Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Windows Source Code opnieuw gelekt

24-06-2017, 05:32 door Anoniem, 17 reacties
According to an exclusive report via The Register, "a massive trove of Microsoft's internal Windows operating system builds and chunks of its core source code have leaked online." From the report:
The data -- some 32TB of installation images and software blueprints that compress down to 8TB -- were uploaded to betaarchive.com, the latest load of files provided just earlier this week. It is believed the data has been exfiltrated from Microsoft's in-house systems since around March. The leaked code is Microsoft's Shared Source Kit: according to people who have seen its contents, it includes the source to the base Windows 10 hardware drivers plus Redmond's PnP code, its USB and Wi-Fi stacks, its storage drivers, and ARM-specific OneCore kernel code. Anyone who has this information can scour it for security vulnerabilities, which could be exploited to hack Windows systems worldwide. The code runs at the heart of the operating system, at some of its most trusted levels. In addition to this, hundreds of top-secret builds of Windows 10 and Windows Server 2016, none of which have been released to the public, have been leaked along with copies of officially released versions.
https://tech.slashdot.org/story/17/06/23/2126239/32tb-of-windows-10-internal-builds-core-source-code-leak-online

Karma is een bitch die miljarden kost. Microsoft heeft nu in iedergeval wel gratis Source Code debuggers. De leak wordt als groter omschreven dan de Windows 2000 leak in 2004.
Reacties (17)
24-06-2017, 12:37 door Anoniem
Zou geen probleem moeten zijn.
Linux versies "lekken" toch ook on-line? (is toch opensource)
24-06-2017, 15:46 door Anoniem
Door Anoniem: Zou geen probleem moeten zijn.
Linux versies "lekken" toch ook on-line? (is toch opensource)
Je snapt het niet hé?
Windows is nog nóóit eerder open source geweest en dat is nu net het probleem. Als het ineens open source wordt, dan kunnen hackers meteen van alle lekken misbruik maken.

Bij linux is het sinds het begin al open source en dat maakt het een stuk moeilijker dat een hacker nog een lek kan vinden omdat sinds het begin de gevonden lekken zijn gevonden en ondertussen al lang gefixt zijn. Hoe meer lekken er zijn gefixt, hoe minder de kans dat een hacker misbruik kan maken.

Windows 7/8/10 mag nooit meer open source worden, want iedereen gebruikt het nu toch al..., het zou een gift zijn voor alle hackers van de wereld die de hele source in hun macht hebben.

Microsoft zou een nieuwe source moeten ontwikkelen en deze meteen open source moeten uitbrengen. Maar dat kan nog jaren duren of zelfs nooit.
24-06-2017, 17:26 door Anoniem
Hier is het officieel topic, dit kwam onverwacht binnen op vrijdag 23 Juni 2017
https://www.security.nl/posting/520874/Deel+broncode+Windows+10+zou+op+internet+zijn+gelekt
24-06-2017, 18:28 door karma4 - Bijgewerkt: 24-06-2017, 18:29
Door Anoniem:
Door Anoniem: Zou geen probleem moeten zijn.
Linux versies "lekken" toch ook on-line? (is toch opensource)
Je snapt het niet hé?
Windows is nog nóóit eerder open source geweest en dat is nu net het probleem. Als het ineens open source wordt, dan kunnen hackers meteen van alle lekken misbruik maken.

Bij linux is het sinds het begin al open source en dat maakt het een stuk moeilijker dat een hacker nog een lek kan vinden omdat sinds het begin de gevonden lekken zijn gevonden en ondertussen al lang gefixt zijn. Hoe meer lekken er zijn gefixt, hoe minder de kans dat een hacker misbruik kan maken.
....
Vertel het even aan E Dijjkstra als dat zou kunnen die heeft jouw veronderstelling nooit geloofd:.Jouw aanname: Omdat iets open source is dat het dan vanzelf wel goed zal zitten. Dat er geen ernstige fouten neer in zitten.

