Archief
- De topics van lang geleden
Open source maakt politie backdoor onmogelijk
Volgens de experts is het slechts een kwestie van tijd voordat software ontwikkelaars door politie en opsporingsdiensten verplicht worden om "politie spyware en backdoors" te negeren of toe te laten. Nu al zijn inlichtingendiensten vaste klant bij keylogger aanbieders, maar het is natuurlijk de droom van elke speurder om direct via geïnstalleerde applicaties binnen te komen.
Voor nietsvermoedende burgers is het onmogelijk om te zien of de update die ze binnenhalen geen achterdeur voor oom agent openzet of alle toetsaanslagen opslaat. Althans, als ze geen open source gebruiken. Dankzij het principe van open source dat iedereen toegang tot de broncode heeft, kan iedereen aanpassingen maken, maar is dat ook voor de hele gemeenschap zichtbaar.
Hierdoor is het bijna onmogelijk om stiekem een politie backdoor toe te voegen, in tegenstelling tot commerciële software, waar niemand behalve de ontwikkelaar zelf ervan weet. Onze stelling luidt derhalve: Open source maakt politie backdoor onmogelijk
Reacties (24)
Onze stelling luidt derhalve: Open source maakt
politie backdoor onmogelijk
Wanneer komt de politiek met een verbod op open source, ompolitie backdoor onmogelijk
juist dit soort redenen? En ook omdat het patenten schendt
van closed source-bedrijven, die zoveel geld investeren in
innovaties, om het publiek te dienen?
Wordt er 's avonds bij je aangebeld: anti-terrorismeeenheid
voor de deur omdat men uit gelogde internetgegevens kon
opmaken dat je met open source het internet bezocht hebt!
Het zou verboten moeten worden!
stelling hoeft niet per se zo te zijn, zet een groep mensen op die de
open source "beoordelen". zorg ervoor dat die mensen voor de
betreffende instantie werken, en de laksheid van de mens doet de rest,
hoeveel mensen checken bij een programma/download nou of het een
backdoor is of niet en hoeveel mensen hebben eigenlijk daadwerkelijk
die kennis. open of closed source, alleen de eerlijkheid van de mens
kan backdoors voorkomen
open source "beoordelen". zorg ervoor dat die mensen voor de
betreffende instantie werken, en de laksheid van de mens doet de rest,
hoeveel mensen checken bij een programma/download nou of het een
backdoor is of niet en hoeveel mensen hebben eigenlijk daadwerkelijk
die kennis. open of closed source, alleen de eerlijkheid van de mens
kan backdoors voorkomen
Ik denk dat 'onmogelijk' te hard gesteld is. Maar ik weet wel zeker dat het
stukken moeilijker zal worden om zoiets erin te krijgen zonder dat het
opgemerkt wordt. Echter, hoeveel van 'onze' linux goeroes kijken de
source na van applicaties die ze installeren? Ik ga bijvoorbeeld niet de
source van VMWARE server doorspitten.. Geen tijd, geen zin, wel
opensource.
stukken moeilijker zal worden om zoiets erin te krijgen zonder dat het
opgemerkt wordt. Echter, hoeveel van 'onze' linux goeroes kijken de
source na van applicaties die ze installeren? Ik ga bijvoorbeeld niet de
source van VMWARE server doorspitten.. Geen tijd, geen zin, wel
opensource.
Tendentieus stukje. Checkpoint heeft als enige leverancier
aangegeven desgevraagd politie-spyware niet te detecteren.
Maar ze zijn nog nooit gevraagd. Dat is iets anders dan
"vaste klant" zijn.
De lol van open-source is natuurlijk dat de eindgebruiker de
code op dergelijke geintjes kan controleren en aanpassen. Er
hoeft er maar een zo alert te zijn en een veiligere versie
te publiceren en de politie staat weer met lege handen..
aangegeven desgevraagd politie-spyware niet te detecteren.
