Linux gevoelig voor infiltratie door spionnen
De Linux broncode zou door dubieuze elementen, zoals spionnen, geinfiltreerd kunnen worden, aldus een rapport van Dan O'Dowd, CEO van Green Hills Software. Het is het tweede rapport van O'Dowd, waarin hij het gevaar van het gebruik van Linux in het Amerikaanse verdedigingssysteem beschrijft. In het rapport bestrijdt hij de drogreden dat toegang tot de broncode ervoor zorgt dat Linux vrijblijft van Trojaanse paarden en andere kwaadaardige software. Volgens O'Dowd weten buitenlandse inlichtingendiensten en terroristische groeperingen dat Amerika van Linux gebruik zal maken. Die partijen zullen dan ook waarschijnlijk spionnen gebruiken om Linux te infiltreren. Aangezien veel van de Linux ontwikkelaars zich in Rusland, China en andere landen bevinden waar Amerika nooit verdedigings software van zou aanschaffen, is het risico zeer accuut, zo gaat O'Dowd in dit artikel verder.
Reacties (16)
altijd maar weer die terroristische groeperingen.
het zou verboooden moeten worden!
(net alsof een programmeur niet zou kunnen infiltreren bij een closed-source
softwarefabrikant)
het zou verboooden moeten worden!
(net alsof een programmeur niet zou kunnen infiltreren bij een closed-source
softwarefabrikant)
Dit is echt weer heerlijk stemming maken natuurlijk.
Je kan net zo makkelijk stellen dat het juist heel moeilijk is om bij Linux een
backdoor in te planten omdat zoveel mensen de code reviewen en er
toegang toe hebben.
Juist bij MS is het makkelijk infiltreren als werknemer en raad eens hoe hard
ze daar zoeken naar backdoors/veiligheidslekken in de code.......
Benieuwd door wie dit onderzoek betaald wordt!
Je kan net zo makkelijk stellen dat het juist heel moeilijk is om bij Linux een
backdoor in te planten omdat zoveel mensen de code reviewen en er
toegang toe hebben.
Juist bij MS is het makkelijk infiltreren als werknemer en raad eens hoe hard
ze daar zoeken naar backdoors/veiligheidslekken in de code.......
Benieuwd door wie dit onderzoek betaald wordt!
die studie is betaald door mickeysoft zeker ?
Trouwens fbi gebruikt toch al lang linux systemen. NSA heeft
toch een eigen linux gebouwd
Trouwens fbi gebruikt toch al lang linux systemen. NSA heeft
toch een eigen linux gebouwd
Pfffff
Then, just as he did last week, O'Dowd contrasts the vulnerability (as he
sees it) of Linux, with the designed-in security of his own company's
products - 12 years old, his company specializes in real-time operating
systems and software development tools for 32- and 64-bit embedded
systems.
"Many people," he declares, "believe that it is impossible for any operating
system to have no known bugs in security-critical code, implying that no
operating system is really secure. But that is not true. There are no
outstanding bugs in our DO-178B Level A certified INTEGRITY-178B real-
time operating system. This is the true reliability and security that our national
defense systems need."Misschien komt dit omdat bijna niemand dit OS kent? Laat staan dat er aktief
naar bug worden gezocht. Shameless plug voor z'n eigen product.
"Hundreds of bugs that attackers can exploit to penetrate Linux
security are identified every year.
Excuse me? Honderden bugs? Overdrijven is ook een vak geloof ik.security are identified every year.
Many of these critical security bugs have been in the code for years
without being detected by the 'many eyes' looking at the source code. How
can anyone believe that the open source process can eradicate all of the
cleverly hidden intentional bugs put in by foreign intelligence agents and
terrorists when the process can't find thousands of unintentional bugs left
lying around in the source code?"
Ok. Hier heeft'ie een goed punt.without being detected by the 'many eyes' looking at the source code. How
can anyone believe that the open source process can eradicate all of the
cleverly hidden intentional bugs put in by foreign intelligence agents and
terrorists when the process can't find thousands of unintentional bugs left
lying around in the source code?"