Secùrity informatieveiligheid is een continu iets waar je nooit van kan zeggen dat het af is.
Jouw stelling aanname leidt tot de ondergraving daarvan. Voorbeekd: Hard coded bekende eenvoudige passwords in iot Heel veilig want het is toch open source Linux.
Dat is naast de complexiteit door de onmenselijke hoeveelheid code en slechte sponsoring bij sommige projecten
24-06-2017, 18:29 door Anoniem
informatie wilt vrij zijn. het is moelijker iets geheim en gesloten te houden dan open en transparant. daarnaast kent iedereen wel de valse gedachten "security by obscurity". het was dus een kwestie van tijd dat het zou gaan gebeuren en ik lach me suf nu ook helemaal suf omdat nu heel veel closed source fanatici hun TEGEN argumenten net zo toepasselijk zijn op windows. c-ja
24-06-2017, 21:12 door [Account Verwijderd]
[Verwijderd]
25-06-2017, 00:55 door Anoniem
Door Anoniem:
Door Anoniem: Zou geen probleem moeten zijn.
Linux versies "lekken" toch ook on-line? (is toch opensource)
Je snapt het niet hé?...................
Nee, je "hapt" te snel. Of misschien een te moeilijke doordenker voor jou.
Ik schreef niet "is geen probleem" maar "zou geen probleem moeten zijn". Dat is een wereld van verschil.
M.a.w.: het uitlekken van die MS-code zou geen probleem moeten zijn, maar is dat blijkbaar wel.
Nu aan jou de vraag hoe dit komt. Dan komen we ergens. ;>)
25-06-2017, 08:54 door karma4
Door Neb Poorten: ....
Alle software bevat fouten, echter waar Anoniem het over heeft en wat jij niet begrijpt is het proces waarmee Open Source Software voor meer veiligheid zorgt. Omdat de source door iedereen bekeken kan worden gebeurt dat ook, vanaf het begin, wat leidt tot vroegtijdig onderkennen en oplossen van problemen. Gedurende de jaren dat een product open source is zal dit gebeuren en op die manier het product geleidelijk verbeteren.. ....
Dat is nu net de onzin waar het mis gaat. Dat geloof is nergens op gebaseerd en blijkt keer op keer fout te zijn.

Projecten worden verlaten, code begrijpt men niet meer maar wel de snel fix doorvoeren voor wat extra-sen vervolgens gat het steeds verder mis. Dat is wat de oude visionairs begrepen als echte oorzaak.
Dat geloof in idereen zal het lunnen en gaan verbeteren is fnuikend want het dood elk eigen verantwoordelijkheid.
Mijn voorbeeld van die hard coded paaswords vind joj geen linux probleem. Waar is de standaard oplossing die dat voorkomt overbidug maakt wasr blijft de fix daarvoor.
En zie war er gebeurt het is linux verkopen we als veilig zet die pasword er maar zo in. Iedereen doet dat zo....
25-06-2017, 09:30 door [Account Verwijderd] - Bijgewerkt: 25-06-2017, 11:55
[Verwijderd]
25-06-2017, 10:11 door Anoniem
Uit https://guidovranken.wordpress.com/2017/06/21/the-openvpn-post-audit-bug-bonanza/ (bron: https://www.security.nl/posting/520432/Onderzoeker+ontdekt+OpenVPN-lekken+na+eerdere+audits):
21 junie 2017, door Guido Vrancken: [...]
doing a code audit to find memory vulnerabilities in a C program is a little like asking car wash employees to clean your car with a makeup brush.
[...]
dus ja, dat is extreem lastig. Echter, onder het kopje "How I fuzzed OpenVPN" kun je lezen dat het bezit van de source code hem in staat stelde wijzigingen in die source code door te voeren (en te compileren) om het te testen onderdeel optimaal te kunnen fuzzen waardoor je niet eindeloos naar een speld in een hooiberg zoekt.

Reken maar dat dat de gelekte recente Windows source code tot veel, via fuzzing, gevonden lekken zal gaan leiden!