Maar ze zijn nog nooit gevraagd. Dat is iets anders dan
"vaste klant" zijn.
De lol van open-source is natuurlijk dat de eindgebruiker de
code op dergelijke geintjes kan controleren en aanpassen. Er
hoeft er maar een zo alert te zijn en een veiligere versie
te publiceren en de politie staat weer met lege handen..
"But key logger makers say that police and investigative
agencies are frequent customers, in part because recording
keystrokes can bypass the increasingly common use of
encryption to scramble communications and hard drives. "
agencies are frequent customers, in part because recording
keystrokes can bypass the increasingly common use of
encryption to scramble communications and hard drives. "
Foute stelling uiteraard want open source is geen garantie voor veiligheid.
Ik zie het verband niet tussen keyloggers en open source. Als je denkt dat
opsporingsdiensten routinematig backdoors in applicaties stopt, heb je de
berichten rondom de keyloggers niet goed begrepen.
Toon eerst maar eens aan dat een applicatie een backdoor heeft, dan
praten we verder.
Ik zie het verband niet tussen keyloggers en open source. Als je denkt dat
opsporingsdiensten routinematig backdoors in applicaties stopt, heb je de
berichten rondom de keyloggers niet goed begrepen.
Toon eerst maar eens aan dat een applicatie een backdoor heeft, dan
praten we verder.
Door Anoniem Tendentieus stukje. Checkpoint
heeft als enige leverancier aangegeven desgevraagd
politie-spyware niet te detecteren. Maar ze zijn nog nooit
gevraagd. ..
heeft als enige leverancier aangegeven desgevraagd
politie-spyware niet te detecteren. Maar ze zijn nog nooit
gevraagd. ..
Als een organisatie op dat niveau samen (moet) werken met de
overheid, mogen zij niets bevestigen, noch ontkennen.....
voel je 'm?
Vraag vervolgens aan de marketing manager of dat.... en je
krijgt hoogstwaarschijnlijk dit (teleurgesteld)
antwoord..... ;)
18-07-2007, 15:56 door
ml2mst
Ik ben het enigszins eens met de stelling. Onmogelijk
vindt ik echter wat hoog gegrepen.
Vooralsnog zijn de beweringen van Microsoft (dat een lange
geschiedenis aan leugens en bedrog heeft), niets anders dan
gebakken lucht.
vindt ik echter wat hoog gegrepen.
Wanneer komt de politiek met een verbod op open
source, om juist dit soort redenen? En ook omdat het
patenten schendt
van closed source-bedrijven
Welke patenten? Kom nou eens met harde bewijzen! source, om juist dit soort redenen? En ook omdat het
patenten schendt
van closed source-bedrijven
Vooralsnog zijn de beweringen van Microsoft (dat een lange
geschiedenis aan leugens en bedrog heeft), niets anders dan
gebakken lucht.
18-07-2007, 17:58 door
wimbo
Door ml2mst
Ik ben het enigszins eens met de stelling. Onmogelijk
vindt ik echter wat hoog gegrepen.
Vooralsnog zijn de beweringen van Microsoft (dat een lange
geschiedenis aan leugens en bedrog heeft), niets anders dan
gebakken lucht.
Als ik het goed heb, heeft MS een aantal weken geleden nogIk ben het enigszins eens met de stelling. Onmogelijk
vindt ik echter wat hoog gegrepen.
Wanneer komt de politiek met een verbod op open
source, om juist dit soort redenen? En ook omdat het
patenten schendt
van closed source-bedrijven
Welke patenten? Kom nou eens met harde bewijzen! source, om juist dit soort redenen? En ook omdat het
patenten schendt
van closed source-bedrijven
Vooralsnog zijn de beweringen van Microsoft (dat een lange
geschiedenis aan leugens en bedrog heeft), niets anders dan
gebakken lucht.
iets geroepen dat er -tig patent in de meeste Linux distro's
zitten... Of het waar is is een tweede, maar de claim ligt
er wel.
