Next up AIVD???

Wauw -- is dit *nieuws* ?

Dit product bestaat al een tijdje....

Hmmm, ik heb denk ik liever een lek dan dat ik iets download
van de NSA (National *Spy* Agency)

Ik denk niet dat NSA in jou geintresseerd is...

De NSA is tegenwoordig in iedereen geintresseerd en daar
waar ze de mogelijkheid hebben om gegevens te verzamelen
zullen ze dat niet nalaten.

En Redhat gaat het standaard maken:

Red Hat zal het security model in de volgende versie van Red
Hat Enterprise Linux verbeteren. Zo zal Red Hat Enterprise
Linux 4.0, dat ergens in 2005 zal verschijnen, ondersteuning
voor Security-Enhanced Linux (SE Linux) bevatten. Dit door
het National Security Agency gefinanceerd project, voegt
multi-level security aan het besturingssysteem toe. Linux
bedenker Linus Torvalds liet weten dat veel van de code om
SE Linux aan te zetten, al onderdeel van de recentelijk
verschenen Linux 2.6 kernel is. Het Linux kamp zou actief
bezig zijn om, in het licht van alle security problemen die
Microsoft heeft, huidige en toekomstige versies van Linux zo
veilig mogelijk te maken.

De profileringsdrang van de Verenigde Staten daargelaten, denk ik dat het
wel meevalt, hoor.

Als je echt paranoia bent en de code van No Such Agency niet vertrouwd, kun
je altijd nog de broncode bekijken.

Is dat nodig dan, Linux is toch zo veilig?

Natuurlijk, 40 Mb aan gezipte code doorspitten en alles ook
nog snappen.

Appeltje Eitje lijkt mij...

Het is inderdaad een intersante vraagstelling hoe je kunt garenderen dat
deze selinux; uitgegeven door een contraversionele instantie -waarom
zouden zij hunzelf onnodig moeilijk maken?-; geen wolf in schaapskleren is.
Ik ben goed mogelijk helemaal niet interesant, dat zegt niets over een
dezelfde download die terecht komt bij een bijvoorbeeld terroistencel.

Zoals gezegt is het doorlezen van 40mb gezipte broncode een
ondoendelijke bezigheid. Afgezien van de vraag als iemand daar toch in
slaagt en dus prettig ramgestoord moet zijn, is het altijd mogelijk dat er
overheen word gekeken.

Als ik een achterdeurtje zou willen programmeren, dan zou ik dat zo
modulair opbouwen in zeer kleine onschuldige programmaregeltjes en die
zo verspreid mogelijk her en der verstoppen.

Net zoals een x-aantal onschuldige materialen / chemiecalen toch tot een
wapen of explosieve bom kan worden gevormd.

Waarmee we weer terug komen op de oorspronkelijke vraag: is deze
SElinux, (mede) uitgebracht door de nsa wel of niet een 'wolf een
schaapskleren'?

no harm intended

De patch op de kernel (2.6.0) is maar 1190 regels. Vrij
eenvoudig om uitgebreid te reviewen. Een groot deel van het
oorspronkelijke project is al in de 2.6 kernel
terechtgekomen via het standaard reviewproces.

De userland tools zijn echter wat groter (20Mb gzipte
source). De belangrijkste beveiliging zit hem echter in de
kernel. Dat betekent natuurlijk niet dat er niets in die
source zit dat exploitable zou kunnen zijn.

Het mooie wel is dat je de source hebt en de mogelijkheid
hebt om het te reviewen (of iemand te betalen die dat voor
je doet). Probeer dat maar eens te doen met Windows ;-)
(bring on the flames)

Vergeleken met de NSA is de AIVD een peuterspeelzaal.

Ik heb enige jaren ervaring met NSA en ken de organisatie een beetje. Dat
de NSA iedere burger in de gaten houdt is een mooi thema voor films e.d.
maar niet realistisch. Als thuisgebruiker hoef je echt niet paranoia te
worden. Dat er een achterdeurtje in de software zit is WEL mogelijk en zelfs
zeer waarschijnlijk. Er zijn partijen binnen de VS die dit soort achterdeurtjes
als een must zien en dit simpelweg afdwingen, ik heb hier persoonlijk
ervaring mee. Echter, de NSA is wel de laatste in de rij om dit te eisen, in
tegenstelling tot wat veel mensen denken..

Moraal: IK zou het nooit gebruiken.

Waarom vertel je dit? Vertel eens wat meer in plaats van enkele vaagheden.
Wat voor ervaring? Wie staan er nog meer in de rij?

Ik ken een van de ontwikkelaars persoonlijk (woont volgens mij nog steeds
in Nederland) en hij is zeer security-aware en integer. Ik schat in dat hij niet
zou meewerken aan een project waar hij gedwongen wordt achterdeurtjes
te maken. Hij lijkt mij tevens capabel genoeg om backdoors te spotten in
delen van de code waar hij niet aan meegewerkt heeft.

Russell Coker
Russell Coker has significantly expanded and improved the example policy
configuration. He has also enhanced the run_init and spasswd utilities,
developed a devfsd module for managing devfs file contexts, implemented
improvements to the setfiles program, and extended strace to trace SELinux
system calls