Het kan m.i. dan ook niet anders dan dat fuzzing onderdeel moet gaan uitmaken van het reguliere testproces (iets wat nu nog zelden gebeurt), om te voorkomen dat derden fouten in jouw code vinden en jou vervolgens aansprakelijk stellen. Dit geldt zowel voor ontwikkelaars van open als closed source, want zoals we in geval weer eens zien is "closed" nooit perfect.
25-06-2017, 12:19 door Anoniem
Door Neb Poorten: Omdat de source door iedereen bekeken kan worden gebeurt dat ook, vanaf het begin, wat leidt tot vroegtijdig onderkennen en oplossen van problemen. Gedurende de jaren dat een product open source is zal dit gebeuren en op die manier het product geleidelijk verbeteren.
Door karma4: Dat is nu net de onzin waar het mis gaat. Dat geloof is nergens op gebaseerd en blijkt keer op keer fout te zijn.
De waarheid ligt in het midden. Er zijn opensourceprojecten waar fouten jarenlang in hebben gezeten zonder ontdekt te worden, mede omdat niemand de moeite deed ernaar te kijken. Maar dat betekent niet dat het andere uiterste dan meteen waar is. Het overkomt opensource-projecten wel degelijk dat ze uitgewerkte bugfixes ontvangen of aanpassingen die de performance aanzienlijk verbeteren voor dingen waarvan ze zelf geen idee hadden dat er iets mis mee was.

Per saldo betekent het denk ik dat het voordeel ten opzichte van closed source dat Neb Poorten ziet wel degelijk bestaat, maar dat het niet zo zeker is dat het ook optreedt als hij denkt. En karma4 heeft ongelijk dat het geloof nergens op gebaseerd is, die basis is er wel degelijk, hij vormt alleen geen garantie. Beide uitersten zijn een slechte karikatuur van de werkelijkheid.

Wat ik zelf een van de meest sprekende voordelen van open source vind is de mogelijkheid om een 'fork' te maken als het originele project ontspoort. Van GCC is ooit een fork gemaakt die door in ieder geval enkele Linux-distro's is omarmd en die later weer met de originele tak is samengevoegd. Toen de projectleiding van xfree86 een kant opging die veel ontwikkelaars en gebruikers niet zagen zitten heeft iemand x.org afgesplitst, en dat is nu de X-windows-implementatie die overal wordt gebruikt. OpenOffice/LibreOffice is ook een voorbeeld, en de Devuan-afsplitsing van Debian door mensen die systemd niet zien zitten (al betwijfel ik of die veel massa zal krijgen) en er zijn er meer. Als een closed source-leverancier er een zooitje van maakt (wat zeker voorkomt) dan kan dat niet op deze manier opgelost worden.

De oorsprong van dat idee dat code uitgebreid bekeken wordt lijkt de kreet "Given enough eyeballs, all bugs are shallow" te zijn. Die is afkomstig uit "The Cathedral and the Bazaar" van Eric Raymond. Dat schreef hij echter alleen maar als een minder formele variant op: "Given a large enough beta-tester and co-developer base, almost every problem will be characterized quickly and the fix obvious to someone." En dat was weer zijn weergave van hoe Linus Torvalds destijds over het organiseren van de ontwikkeling van Linux leek te denken. Hij wist veel ontwikkelaars en testers te mobiliseren en het voordeel daarvan is dat degene die goed snapt hoe een probleem opgelost kan worden helemaal niet degene hoeft te zijn die het probleem ontdekt heeft. Het helpt daarom om veel betrokkenen te hebben. Die kreet ging dus helemaal niet over de beschikbaarheid van broncode voor iedereen (al hebben veel mensen het wel zo geïnterpreteerd), hij ging erover dat veel actieve betrokkenen de kwaliteit helpen verhogen.

Dit is het hoofdstukje uit "The Cathedral and the Bazaar" waar het in staat:
http://www.catb.org/~esr/writings/cathedral-bazaar/cathedral-bazaar/ar01s04.html
25-06-2017, 12:52 door Anoniem
Ja maar er zijn duidelijk belangen, die er voor gaan zorgen dat dit niet zal gebeuren.

Waarom ging NSA code toevoegen aan Google Android propriety software, zeg maar vanaf Galaxy 4?
Eerst nog wel optioneel en niet als default, maar toch het is te activeren.
Hoe het voor Microsoft zit, weten we niet, vermoeden we echter wel.

Waarom zijn zakenlui benauwd om hun smartfone te gebruiken met het oog op bedrijfsspionage vanuit de States?

Waarom kan iemand met inzage in Microsoft source code jarenlang niet meer werken binnen de IT?

Waarom worden developers opgeleid, zoals ze worden opgeleid en niet met beveiliging als eerste prioriteit?