Then, just as he did last week, O'Dowd contrasts the vulnerability (as he
sees it) of Linux, with the designed-in security of his own company's
products - 12 years old, his company specializes in real-time operating
systems and software development tools for 32- and 64-bit embedded
systems.
"Many people," he declares, "believe that it is impossible for any operating
system to have no known bugs in security-critical code, implying that no
operating system is really secure. But that is not true. There are no
outstanding bugs in our DO-178B Level A certified INTEGRITY-178B real-
time operating system. This is the true reliability and security that our national
defense systems need."
naar bug worden gezocht. Shameless plug voor z'n eigen product.
Door Anoniem
Many of these critical security bugs have been in the code for years
without being detected by the 'many eyes' looking at the source code. How
can anyone believe that the open source process can eradicate all of the
cleverly hidden intentional bugs put in by foreign intelligence agents and
terrorists when the process can't find thousands of unintentional bugs left
lying around in the source code?"
Ok. Hier heeft'ie een goed punt.without being detected by the 'many eyes' looking at the source code. How
can anyone believe that the open source process can eradicate all of the
cleverly hidden intentional bugs put in by foreign intelligence agents and
terrorists when the process can't find thousands of unintentional bugs left
lying around in the source code?"
Het is altijd het man->machine probleem. Je kunt naar code kijken, maar niet
altijd zien dat het een bug is. Dat is maar net hoe een systeem op die code
reageert. Ik vind zelf dat een bug iets is waardoor een systeem niet goed
functioneerd. Dat is wat anders dan een fout die een vulnerability mogelijk
maakt.
Als men undercover mensen zou toelaten (zonder het te weten) in het project,
dan zou hun code altijd nagekeken worden door derden. Je weet dan welk
deel is veranderd (een diff verteld erg veel.....) en gaat dat testen of het
inderdaad de functionaliteit of prestaties verbeterd. Is dat niet zo, dan wordt
de patch niet doorgevoerd in de update.
De terroristen zouden wel heel erg goed moeten programmeren willen ze
express exploits er in bakken zonder op te vallen. Ze moeten namelijk kennis
hebben van geheugenlekken enz. Dingen die bij kritieke software wel
degelijk wordt nagekeken. Waarom zouden terroristen meer weten dan de
programmeurs van het software pakket zelf?
En inderdaad, dit zou dus ook bij closed source kunnen gebeuren.
Sterker nog, als de defensie van Amerika overstapt op de software van deze
man, dan kan een terrorist toch ook bij hem infiltreren? En als hij dan
verklaart dat hij die bugs er wel tussen zou kunnen onderscheiden, waarom
zou een ander project dat dan weer niet kunnen?
Al met al, grote reclame voor zijn eigen software i.p.v. mee te helpen hoe hij
zijn software zo veilig krijgt naar eigen zeggen. Daar varen we immers
allemaal bij en niet alleen het defensiesysteem van Amerika.
- Unomi -
weten we de hack nog in een cvs tree van een *nix distrubtion waar me de
naam even van is ontschoten?
uiterst onopvallend code voor een exploit toegevoegd, en dezelfde dag kwam
de opensource community er al achter.
kortom het verhaal van die knakker klopt niet echt, en is dus vooral een pr
verhaaltje overgoten met wat terrorisme-hype en geplug van z'n eigen
productje.
Dr.NO
naam even van is ontschoten?
uiterst onopvallend code voor een exploit toegevoegd, en dezelfde dag kwam
de opensource community er al achter.
kortom het verhaal van die knakker klopt niet echt, en is dus vooral een pr
verhaaltje overgoten met wat terrorisme-hype en geplug van z'n eigen
productje.