Door wimbo
iets geroepen dat er -tig patent in de meeste Linux distro's
zitten... Of het waar is is een tweede, maar de claim ligt
er wel.
Door ml2mst
Ik ben het enigszins eens met de stelling. Onmogelijk
vindt ik echter wat hoog gegrepen.
Vooralsnog zijn de beweringen van Microsoft (dat een lange
geschiedenis aan leugens en bedrog heeft), niets anders dan
gebakken lucht.
Als ik het goed heb, heeft MS een aantal weken geleden nogIk ben het enigszins eens met de stelling. Onmogelijk
vindt ik echter wat hoog gegrepen.
Wanneer komt de politiek met een verbod op open
source, om juist dit soort redenen? En ook omdat het
patenten schendt
van closed source-bedrijven
Welke patenten? Kom nou eens met harde bewijzen! source, om juist dit soort redenen? En ook omdat het
patenten schendt
van closed source-bedrijven
Vooralsnog zijn de beweringen van Microsoft (dat een lange
geschiedenis aan leugens en bedrog heeft), niets anders dan
gebakken lucht.
iets geroepen dat er -tig patent in de meeste Linux distro's
zitten... Of het waar is is een tweede, maar de claim ligt
er wel.
Zeggen en gelijk hebben zijn nog altijd 2 dingen.
Feit is is dat Open-source een grote concurrent is van
microsofts Closed source, dus het is makkelijk iets te
beweren zonder ook gelijk te hebben. Ze plegen ook geen
laster, omdat ze niet (kunnen) opgeven welke patenten het
zijn. En er dus geen tegenspraak kan zijn. Makkelijk praten dus
Nog een vraagteken bij dit zwartmaken is dat ze ook nog geen
rechtzaak zijn begonnen? Als er ergens geld te verdienen
valt ....
overigens ben ik het oneens met de stelling, het open source
gedeelte maakt het juist makkelijker, omdat de politie nu
zelfs zelf iets kan toevoegen aan de source. Dus ook een
eigen back door.
Voor wat betreft de stelling: Eens en niet eens :-)
Natuurlijk kunnen ze erin zitten, ze kunnen er alleen niet
in zitten zonder dat andere personen (en mogelijk ook
eindgebruikers) er van weten.
Voor wat betreft de patenten: Alleen roepen "Open Source
software schendt [vul aantal in] patenten" is niet
voldoende. Om te kunnen claimen moet je op z'n minst
vertellen welke patenten er geschonden worden, en om het nog
geloofwaardiger te maken ook door welke software.
Ik kan namelijk ook roepn dat M$ 1000 patenten van mij schend.
Natuurlijk kunnen ze erin zitten, ze kunnen er alleen niet
in zitten zonder dat andere personen (en mogelijk ook
eindgebruikers) er van weten.
Voor wat betreft de patenten: Alleen roepen "Open Source
software schendt [vul aantal in] patenten" is niet
voldoende. Om te kunnen claimen moet je op z'n minst
vertellen welke patenten er geschonden worden, en om het nog
geloofwaardiger te maken ook door welke software.
Ik kan namelijk ook roepn dat M$ 1000 patenten van mij schend.
18-07-2007, 19:31 door
Thaddy
Ik - en de meeste goede programmeurs - ben zeer wel in staat
bedoelde of onbedoelde bij-effecten in mijn binaries te
genereren die in de sourcecode op zich niet voorkomen of
eruit gelezen kunnen worden.
Als ik het gedrag van mijn compilers ken, ben ik - soit,
compiler en platform afhankelijk - in staat iets te
genereren dat je beslist niet tegen komt in de sourcecode....
Die truc is trouwens niet nieuw.
De stelling is dus grote onzin.
bedoelde of onbedoelde bij-effecten in mijn binaries te
genereren die in de sourcecode op zich niet voorkomen of
eruit gelezen kunnen worden.
