Rootkit-expert: Backdoor in BitLocker is onzin
De Poolse rootkit-expert Joanna Rutkowska verbaasde vriend en vijand met haar uitspraak dat Microsoft's BitLocker veruit de beste encryptie-software is. Veel mensen vroegen zich af hoe de Poolse dit kan zeggen, aangezien ze de code van de software niet kent. Wie zegt dat Microsoft er geen backdoor in heeft verstopt? Rutkowska is het niet eens met de standaard redenering dat opensource automatisch beter is dan gesloten source omdat iedereen de broncode kan bekijken.
"Persoonlijk denk ik dat deze redenatie nergens op slaat. In de meeste gevallen als iets wordt verspreid zonder broncode, voorkomt dat niet dat anderen de code niet kunnen analyseren. We beschikken over geavanceerde disassemblers en debuggers, en het is niet zo moeilijk om ze te gebruiken, in tegenstelling tot wat veel mensen denken." Rutkowska richt zich ook de opensource gemeenschap, die vaak met dit soort verhalen komt. "Het argument over backdoors in gesloten software komt meestal van opensource mensen, die gewend zijn aan onbeperkte toegang tot de broncode en daardoor niet veel ervaring met geavanceerde reverse engineering technieken hebben."
Iemand ziet het toch wel?
Een andere mening waar opensource aanhangers zich achter verschuilen is dat ze zelf niet de broncode bekijken, maar dat duizenden anderen dat wel doen. Een backdoor zou dan toch wel moeten opvallen. "Voor al die opensource fetisjisten die blindelings alles afkraken wat niet opensource is heb ik één ding te zeggen: Debian." Rutkowska voegt eraan toe dat ze niet zegt dat gesloten source veiliger is dan opensource, ze moet alleen niets hebben van het opensource fundamentalisme dat gesloten software inherent onveilig en opensource het toppunt van veiligheid is.
Reacties (31)
Rutkowska voegt eraan toe dat ze niet zegt dat gesloten source veiliger is dan opensource, ze moet alleen niets hebben van het opensource fundamentalisme dat gesloten software inherent onveilig en opensource het toppunt van veiligheid is.
Joanna leest zo te zien ook security.nl toch EERDE ?.
Joanna leest zo te zien ook security.nl toch EERDE ?.
Heeft MS reverse engineering niet uitgesloten in de licentievoorwaarden?
Ze mag wel oppassen, anders krijgt ze de reus uit Redmond nog achter zich aan. Of is ze juist daarom MS aan het promoten?
Ze mag wel oppassen, anders krijgt ze de reus uit Redmond nog achter zich aan. Of is ze juist daarom MS aan het promoten?
28-01-2009, 08:55 door
[Account Verwijderd]
[Verwijderd]
Er hoeft geen backdoor in te zitten, zie:
http://news.softpedia.com/news/Vista-Encryption-Cannot-Stop-Kernel-Hacks-55161.shtml
The encryption technology integrated into Windows Vista [ BitLocker, ed ] delivers no line of defense against attacks directed at the operating system's core. During the Black Hat 2007 hacker conference in Caesars Palace, Las Vegas at the end of July, security researchers Joanna Rutkowska and Alexander Tereshkin will be taking the Windows Vista kernel apart.
http://news.softpedia.com/news/Vista-Encryption-Cannot-Stop-Kernel-Hacks-55161.shtml
The encryption technology integrated into Windows Vista [ BitLocker, ed ] delivers no line of defense against attacks directed at the operating system's core. During the Black Hat 2007 hacker conference in Caesars Palace, Las Vegas at the end of July, security researchers Joanna Rutkowska and Alexander Tereshkin will be taking the Windows Vista kernel apart.
28-01-2009, 10:44 door
[Account Verwijderd]
[Verwijderd]
Het grootste probleem met veel propietary software is ook niet potentiele backdoors, maar het feit dat ze vaak berusten op security-through-obscurity. Dat betekent niet dat *alle* propietary software dit probleem vertoont, maar een patroon is in het algemeen wel herkenbaar.
Dat terzijde; weet iemand waar ze op doelt met Debian?
Dat terzijde; weet iemand waar ze op doelt met Debian?
Het lijkt er op dat deze mevrouw toch niet gehinderd wordt door kennis van de opensource beweging. Vooral het ene woord: 'debian' laat haar onkunde zien.