Dr.NO
Closed source software wordt zeker ook alleen maar door
amerikanen geschreven. Zou wel eens willen weten hoeveel
"buitenlanders/allochtonen" er bij grote bedrijven als
sun/microsoft/ect werken.
amerikanen geschreven. Zou wel eens willen weten hoeveel
"buitenlanders/allochtonen" er bij grote bedrijven als
sun/microsoft/ect werken.
weer zo'n b*llsh*t artiekel over security ... secuirty gaat
om risico reductie niet om hypotetische 'onzin' zoals deze
om risico reductie niet om hypotetische 'onzin' zoals deze
Hij maakt een paar goede en een hoop slechte punten - maar
daarnaast: 'Green Hills Software'? Met hun uebersecure
real-time OS 'INTEGRITY-178B'? Nooit van gehoord.
Volgens mij is het gewoon een publiciteitsstunt, en
rekent-ie erop dat door wat domme dingen te zeggen over
linux een hoop geeks in de pen zullen klimmen om alles te
'rectificeren'. Een redelijk stuk zou natuurlijk lang zoveel
aandacht niet trekken.
En het werkt nog ook. :S.
daarnaast: 'Green Hills Software'? Met hun uebersecure
real-time OS 'INTEGRITY-178B'? Nooit van gehoord.
Volgens mij is het gewoon een publiciteitsstunt, en
rekent-ie erop dat door wat domme dingen te zeggen over
linux een hoop geeks in de pen zullen klimmen om alles te
'rectificeren'. Een redelijk stuk zou natuurlijk lang zoveel
aandacht niet trekken.
En het werkt nog ook. :S.
Sterker nog, als de defensie van Amerika overstapt op
de software van deze
man, dan kan een terrorist toch ook bij hem infiltreren? En
als hij dan
verklaart dat hij die bugs er wel tussen zou kunnen
onderscheiden, waarom
zou een ander project dat dan weer niet kunnen?
Waarschijnlijk omdat het een real-time operating systemde software van deze
man, dan kan een terrorist toch ook bij hem infiltreren? En
als hij dan
verklaart dat hij die bugs er wel tussen zou kunnen
onderscheiden, waarom
zou een ander project dat dan weer niet kunnen?
betreft, dit houdt dus in dat de kernel eigenlijk heel
weinig doet. Alle functionaliteit zit dan in de applicatie
die daarop draait. Echter, als hier een fout in zit dan
lijkt mij deze zowieso direct heel ernstig, terwijl je met
multitasking OS'en dit probleem kan opvangen. (user
afscherming en dergelijke)
Bovendien is mij nog geen security probleem bekend in de
kernel dat remote ge-exploit kan worden. Op crashes na dan,
maar met goede firewalling heb je daar geen last van.
Indien ik iets verkeerd begrepen heb, svp corrigeren. :)
Door Anoniem
Bovendien is mij nog geen security probleem bekend in de
kernel dat remote ge-exploit kan worden. Op crashes na dan,
maar met goede firewalling heb je daar geen last van.
Bovendien is mij nog geen security probleem bekend in de
kernel dat remote ge-exploit kan worden. Op crashes na dan,
maar met goede firewalling heb je daar geen last van.
Buiten dat..... Wie zegt dat het een OS betreft waarbij netwerk verkeer mogelijk
is? Als het OS gewoon embedded gebruikt wordt, zonder toegang van
buitenaf en al helemaal niet globaal remote (wat al een security breach zou
zijn), dan is er toch niets aan de hand? Dan moet je echt direct manueel
toegang hebben tot het apparaat. In de stelling van de man is dat dus in een
tank of in een controlekamer van een lanceerstelling.
In het vergelijkingsmateriaal gaat men veelal uit van standaard Linux. Terwijl
dat ronduit nooit kan bij zulke apparatuur. Daar draait het allemaal om de
schaalbaarheid van embedded Linux en is dus niet standaard. Dit verkleint
de kans op exploits (volgens kansberekeningen).