Als ik het gedrag van mijn compilers ken, ben ik - soit,
compiler en platform afhankelijk - in staat iets te
genereren dat je beslist niet tegen komt in de sourcecode....
Die truc is trouwens niet nieuw.
De stelling is dus grote onzin.
De genoemde risico's voor open-source gelden alleen voor
gecompileerde binaries. Waarom als aanvaller zo moeilijk
doen en eerst een compiler hacken? Dan kun je toch ook
gewoon andere sourcecode bij je binary stoppen?
Veilig werken met open source betekent zelf de code reviewen
en zelf compileren. Of dit door een vertrouwde partij laten
doen.
gecompileerde binaries. Waarom als aanvaller zo moeilijk
doen en eerst een compiler hacken? Dan kun je toch ook
gewoon andere sourcecode bij je binary stoppen?
Veilig werken met open source betekent zelf de code reviewen
en zelf compileren. Of dit door een vertrouwde partij laten
doen.
Je kunt toch ook net voor het compilen de backdoor erin
zetten? Of denk ik te simpel?
zetten? Of denk ik te simpel?
Door Anoniem
Je kunt toch ook net voor het compilen de backdoor erin
zetten? Of denk ik te simpel?
Je kunt toch ook net voor het compilen de backdoor erin
zetten? Of denk ik te simpel?
Ja, als je dan zelf je eigen distro compiled heb je dus geen
backdoor... Het lijkt mij dat de mensen die ze willen pakken
toch wel in staat zijn om hun eigen distro te compilen.
Onmogelijk is misschien een beetje groot woord, maar het
wordt wel een stuk moeilijker. Je kan natuurlijk altijd een
tering obscure backdoor maken van 1 regel groot die ergens
midden in al die tienduizenden regels code staat.
Door Anoniem
Ja, als je dan zelf je eigen distro compiled heb je dus geen
backdoor...
Ja, als je dan zelf je eigen distro compiled heb je dus geen
backdoor...
Tenzij de compiler de backdoor erin zet. Of de compiler waarmee je de
compiler zelf gebouwd hebt. Of de compiler-compiler-compiler, etc.
Door Anoniem
juist dit soort redenen? En ook omdat het patenten schendt
van closed source-bedrijven, die zoveel geld investeren in
innovaties, om het publiek te dienen?
Wordt er 's avonds bij je aangebeld: anti-terrorismeeenheid
voor de deur omdat men uit gelogde internetgegevens kon
opmaken dat je met open source het internet bezocht hebt!
Het zou verboten moeten worden!
Onze stelling luidt derhalve: Open source maakt
politie backdoor onmogelijk
Wanneer komt de politiek met een verbod op open source, ompolitie backdoor onmogelijk
juist dit soort redenen? En ook omdat het patenten schendt
van closed source-bedrijven, die zoveel geld investeren in
innovaties, om het publiek te dienen?
Wordt er 's avonds bij je aangebeld: anti-terrorismeeenheid
voor de deur omdat men uit gelogde internetgegevens kon
opmaken dat je met open source het internet bezocht hebt!
Het zou verboten moeten worden!
YhaWhoel....
M$ dreigde enkele maanden geleden met patatentschendingen
maar trok deze weer in na een arbeids overeenkomst met een
Linux Goeroe......
M$ heeft met dat dreigement enkele mensen onder druk gezet
om vooral over te stappen maar M$......
http://www.hccmagazine.nl/index.cfm?fuseaction=home.showColumns&id=51137
Door Anoniem
Tenzij de compiler de backdoor erin zet. Of de compiler
waarmee je de
compiler zelf gebouwd hebt. Of de
compiler-compiler-compiler, etc.
Door Anoniem
Ja, als je dan zelf je eigen distro compiled heb je dus geen
backdoor...
Ja, als je dan zelf je eigen distro compiled heb je dus geen
backdoor...