Denkt zij nu echt dat het probleem met de ssl keys waar zij (niet) naar refereert aangepakt zou zijn als zoiets binnen de closed source omgeving gevonden zou worden door de ontwikkelaars? Denk het niet...
qed.
Denkt zij nu echt dat je op basis van de zogenaamde geavanceerde reverse engineering alle krochten van een OS kan zien? Dat kan de leverancier van het OS zelf niet eens. Alle specifieke combinaties? Alle specifieke fouten of semantische onjuistheden? Laat me niet lachen. Stop die mevrouw maar ver weg in haar Microsoft gesponsorde doosje. Opensource encryptie is echt wel beter dan het gesloten geblaat.
EJ
Denkt zij nu echt dat het probleem met de ssl keys waar zij (niet) naar refereert aangepakt zou zijn als zoiets binnen de closed source omgeving gevonden zou worden door de ontwikkelaars? Denk het niet...
qed.
Denkt zij nu echt dat je op basis van de zogenaamde geavanceerde reverse engineering alle krochten van een OS kan zien? Dat kan de leverancier van het OS zelf niet eens. Alle specifieke combinaties? Alle specifieke fouten of semantische onjuistheden? Laat me niet lachen. Stop die mevrouw maar ver weg in haar Microsoft gesponsorde doosje. Opensource encryptie is echt wel beter dan het gesloten geblaat.
EJ
28-01-2009, 11:47 door
U4iA
Voor al die opensource fetisjisten die blindelings alles afkraken wat niet opensource is...
Jeetje Eerde, dat gebeurt niet vaak dat je direct wordt aangesproken door een echte security expert als Joanna Rutkowska. :)Meer over Joanna Rutkowska op haar webblog. Microsoft heeft zeker backdoor in Windows Vista zodat de NSA deze kan openen. In de OpenSource software als Linux moet proberen backdoor proberen , meestal meer zwakheid in beveiliging. Vandaar dat alleen criminelen met linux werken om uit handen blijf van backdoor die in zamenwerking opgezet zijn door NSA
http://theinvisiblethings.blogspot.com/
http://theinvisiblethings.blogspot.com/
Voor al die opensource fetisjisten die blindelings alles afkraken wat niet opensource is...
Waar ben je Eerde we weten dat je dit artikel hebt gelezen.
Waar ben je Eerde we weten dat je dit artikel hebt gelezen.
Denkt zij nu echt dat je op basis van de zogenaamde geavanceerde reverse engineering alle krochten van een OS kan zien? Dat kan de leverancier van het OS zelf niet eens. Alle specifieke combinaties? Alle specifieke fouten of semantische onjuistheden? Laat me niet lachen. Stop die mevrouw maar ver weg in haar Microsoft gesponsorde doosje. Opensource encryptie is echt wel beter dan het gesloten geblaat.
EJ
Ja, dat kan inderdaad ja. Als jij al weet waar in de code de crash zich voordoet dan laad je dat stuk in een debugger, of laad de binary met een debugger en reproduceer je het gebeuren. Dan zie je toch de assembler instructies ?
Haar punt is dat de mensen die exploits vinden, hier ook naar op zoek moeten, of dat nu via open source gaat of via disassembleren. Het zijn dezelfde mensen die het doen. De gewone gebruiker heeft hier niets aan en het argument gaat dus ook niet op.
Graag geen onzin uitkramen als je niet weet waar je het over hebt.
Door AnoniemHet lijkt er op dat deze mevrouw toch niet gehinderd wordt door kennis van de opensource beweging. Vooral het ene woord: 'debian' laat haar onkunde zien.
Denkt zij nu echt dat het probleem met de ssl keys waar zij (niet) naar refereert aangepakt zou zijn als zoiets binnen de closed source omgeving gevonden zou worden door de ontwikkelaars? Denk het niet...
qed.
Ja, bewijs deze stelling eens.Vooroordelen zijn geen bewijs!Denkt zij nu echt dat het probleem met de ssl keys waar zij (niet) naar refereert aangepakt zou zijn als zoiets binnen de closed source omgeving gevonden zou worden door de ontwikkelaars? Denk het niet...
qed.