Waarom is nu in deze discussie al wel heel duidelijk gemaakt, dat het het domme klikvee niet zal deren in de uitwerking of vanwege de gevolgen juist wel, maar ook een grote laag daarboven geen weet heeft van alles van de werkelijke beveiligingssituatie, namelijk "holed by design and kept that way".

Waarom moet je als je wat doet in de beveiligingswereld, schriftelijk afstand doen van al je rechten, aangeven exact wat voor devices je gebruikt en aangeven op welke forums je actief bent.?

Wat denk je maakt je exclusief? Wel geheimhouding, maar ook de wil om te leren, te leren om te doen en daarna te slagen.

Hoe krijgen we de infrastructuur zo nog wat veiliger? Ik zou het nu echt niet meer weten en velen met mij, geloof ik.

Er zal op termijn hierdoor wel weer heel wat malware op ons allen afkomen, als de broncode al geen "malware by design" was vanaf het begin.

Wie willen er een ander systeem?
25-06-2017, 15:04 door karma4 - Bijgewerkt: 25-06-2017, 15:07
Twee goede reactie Anoniem 12:52 en 12:19.

Hoe we de infrastructuur veiliger kunnen krijgen?
Ik geloof noch de commerciëlen noch de open source is alles.
Bij beiden wordt er te veel van behoorlijke security doelen.gemist.

Dus eerst de problemen erkennen en dan gezamenlijk (meerdere competenties achtergronden) zien op te lossen.
Gescheiden rollen meerdere accounts per persoon naar risico groep het zou een eerste stap kunnen zijn.

De opmerking dat als een closed source leverancier er een zooitje van maakt er geen alternatieven zijn lijkt me onjuist. Neem closed source dbms systemen een erp of een his. Je hebt alternatieven. Helaaszijn de migraties can data en processen nogal kostbaar.
25-06-2017, 23:25 door Anoniem
Ja maar dan moet je de mensen, die het moeten gaan doen er ook ter dege voor opleiden.

Niet security iets exclusiefs maken, waarbi menj als afsluitende reactie na het slagen steevast benaderd wordt door een of andere veiligheidsdienst.

We zullen het dus breder aan moeten pakken en ik zie dat nog niet bij bijvoorbeeld bij software developers in opleiding. Alleen technische IT komt enigszins beslagen ten ijs.

Ik zie de beveiliging nog te veel als lastige exclusiviteit met veel Security Through Obscurity en vaak veel snake oil toegegoten uit onmacht.

Men moet ook bepaalde basale veiligheid gaan eisen. CMS met oude versies, oude of verlaten code draaien, etc.
website down halen tot de problemen zijn opgelost.

Gaan werken met veiligheidslicenties. Geen licentie of onvoldoende veiligheid, neerhalen die handel en dan is de onveiligheid voor alle eventuele bezoekers van zo iets onveiligs ook gelijk opgeheven.

Misschien een" three strikes out" oplossing. Het zal ze leren en ze oplettend te houden, de lamlendigheid en gemakzucht weren en een voorbeeld zijn voor navolgers. maar eerst opleiden, inhaalslag maken.
27-06-2017, 09:34 door [Account Verwijderd] - Bijgewerkt: 27-06-2017, 09:35
[Verwijderd]
27-06-2017, 11:17 door karma4
Bedrijven organisaties willen zich niet met coderen bezig houden. Dat was in de jaren 80 uit noodzaak wat anders.
Het liefst koopt men een compleet standaard systeem in en laat een dienstverlener de implementatie doen.

Een dbms was het eerste wat men inkocht inclusief support.

ERP dan wordt het SAP of Salesforce of iets van Oracle.
Voor de ziekenhuizen zien we nog minder dan een handvol leveranciers voor een his systeem.

Het enige wat nog interessant is zijn de integraties van de basis systemen en de bi dash boards big data omgevingen omdat men dat het onderscheidend iets zoekt.
Dan is er een grote uitdaging voor een correcte configuratie. Het is al duur (dwh) en als je daar een goede secùrity vraagt wordt het ineens ns heel lastig.

Het open of gesloten souce zijn is niet echt relevant.
Het zijn heel andere vraagstukken waar het echt rammelt.
27-06-2017, 11:30 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.