Tenzij de compiler de backdoor erin zet. Of de compiler
waarmee je de
compiler zelf gebouwd hebt. Of de
compiler-compiler-compiler, etc.
Tenzij je een opensource compiler hebt :)
ik dacht dat het oorpronkelijke commentaar over patenten
etc. sarcasme was. Blijkbaar wordt er serieus op ingegaan,
dus even offtopic: waarom luister er IEMAND nog naar wat
microsoft blaat? die lui roepen al jaren NIETS dan leugens.
Kom maar met die 'patenten'. Ik voel een SCO-tje aankomen.
Verder: onmogelijk is inderdaad te sterk. Moeilijker lijkt
me zeker wel, je kunt immers niet meer maar 1 iemand bullyen
om je gore rotzooi in de code te krijgen.
Het trusting trust verhaal is een mooie, maar imho niet echt
relevant hier (tenminste, het is bij alles zowel relevant
als niet relevant; je moet ergens beginnen met vertrouwen).
etc. sarcasme was. Blijkbaar wordt er serieus op ingegaan,
dus even offtopic: waarom luister er IEMAND nog naar wat
microsoft blaat? die lui roepen al jaren NIETS dan leugens.
Kom maar met die 'patenten'. Ik voel een SCO-tje aankomen.
Verder: onmogelijk is inderdaad te sterk. Moeilijker lijkt
me zeker wel, je kunt immers niet meer maar 1 iemand bullyen
om je gore rotzooi in de code te krijgen.
Het trusting trust verhaal is een mooie, maar imho niet echt
relevant hier (tenminste, het is bij alles zowel relevant
als niet relevant; je moet ergens beginnen met vertrouwen).
Domletterlijke vertaling van Open-source is dat de sourcecode open is......
dus iedereen die de sourcecode snapt kan afleiden, bij gebrek aan werk,
wat het programma ongecompileert uitvreet.
dus iedereen die de sourcecode snapt kan afleiden, bij gebrek aan werk,
wat het programma ongecompileert uitvreet.
26-07-2007, 13:09 door
spatieman
@ Door Anoniem op woensdag 18 juli 2007 14:31
quote:Onze stelling luidt derhalve: Open source maakt
politie backdoor onmogelijk
Wanneer komt de politiek met een verbod op open source, om
juist dit soort redenen?
----
Ga eens snel dood.
volgens mij werk jij voor de furher genaamd balkenelende.
en ben je zelf de oper gestapo baas.
quote:Onze stelling luidt derhalve: Open source maakt
politie backdoor onmogelijk
Wanneer komt de politiek met een verbod op open source, om
juist dit soort redenen?
----
Ga eens snel dood.
volgens mij werk jij voor de furher genaamd balkenelende.
en ben je zelf de oper gestapo baas.
Door Anoniem
Tenzij je een opensource compiler hebt :)
Door Anoniem
Tenzij de compiler de backdoor erin zet. Of de compiler
waarmee je de
compiler zelf gebouwd hebt. Of de
compiler-compiler-compiler, etc.
Door Anoniem
Ja, als je dan zelf je eigen distro compiled heb je dus geen
backdoor...
Ja, als je dan zelf je eigen distro compiled heb je dus geen
backdoor...
Tenzij de compiler de backdoor erin zet. Of de compiler
waarmee je de
compiler zelf gebouwd hebt. Of de
compiler-compiler-compiler, etc.
Tenzij je een opensource compiler hebt :)
Fout, je zal (ooit) een oorsprnkelijke binary nodig hebben
(gehad) om te compileren. Deze kan ervoor zorgen dat je
(desnoods na 20 jaar nog) een backdoor hebt. E.a.a. wordt
aanzienlijk lastiger als je gaat cross-compilen en
verschillende compilers gebruikt.
Ook de linker is verdacht natuurlijk (hooks toevoegen).
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.