- Unomi -
Laat die maffe patrioten van Amerikanen lekker in de lucht
praten. Elke keer is het hetzelfde: alleen als het volledig
Amerikaans is is het goed voor het land en de eigen
bevolking. Als het anders niet Amerikaans is wordt het op
alle mogelijke manieren aangevallen met een eenzijdige blik.
En sinds 2001 hebben ze nog een stok gevonden om mee te
slaan en het eigen land en producten te verheerlijken. Heel
gevaarlijk om achter deze gasten aan te lopen.
praten. Elke keer is het hetzelfde: alleen als het volledig
Amerikaans is is het goed voor het land en de eigen
bevolking. Als het anders niet Amerikaans is wordt het op
alle mogelijke manieren aangevallen met een eenzijdige blik.
En sinds 2001 hebben ze nog een stok gevonden om mee te
slaan en het eigen land en producten te verheerlijken. Heel
gevaarlijk om achter deze gasten aan te lopen.
Mijn reactie is slechts een kort citaat van - inderdaad ! - een heel intelligente
Amerikaanse meneer die daar enkele eeuwen geleden leefde.
Maar _wel_ eentje die werkelijk kon nadenken, de vrijheid lief had _EN_
volstrekt onkreukbaar was, een eigenschap die in dat (en andere) land(en) met
de dag zeldzamer schijnt te worden...
HIj was ook de uitvinder van o.a. de bliksemafleider en van mening dat politici
er zijn om de omstandigheden van _alle_ burgers te verbeteren.
Een hele goeie man dus - die als hij in onze tijd had geleefd ongetwijfeld een
groot voorstander van Open Source zou zijn geweest !
Het citaat:
"They that can give up essential liberty to obtain a little temporary safety
deserve neither liberty nor safety."
Benjamin Franklin.
Voor de niet-Engelstalige :
"Zij die bereid zijn onmisbare vrijheden op te geven voor een klein beetje
tijdelijke veiligheid verdienen geen vrijheid en ook geen veiligheid".
Jammer, dat sedert de invoering van de "Patriot Act" (dat is een soort van
"anti-terrorisme wet) vooral de vrijheid, privacy en veiligheid van mormale,
hardwerkende en heel fatsoenlijke Amerikaanse (en van andere nationaliteiten)
burgers er aan geloven moet.
Het is dan ook de vraag of wij, met firma's als M$ en instanties als de regering
Bu$h nog wel _echte_ terroristen nodig hebben ?
Is het huidige Amerikaanse regime nog niet erg genoeg ??
Daarom, gebruik _geen_ in Amerika vervaardigde software, geef niet al Uw
prive info aan (een firma in) dat land en ga er in geen geval naar toe.
Mijn mening: De absoluut allerergste vorm van terrorisme is staats-terrorisme.
Amerikaanse meneer die daar enkele eeuwen geleden leefde.
Maar _wel_ eentje die werkelijk kon nadenken, de vrijheid lief had _EN_
volstrekt onkreukbaar was, een eigenschap die in dat (en andere) land(en) met
de dag zeldzamer schijnt te worden...
HIj was ook de uitvinder van o.a. de bliksemafleider en van mening dat politici
er zijn om de omstandigheden van _alle_ burgers te verbeteren.
Een hele goeie man dus - die als hij in onze tijd had geleefd ongetwijfeld een
groot voorstander van Open Source zou zijn geweest !
Het citaat:
"They that can give up essential liberty to obtain a little temporary safety
deserve neither liberty nor safety."
Benjamin Franklin.
Voor de niet-Engelstalige :
"Zij die bereid zijn onmisbare vrijheden op te geven voor een klein beetje
tijdelijke veiligheid verdienen geen vrijheid en ook geen veiligheid".
Jammer, dat sedert de invoering van de "Patriot Act" (dat is een soort van
"anti-terrorisme wet) vooral de vrijheid, privacy en veiligheid van mormale,
hardwerkende en heel fatsoenlijke Amerikaanse (en van andere nationaliteiten)
burgers er aan geloven moet.