Denkt zij nu echt dat je op basis van de zogenaamde geavanceerde reverse engineering alle krochten van een OS kan zien? Dat kan de leverancier van het OS zelf niet eens. Alle specifieke combinaties? Alle specifieke fouten of semantische onjuistheden? Laat me niet lachen. Stop die mevrouw maar ver weg in haar Microsoft gesponsorde doosje. Opensource encryptie is echt wel beter dan het gesloten geblaat.
EJ
Ja, alsof broncode zo eenvoudig leesbaar is. Daar heb je zeker geen geen specifieke combinaties/fouten en semantische onjuistheden. Bij reverse-engineering zie je in ieder geval duidelijker wat de compiler van die mooie broncode heeft gemaakt. Ik hoop wel dat in de opensource wereld ook aan reverse-engineering wordt gedaan.EJ
Waarchijnlijk worden de complexe fouten eerder gevonden door uitgebreide tests, dan door het nalezen van de source.
En houd op met het mekkeren over geblaat :-)
Door AnoniemHet grootste probleem met veel propietary software is ook niet potentiele backdoors, maar het feit dat ze vaak berusten op security-through-obscurity. Dat betekent niet dat *alle* propietary software dit probleem vertoont, maar een patroon is in het algemeen wel herkenbaar.
Dat terzijde; weet iemand waar ze op doelt met Debian?
Dat terzijde; weet iemand waar ze op doelt met Debian?
Ik denk dat ze doelt op dat openssl geintje van laatst.
[goestin]
28-01-2009, 14:33 door
44RT
Door Anoniem
Ik denk dat ze doelt op dat openssl geintje van laatst.
[goestin]
[url=http://metasploit.com/users/hdm/tools/debian-openssl]klik[/url]Door AnoniemHet grootste probleem met veel propietary software is ook niet potentiele backdoors, maar het feit dat ze vaak berusten op security-through-obscurity. Dat betekent niet dat *alle* propietary software dit probleem vertoont, maar een patroon is in het algemeen wel herkenbaar.
Dat terzijde; weet iemand waar ze op doelt met Debian?
Dat terzijde; weet iemand waar ze op doelt met Debian?
Ik denk dat ze doelt op dat openssl geintje van laatst.
[goestin]
Aha,
ze had het over bewust ingebouwde backdoors, dus de entropy bug kwam even niet bij me op.
Interessante vergelijking... brengt wel een potentiele wedervraag op: als je met reverse engineering net zo veel kan bereiken als met source code inspection, is er dan een reden om aan te nemen dat je niet nog verder komt als je het allebei doet?
ze had het over bewust ingebouwde backdoors, dus de entropy bug kwam even niet bij me op.
Interessante vergelijking... brengt wel een potentiele wedervraag op: als je met reverse engineering net zo veel kan bereiken als met source code inspection, is er dan een reden om aan te nemen dat je niet nog verder komt als je het allebei doet?
Goh, weer zo'n waardeloze statement van Joanna Rutkowska.
Natuurlijk is closed source per definitie niet secure. En inderdaad, de reden is precies zoals ze omschrijft en ik ook al meteen in "http://www.security.nl/artikel/26380/1/Rootkit-expert%3A_BitLocker_is_beste_encryptie-software.html" heb aangegeven. Het is absoluut niet relevant of er reverse engineering technieken bestaan en of deze ook daadwerkelijk goed genoeg zijn. Feit blijft dat de code closed is, en daarmee wordt aangegeven dat we niets te zoeken hebben in deze code (idd, is dit zelfs niet in sommige gevallen zelfs illegaal?).
Daarbij komt dat reverse engineering wel degelijk problemen geeft en echt niet zo makkelijk is als Joanna probeert te doen voorkomen. Waarom denk je anders dat de damba-gemeenschap toch maar wat centjes neerlegt om MS broncode te mogen inzien? Ze hebben voordat MS hiertoe gedwongen werd hun product gemaakt, door via reverse engineering te proberen te achterhalen hoe de protocollen werken. Dit is niet altijd even goed gelukt, dus zo eenvoudig is dat niet.
Bekijk het ook eens van de andere kant. Als de broncode moeiteloos perfect kan worden weergegeven middels "RE", waarom nog die moeite doen en de broncode er niet meteen bijstoppen?
Het is duidelijk dat Joanna een verborgen agenda heeft, anders zou ze zulke onzin niet uitkramen.
