image

NSA lanceert open source security-tool op GitHub

maandag 13 juli 2015, 10:39 door Redactie, 16 reacties

De Amerikaanse inlichtingendienst NSA heeft op GitHub een open source security-tool geplaatst waarmee organisaties hun netwerken kunnen beschermen. Het System Integrity Management Platform (SIMP), zoals de tool heet, moet netwerken compliant met beveiligingsstandaarden houden.

De afgelopen jaren hebben verschillende overheids- en industrieorganisaties soortgelijke technologieën ontwikkeld. Door SIMP vrij te geven hoopt de NSA dubbel werk te voorkomen en samenwerking binnen de gemeenschap te bevorderen. "Het wiel hoeft niet door elke organisatie opnieuw te worden uitgevonden", aldus de inlichtingendienst. Volgens de NSA is open source een zeer efficiënte manier om technologie van het "overheidslaboratorium" naar de marktplaats te krijgen.

"De opensourcegemeenschap kan van het werk profiteren dat de NSA heeft opgeleverd, en de overheid kan profiteren van de expertise van de gemeenschap. Iedereen wint op deze manier", zegt Linda Burger, directeur van het NSA Techology Transfer Program. Via het Transfer Program kan de NSA technologieën met andere partijen delen, zoals academici, overheidsinstanties en de industrie.

Reacties (16)
13-07-2015, 10:55 door Anoniem
Een goed initiatief. Ware het niet dat iedereen achterdochtig is vanwege de reputatie van deze partij...
13-07-2015, 11:00 door Anoniem
"Het wiel hoeft niet door elke organisatie opnieuw te worden uitgevonden"
Kennelijk was men even vergeten dat men een eigen overheidsnetwerk met ambtenaren gegevens had kunnen helpen te bewaken.
Net niet gelukt.
http://arstechnica.com/security/2015/07/opm-got-hacked-and-all-i-got-as-a-former-federal-employee-was-a-stupid-e-mail/

en de overheid kan profiteren van de expertise van de gemeenschap
Geloof niet dat die organisatie dat nodig heeft.
Wat zou de werkelijke agenda kunnen zijn?
Publieke netwerken als testlaboratorium?
13-07-2015, 11:02 door Vandy
Interessant; maar eens downloaden en komend weekend wat mee gaan spelen...
13-07-2015, 11:48 door SPlid
HUH, vertrouwen wij software van de NSA , die met security te maken heeft , lijkt me niet erg slim ......
13-07-2015, 12:10 door Anoniem
SPlid : het is open SOURCE, er zal zeker met enige argwaan naar gekeken worden, maar het idee van open source is dat iedereen het kan inspecteren, als er backdoors in zouden zitten dan komen die binnen de korste keren aan het licht, de NSA mag dan een iedereen en z'm moeder bespioneren, dat wil niet zeggen dat ze compleet achterlijk zijn.
13-07-2015, 12:22 door Anoniem
Wie het eerste de backdoor heeft gevonden krijgt een tshirt?
13-07-2015, 12:28 door [Account Verwijderd]
[Verwijderd]
13-07-2015, 12:59 door Anoniem
Door Anoniem: SPlid : het is open SOURCE, er zal zeker met enige argwaan naar gekeken worden, maar het idee van open source is dat iedereen het kan inspecteren, als er backdoors in zouden zitten dan komen die binnen de korste keren aan het licht, de NSA mag dan een iedereen en z'm moeder bespioneren, dat wil niet zeggen dat ze compleet achterlijk zijn.
Dat die backdoor openlijk zichtbaar zou zijn en binnen de kortste keren gevonden zou worden lijkt me nogal naief.
De NSA zet natuurlijk geen backdoor van het type "hard gecodeerde user/pass" in een stuk open source code.
Maar er zijn zat mogelijkheden die je niet zomaar vindt. Zie bijvoorbeeld het beroemde OpenSSL lek.
13-07-2015, 13:03 door Briolet
Door SPlid: HUH, vertrouwen wij software van de NSA , die met security te maken heeft , lijkt me niet erg slim ......

