Microsoft laat Brazilië broncode op backdoors controleren
Microsoft heeft een speciaal centrum in de Braziliaanse hoofdstad Brasilia geopend zodat de Braziliaanse overheid, alsmede andere landen in de regio, de broncode van de softwaregigant op backdoors en andere risico's kunnen controleren.
Eerder werden soortgelijke centra al in Redmond, Brussel, Beijing en Singapore geopend. Naast het controleren van de code van Microsoftproducten geeft het transparantiecentrum deelnemers ook toegang tot technische informatie over de producten en diensten van de softwaregigant, alsmede informatie over cyberdreigingen, malware, beveiligingslekken en security om zo cybercrime te kunnen bestrijden.
Volgens Microsoft moet het transparantiecentrum voor meer transparantie, controle en privacy zorgen. Het transparantiecentrum laat overheden producten en diensten van Microsoft op veiligheid en betrouwbaarheid controleren, zowel handmatig als via tools, maar het is niet mogelijk om de broncode aan te passen.
te ontwikkelen, of gaan ze Microsoft vertellen over de gevonden zaken en hopen dat ze dan verwijderd worden?
En als ze die kennis niet zelf willen misbruiken, wat als de in dat centrum vergaarde kennis in verkeerde handen vallen?
Op die manier is het aanvallen van Windows straks net zo gemakkelijk als van open source producten...
te ontwikkelen, of gaan ze Microsoft vertellen over de gevonden zaken en hopen dat ze dan verwijderd worden?
En als ze die kennis niet zelf willen misbruiken, wat als de in dat centrum vergaarde kennis in verkeerde handen vallen?
Op die manier is het aanvallen van Windows straks net zo gemakkelijk als van open source producten...
Gezien de hoeveelheid malware en exploits die bestaan voor Microsoft producten is het niet hebben van source bepaald geen hindernis .
Gezien de hoeveelheid malware en exploits die bestaan voor Microsoft producten is het niet hebben van source bepaald geen hindernis .
Hoe kun je dat nou weten? Miscchien vertienvoudigt het aantal exploits wel als er eenmaal sourcecode in omloop is...
Gezien de hoeveelheid malware en exploits die bestaan voor Microsoft producten is het niet hebben van source bepaald geen hindernis .
Hoe kun je dat nou weten? Miscchien vertienvoudigt het aantal exploits wel als er eenmaal sourcecode in omloop is...
B.v. Linux is Open Source en er zijn toch minder exploits voor Linux dan voor Microsoft producten.
B.v. Linux is Open Source en er zijn toch minder exploits voor Linux dan voor Microsoft producten.
Overigens veel overheden en militairen hebben de broncode met alles er om heen mogen inzien van MS. Brazilië is de zoveelste in de reeks. Ik weet niet wat de waarde van broncode review is gezien: https://www.security.nl/posting/489126/Bijna+10_000+regels+code+pEp-privacymachine+gecontroleerd
Met miljoenen regels code en een zo beperkte blik op null-waarden als ontbrekende check waarop gelet wordt. Goede programmatuur heeft een api-interface welke veilig moet zijn. Wat buiten de wereld van de api valt, ... daarvoor gelden andere wetmatigheden.
B.v. Linux is Open Source en er zijn toch minder exploits voor Linux dan voor Microsoft producten.
Overigens veel overheden en militairen hebben de broncode met alles er om heen mogen inzien van MS. Brazilië is de zoveelste in de reeks. Ik weet niet wat de waarde van broncode review is gezien: https://www.security.nl/posting/489126/Bijna+10_000+regels+code+pEp-privacymachine+gecontroleerd
De waarde is er gegarandeerd in het gevoel wat de klant heeft . Microsoft zal dit programma ingericht hebben omdat de (overheids)klanten serieus begonnen te twijfelen over het gebruik van Microsoft producten met als argument het gebrek vertrouwen in onzichtbare code .
Met miljoenen regels code en een zo beperkte blik op null-waarden als ontbrekende check waarop gelet wordt. Goede programmatuur heeft een api-interface welke veilig moet zijn. Wat buiten de wereld van de api valt, ... daarvoor gelden andere wetmatigheden.
Echt serieus auditen van een zo grote code base is vrijwel onmogelijk. Je kunt nog net "botte" backdoors (kaliber Juniper netscreen backdoors) vinden , en enigszins een beeld krijgen van de gemiddelde code kwaliteit . Subtiele bugs, al dan niet bewust geintroduceerd, vind je vrijwel zeker niet.
Verder denk ik dat de meerwaarde zit in het wegnemen van het gevoel van wantrouwen bij de klant, of wellicht het wegnemen van een reden/excuus om geen Microsoft te gebruiken 'we kunnen de source niet inzien' .
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