Groeten,
Hopsa
Natuurlijk is closed source per definitie niet secure. En inderdaad, de reden is precies zoals ze omschrijft en ik ook al meteen in "http://www.security.nl/artikel/26380/1/Rootkit-expert%3A_BitLocker_is_beste_encryptie-software.html" heb aangegeven. Het is absoluut niet relevant of er reverse engineering technieken bestaan en of deze ook daadwerkelijk goed genoeg zijn. Feit blijft dat de code closed is, en daarmee wordt aangegeven dat we niets te zoeken hebben in deze code (idd, is dit zelfs niet in sommige gevallen zelfs illegaal?).
Daarbij komt dat reverse engineering wel degelijk problemen geeft en echt niet zo makkelijk is als Joanna probeert te doen voorkomen. Waarom denk je anders dat de damba-gemeenschap toch maar wat centjes neerlegt om MS broncode te mogen inzien? Ze hebben voordat MS hiertoe gedwongen werd hun product gemaakt, door via reverse engineering te proberen te achterhalen hoe de protocollen werken. Dit is niet altijd even goed gelukt, dus zo eenvoudig is dat niet.
Bekijk het ook eens van de andere kant. Als de broncode moeiteloos perfect kan worden weergegeven middels "RE", waarom nog die moeite doen en de broncode er niet meteen bijstoppen?
Het is duidelijk dat Joanna een verborgen agenda heeft, anders zou ze zulke onzin niet uitkramen.
Groeten,
Hopsa
28-01-2009, 17:47 door
KwukDuck
De licence agreement van microsoft producten verbied inderdaad het reverse engineeren van hun code.
Onze Joanna is hier dus in overtreding, bijna alle closed source software heeft dit in de EULA staan.
Daarnaast is alle 'disassembled' code assembly, slechts een handje vol experts kan hier echt goed mee overweg, 't blijft toch een taaltje opzich.
De laatste tijd stoor ik me alleen nog maar aan deze mevrouw...
Onze Joanna is hier dus in overtreding, bijna alle closed source software heeft dit in de EULA staan.
Daarnaast is alle 'disassembled' code assembly, slechts een handje vol experts kan hier echt goed mee overweg, 't blijft toch een taaltje opzich.
De laatste tijd stoor ik me alleen nog maar aan deze mevrouw...
28-01-2009, 18:23 door
Sokolum
Door AnoniemMeer over Joanna Rutkowska op haar webblog. Microsoft heeft zeker backdoor in Windows Vista zodat de NSA deze kan openen. In de OpenSource software als Linux moet proberen backdoor proberen , meestal meer zwakheid in beveiliging. Vandaar dat alleen criminelen met linux werken om uit handen blijf van backdoor die in zamenwerking opgezet zijn door NSA
http://theinvisiblethings.blogspot.com/
http://theinvisiblethings.blogspot.com/
Als dat zo is, dan zou dat voor mij een reden zijn om als bedrijf niet naar Vista over te stappen, of W7.
Ondanks dat ik zelf Debian gebruik, als het op veiligheid aankomt heb ik 1 woord voor deze dame: OpenBSD...
Heej krijg nou wat, het veiligste OS ter wereld blijkt dus toch opensource te zijn... Ik zeg niet dat het verband heeft, maar als we alles bij elkaar optellen, virussen, remote exploits etc.... dan vraag ik me oprecht af hoeveel deze dame krijgt van MS.
Heej krijg nou wat, het veiligste OS ter wereld blijkt dus toch opensource te zijn... Ik zeg niet dat het verband heeft, maar als we alles bij elkaar optellen, virussen, remote exploits etc.... dan vraag ik me oprecht af hoeveel deze dame krijgt van MS.
Door AnoniemMeer over Joanna Rutkowska op haar webblog. Microsoft heeft zeker backdoor in Windows Vista zodat de NSA deze kan openen. In de OpenSource software als Linux moet proberen backdoor proberen , meestal meer zwakheid in beveiliging. Vandaar dat alleen criminelen met linux werken om uit handen blijf van backdoor die in zamenwerking opgezet zijn door NSA
http://theinvisiblethings.blogspot.com/
http://theinvisiblethings.blogspot.com/
Kerel lees eens na wat je schrijft !!!!! Er valt geen touw aan vast te kopen.
"moet proberen backdoor proberen , meestal meer zwakheid in beveiliging."