Ik dacht dat iedereen juist beweerde dat open source volledig te vertrouwen is?
13-07-2015, 15:53 door packetguy
Door Briolet:
Door SPlid: HUH, vertrouwen wij software van de NSA , die met security te maken heeft , lijkt me niet erg slim ......

Ik dacht dat iedereen juist beweerde dat open source volledig te vertrouwen is?

Behalve als het van de NSA is.
13-07-2015, 16:44 door SPlid
Door Briolet:
Door SPlid: HUH, vertrouwen wij software van de NSA , die met security te maken heeft , lijkt me niet erg slim ......

Ik dacht dat iedereen juist beweerde dat open source volledig te vertrouwen is?


Nou, ik hoop dat iedereen het gapende gat in openssl zich nog kan herinneren, het feit dat iets opensource is wil niet zeggen dat het geïnspecteerd wordt, of ben ik abuis ?
13-07-2015, 17:51 door Anoniem
Het voelt een beetje als een alarminstallatie gratis krijgen van een inbreker .
Kan een gevoel van wantrouwen niet onderdrukken ^^
13-07-2015, 18:15 door Anoniem
ach. veel mensen gebruiken ook fail2ban...
dus het zal wel meevallen...
13-07-2015, 23:43 door Joep Lunaar - Bijgewerkt: 13-07-2015, 23:45
De NSA is een groot instituut, heel groot en heeft derhalve meerdere gezichten.
In zijn boek Applied Cryptography heeft Bruce Schneier een mooi verhaal opgenomen over de rol die de NSA heeft gespeeld in de totstandkoming van de NIST norm DES.

Toen het NIST in de 70-er jaren een uitnodiging deed voor het indienen van voorstellen, kwam IBM met Lucifer op de proppen. Bij de beoordeling van de voorstellen had de NSA een bijzondere rol. In dit geval adviseerde de NSA dat in de S-boxes die een essentieel onderdeel uitmaken van het Lucifer argoritme, enige kleine (en toendertijd onbegrijpelijke) wijzigingen werden doorgevoerd. Met inbegrip van deze voorgestelde wijziging werd Lucifer DES. In weerwil van het wantrouwen dat deze gang van zaken opriep, bleek in de jaren 90 toen de cryptoanalyse zich rap ontwikkelde, dat de door de NSA voorgestelde wijzigingen precies was wat nodig was om een bepaalde zwakte te pareren. De NSA wist dus onegveer 20 jaar voordat de civiele cryptografie daaraan toekwam al van bepaalde wiskundige eigenschappen, maar bleek achteraf die kennis ten goede en niet ten kwade te hebben aangewend.
14-07-2015, 00:09 door Ron625
Waar ik (bijna) niemand over hoor:
Het is open source, maar vaak laad je een binaire file, niet iedereen kan/wil een file zelf compileren.
De vraag is nu, of de binaire file het product is van de open-source, of dat nog een klein beetje meer mee gecompileerd is.

Het is maar een (kritische) vraag ..........
14-07-2015, 09:42 door PietdeVries - Bijgewerkt: 14-07-2015, 09:46
Door Ron625: Het is open source, maar vaak laad je een binaire file, niet iedereen kan/wil een file zelf compileren.
De vraag is nu, of de binaire file het product is van de open-source, of dat nog een klein beetje meer mee gecompileerd is.

Goed punt. Volgens mij speelde iets soortgelijks bij Truecrypt. Je kan dan de open source code wel helemaal uitgeplozen hebben, maar als je dan nog niet zelf die code compileert (en dus de meegeleverde binairy gebruikt) dan weet je nog niks zeker... En voor de echt paranoïde sysadmins/BOFs is er nog "vertrouw ik mijn compiler wel":

Strange Loops: Ken Thompson and the Self-referencing C Compiler:
For debugging purposes, Thompson put a back-door into “login”. The way he did it was by modifying the C compiler. He took the code pattern for password verification, and embedded it into the C compiler, so that when it saw that pattern, it would actually generate code that accepted either the correct password for the username, or Thompson’s special debugging password.

http://scienceblogs.com/goodmath/2007/04/15/strange-loops-dennis-ritchie-a/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.