Een universitair docent informatica van de Universiteit van Illinois die de NSA-tools analyseerde die deze week op internet verschenen is niet onder de indruk van de kwaliteit, hoewel een derde programma dat werd bekeken op een iets positievere beoordeling kan rekenen.
Ook hekelt Stephen Checkoway de analyse van het Russische anti-virusbedrijf Kaspersky Lab waaruit zou blijken dat de gelekte tools, malware en exploits van de Equation Group zijn. Deze week publiceerde een persoon of groep die zichzelf Shadow Brokers noemt een verzameling van allerlei programma's om systemen, netwerkapparaten en internetverkeer mee aan te vallen. Uit nieuw geopenbaarde documenten van NSA-klokkenluider Edward Snowden blijkt dat deze programma's en malware van de NSA zijn.
Checkoway besloot drie van de gelekte programma's te analyseren. De eerste twee zijn programma's voor het genereren van encryptiesleutels en het doorsturen van communicatie. Hierin trof de universitair docent allerlei fouten, geheugenlekken en andere fouten aan. In zijn korte analyse spreekt hij dan ook van slordige en "buggy" code. "Misschien heb ik naar slechte tools gekeken en zijn de andere allemaal fantatisch, maar ik betwijfel het. Al met al ben ik niet onder de indruk van wat ik hier heb gezien."
Het derde progamma dat op verzoek van de bekende informaticaprofessor Matthew Green werd bekeken, SECONDDATE, is een tool ontworpen om webrequests te onderscheppen en browsers vervolgens naar een NSA-webserver door te sturen. Deze server probeert vervolgens de computer met malware te infecteren. Dit progamma zit volgens Checkoway veel beter in elkaar. Zowel qua kwaliteit van de code als het ontwerp. De functionaliteit van de software heeft de universitair docent echter niet geanalyseerd.
Deze week verscheen ook een analyse van Kaspersky Lab waaruit zou blijken dat de gelekte data door Shadow Brokers zo goed als zeker van de Equation Group is, de spionagegroep die vorig jaar de Russische virusbestrijder werd ontdekt. Kaspersky baseert zich op de manier waarop de spionagegroep twee encryptie-algoritmes heeft geïmplementeerd. De Equation Group maakt namelijk uitgebreid gebruik van de RC5- en RC6-encryptie-algoritmes.
Daarbij zou het gebruik van een bepaalde constante duidelijk maken dat er een link is tussen de Equation Group en het datalek. Volgens Checkoway kan de conclusie van Kaspersky Lab best kloppen, maar geldt dat niet voor hun analyse. De compiler waarmee de code wordt gecompileerd zou namelijk voor de constante verantwoordelijk zijn. Ook het gebruikte platform kan hiervan op invloed zijn. Alleen op basis hiervan kan de link dan ook niet worden bevestigd, zo stelt hij.
Deze posting is gelocked. Reageren is niet meer mogelijk.