image

Microsoft laat Brazilië broncode op backdoors controleren

donderdag 20 oktober 2016, 10:11 door Redactie, 7 reacties

Microsoft heeft een speciaal centrum in de Braziliaanse hoofdstad Brasilia geopend zodat de Braziliaanse overheid, alsmede andere landen in de regio, de broncode van de softwaregigant op backdoors en andere risico's kunnen controleren.

Eerder werden soortgelijke centra al in Redmond, Brussel, Beijing en Singapore geopend. Naast het controleren van de code van Microsoftproducten geeft het transparantiecentrum deelnemers ook toegang tot technische informatie over de producten en diensten van de softwaregigant, alsmede informatie over cyberdreigingen, malware, beveiligingslekken en security om zo cybercrime te kunnen bestrijden.

Volgens Microsoft moet het transparantiecentrum voor meer transparantie, controle en privacy zorgen. Het transparantiecentrum laat overheden producten en diensten van Microsoft op veiligheid en betrouwbaarheid controleren, zowel handmatig als via tools, maar het is niet mogelijk om de broncode aan te passen.

Reacties (7)
20-10-2016, 10:42 door Anoniem
En wat is hiervan het gevolg? Gaat zo'n land de vergaarde kennis over fouten en backdoors gebruiken om zelf inbreektools
te ontwikkelen, of gaan ze Microsoft vertellen over de gevonden zaken en hopen dat ze dan verwijderd worden?
En als ze die kennis niet zelf willen misbruiken, wat als de in dat centrum vergaarde kennis in verkeerde handen vallen?
Op die manier is het aanvallen van Windows straks net zo gemakkelijk als van open source producten...
20-10-2016, 11:18 door Anoniem
Dat heeft niet veel zin aangezien het product in binary vorm bij de klant aankomt en dan weet je nog steeds niet of de broncode die je in die centra hebt overeenkomt met de binary na compileren.
20-10-2016, 12:09 door Anoniem
Door Anoniem: En wat is hiervan het gevolg? Gaat zo'n land de vergaarde kennis over fouten en backdoors gebruiken om zelf inbreektools
te ontwikkelen, of gaan ze Microsoft vertellen over de gevonden zaken en hopen dat ze dan verwijderd worden?
En als ze die kennis niet zelf willen misbruiken, wat als de in dat centrum vergaarde kennis in verkeerde handen vallen?
Op die manier is het aanvallen van Windows straks net zo gemakkelijk als van open source producten...

Gezien de hoeveelheid malware en exploits die bestaan voor Microsoft producten is het niet hebben van source bepaald geen hindernis .
20-10-2016, 14:17 door Anoniem
Door Anoniem:
Gezien de hoeveelheid malware en exploits die bestaan voor Microsoft producten is het niet hebben van source bepaald geen hindernis .

Hoe kun je dat nou weten? Miscchien vertienvoudigt het aantal exploits wel als er eenmaal sourcecode in omloop is...
20-10-2016, 16:17 door Anoniem
Door Anoniem:
Door Anoniem:
Gezien de hoeveelheid malware en exploits die bestaan voor Microsoft producten is het niet hebben van source bepaald geen hindernis .

Hoe kun je dat nou weten? Miscchien vertienvoudigt het aantal exploits wel als er eenmaal sourcecode in omloop is...

B.v. Linux is Open Source en er zijn toch minder exploits voor Linux dan voor Microsoft producten.
20-10-2016, 20:30 door karma4 - Bijgewerkt: 21-10-2016, 14:48
Door Anoniem:
B.v. Linux is Open Source en er zijn toch minder exploits voor Linux dan voor Microsoft producten.
Met het IOT ook niet nodig met passwords als admin:admin telnet en meer. Met zulke onveilige software hoef je niet naar exploits te grijpen.

Overigens veel overheden en militairen hebben de broncode met alles er om heen mogen inzien van MS. Brazilië is de zoveelste in de reeks. Ik weet niet wat de waarde van broncode review is gezien: https://www.security.nl/posting/489126/Bijna+10_000+regels+code+pEp-privacymachine+gecontroleerd
Met miljoenen regels code en een zo beperkte blik op null-waarden als ontbrekende check waarop gelet wordt. Goede programmatuur heeft een api-interface welke veilig moet zijn. Wat buiten de wereld van de api valt, ... daarvoor gelden andere wetmatigheden.
22-10-2016, 17:10 door Anoniem
Door karma4:
Door Anoniem:
B.v. Linux is Open Source en er zijn toch minder exploits voor Linux dan voor Microsoft producten.
Met het IOT ook niet nodig met passwords als admin:admin telnet en meer. Met zulke onveilige software hoef je niet naar exploits te grijpen.

Overigens veel overheden en militairen hebben de broncode met alles er om heen mogen inzien van MS. Brazilië is de zoveelste in de reeks. Ik weet niet wat de waarde van broncode review is gezien: https://www.security.nl/posting/489126/Bijna+10_000+regels+code+pEp-privacymachine+gecontroleerd

De waarde is er gegarandeerd in het gevoel wat de klant heeft . Microsoft zal dit programma ingericht hebben omdat de (overheids)klanten serieus begonnen te twijfelen over het gebruik van Microsoft producten met als argument het gebrek vertrouwen in onzichtbare code .


Met miljoenen regels code en een zo beperkte blik op null-waarden als ontbrekende check waarop gelet wordt. Goede programmatuur heeft een api-interface welke veilig moet zijn. Wat buiten de wereld van de api valt, ... daarvoor gelden andere wetmatigheden.

Echt serieus auditen van een zo grote code base is vrijwel onmogelijk. Je kunt nog net "botte" backdoors (kaliber Juniper netscreen backdoors) vinden , en enigszins een beeld krijgen van de gemiddelde code kwaliteit . Subtiele bugs, al dan niet bewust geintroduceerd, vind je vrijwel zeker niet.

Verder denk ik dat de meerwaarde zit in het wegnemen van het gevoel van wantrouwen bij de klant, of wellicht het wegnemen van een reden/excuus om geen Microsoft te gebruiken 'we kunnen de source niet inzien' .
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.