Het is dan ook de vraag of wij, met firma's als M$ en instanties als de regering
Bu$h nog wel _echte_ terroristen nodig hebben ?
Is het huidige Amerikaanse regime nog niet erg genoeg ??
Daarom, gebruik _geen_ in Amerika vervaardigde software, geef niet al Uw
prive info aan (een firma in) dat land en ga er in geen geval naar toe.
Mijn mening: De absoluut allerergste vorm van terrorisme is staats-terrorisme.
Het is sowieso nooit verstandig om een publiekelijk
beschikbaar OS te nemen voor defensie.
Ik ben erg voorstander van linux, maar om het te gebruiken
voor defensiesystemen lijkt me niet juist.
Het beste is om een door defensie zelf ontwikkeld gesloten,
niet uitwisselbaar OS te nemen om de dingen te besturen, of
in ieder geval een op zo'n manier veranderd OS, dat er qua
source code niets meer in terug te vinden is van het
originele OS.
Sowieso voldoet de standaard x86 niet aan de normen voor EMP
aanvallen. (de cpu is niet multilayered afgeschermd en heeft
geen redundante paden)
beschikbaar OS te nemen voor defensie.
Ik ben erg voorstander van linux, maar om het te gebruiken
voor defensiesystemen lijkt me niet juist.
Het beste is om een door defensie zelf ontwikkeld gesloten,
niet uitwisselbaar OS te nemen om de dingen te besturen, of
in ieder geval een op zo'n manier veranderd OS, dat er qua
source code niets meer in terug te vinden is van het
originele OS.
Sowieso voldoet de standaard x86 niet aan de normen voor EMP
aanvallen. (de cpu is niet multilayered afgeschermd en heeft
geen redundante paden)
Weg met Linux en maak ruimte voor Windows!
</sarcasme>
Voordat we oeverloos verder gaan discuzeuren; zegt LSASS.EXE
jullie iets?
Honderden bugs.. Ja in de Open Source wereld als je alle
belangrijke pakketten bij elkaar optelt. Let wel dat een bug
in phpNuke iemand anders' zijn Linux installatie ongemoeid
laat, terwijl MICROSOFT WINDOWS bugs zo verdomd stom
verweven zitten met het OS dat een klein foutje je hele OS
plat legt.
*DAAR* zit een groot verschil in interpretatie; men luistert
naar ``Een bug in phpNuke.'', maar hoort ``Een bug in Linux''.
Als er een bug zit in M$ software weetje niet wat de
gevolgen het heeft. Hier zijn ze een stuk overzichtelijker.
Voorts; valt het jullie ook op, dat de rebel van vroeger
inmiddels 'activist' is geworden, en `open-source activist'
langzaam 'terrorist' begint te worden?
Bah. We moeten Balkie's arm uit die reet van Bush halen denk
ik dit gaat de verkeerde kant op.
</sarcasme>
Voordat we oeverloos verder gaan discuzeuren; zegt LSASS.EXE
jullie iets?
Honderden bugs.. Ja in de Open Source wereld als je alle
belangrijke pakketten bij elkaar optelt. Let wel dat een bug
in phpNuke iemand anders' zijn Linux installatie ongemoeid
laat, terwijl MICROSOFT WINDOWS bugs zo verdomd stom
verweven zitten met het OS dat een klein foutje je hele OS
plat legt.
*DAAR* zit een groot verschil in interpretatie; men luistert
naar ``Een bug in phpNuke.'', maar hoort ``Een bug in Linux''.
Als er een bug zit in M$ software weetje niet wat de
gevolgen het heeft. Hier zijn ze een stuk overzichtelijker.
Voorts; valt het jullie ook op, dat de rebel van vroeger
inmiddels 'activist' is geworden, en `open-source activist'
langzaam 'terrorist' begint te worden?
Bah. We moeten Balkie's arm uit die reet van Bush halen denk
ik dit gaat de verkeerde kant op.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
