraan toekwam al van bepaalde wiskundige eigenschappen, maar bleek achteraf die kennis ten goede en niet ten kwade te hebben aangewend.
Het is open source, maar vaak laad je een binaire file, niet iedereen kan/wil een file zelf compileren.
De vraag is nu, of de binaire file het product is van de open-source, of dat nog een klein beetje meer mee gecompileerd is.
Het is maar een (kritische) vraag ..........
De vraag is nu, of de binaire file het product is van de open-source, of dat nog een klein beetje meer mee gecompileerd is.
Goed punt. Volgens mij speelde iets soortgelijks bij Truecrypt. Je kan dan de open source code wel helemaal uitgeplozen hebben, maar als je dan nog niet zelf die code compileert (en dus de meegeleverde binairy gebruikt) dan weet je nog niks zeker... En voor de echt paranoïde sysadmins/BOFs is er nog "vertrouw ik mijn compiler wel":
Strange Loops: Ken Thompson and the Self-referencing C Compiler:
For debugging purposes, Thompson put a back-door into “login”. The way he did it was by modifying the C compiler. He took the code pattern for password verification, and embedded it into the C compiler, so that when it saw that pattern, it would actually generate code that accepted either the correct password for the username, or Thompson’s special debugging password.
http://scienceblogs.com/goodmath/2007/04/15/strange-loops-dennis-ritchie-a/
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