Ja, dat kan inderdaad ja. Als jij al weet waar in de code de crash zich voordoet dan laad je dat stuk in een debugger, of laad de binary met een debugger en reproduceer je het gebeuren. Dan zie je toch de assembler instructies ?
Haar punt is dat de mensen die exploits vinden, hier ook naar op zoek moeten, of dat nu via open source gaat of via disassembleren. Het zijn dezelfde mensen die het doen. De gewone gebruiker heeft hier niets aan en het argument gaat dus ook niet op.
Graag geen onzin uitkramen als je niet weet waar je het over hebt.
Hmmm, ik heb meer gedebugged dan jij denkt. Jij gaat uit van de crash, mijn stelling is dat je niet de volledige code kunt nalopen, met alle combinaties van factoren. Dat is bewijsbaar, tenminste voor een os als windows. Dat is namelijk niet een formeel bewijsbaar goed os. Zie o.a. Dijkstra cs.
1 Assembler is een stuk moeilijker leesbaar dan jij nu denkt. Ook een stuk moeilijker te interpreteren dan mevrouw roept.
2 Exploits vind je bij toeval in code waarvan je de broncode niet hebt. Juist die toevalligheidsfactor bewijst haar ongelijk.
Denk jij nu echt dat je pak hem beet 250 MB (of groter) assembler nog kunt doorspitten? Dream on.
Hoeveel OS'en heb jij geschreven? Ik ben betrokken geweest bij een real time OS. Dat was nog relatief klein, dat loopt vanuit ROM. Daar was echt debuggen en formeel bewijzen dat de algoritmes correct waren een regelrechte hel.
Iemand die roept dat je dat bij hedendaagse os'en kunt heeft echt geen flauw idee van wat hij of zij roept.
Gevonden bugs op impact beoordelen, ja, DAT kan. Maar niet zoeken naar alle mogelijke combinaties. Dat is een fysieke onmogelijkheid.
EJ
29-01-2009, 12:20 door
rob
Feit blijft dat source code beter te begrijpen is dan disassembler uitvoer. Vooral als het gaat om de implementatie van een cryptografisch algoritme.
Pak de schema's van het algoritme erbij, en controleer dan of die juist is geimplementeerd aan de hand van de broncode. Zeker een factor 3 gemakkelijker te doen dan zonder source code.
Pak de schema's van het algoritme erbij, en controleer dan of die juist is geimplementeerd aan de hand van de broncode. Zeker een factor 3 gemakkelijker te doen dan zonder source code.
Hmmm, ik heb meer gedebugged dan jij denkt. Jij gaat uit van de crash, mijn stelling is dat je niet de volledige code kunt nalopen, met alle combinaties van factoren. Dat is bewijsbaar, tenminste voor een os als windows. Dat is namelijk niet een formeel bewijsbaar goed os. Zie o.a. Dijkstra cs.
1 Assembler is een stuk moeilijker leesbaar dan jij nu denkt. Ook een stuk moeilijker te interpreteren dan mevrouw roept.
2 Exploits vind je bij toeval in code waarvan je de broncode niet hebt. Juist die toevalligheidsfactor bewijst haar ongelijk.
Denk jij nu echt dat je pak hem beet 250 MB (of groter) assembler nog kunt doorspitten? Dream on.
Hoeveel OS'en heb jij geschreven? Ik ben betrokken geweest bij een real time OS. Dat was nog relatief klein, dat loopt vanuit ROM. Daar was echt debuggen en formeel bewijzen dat de algoritmes correct waren een regelrechte hel.
Iemand die roept dat je dat bij hedendaagse os'en kunt heeft echt geen flauw idee van wat hij of zij roept.
Gevonden bugs op impact beoordelen, ja, DAT kan. Maar niet zoeken naar alle mogelijke combinaties. Dat is een fysieke onmogelijkheid.
EJ
1 Assembler is een stuk moeilijker leesbaar dan jij nu denkt. Ook een stuk moeilijker te interpreteren dan mevrouw roept.
2 Exploits vind je bij toeval in code waarvan je de broncode niet hebt. Juist die toevalligheidsfactor bewijst haar ongelijk.
Denk jij nu echt dat je pak hem beet 250 MB (of groter) assembler nog kunt doorspitten? Dream on.
Hoeveel OS'en heb jij geschreven? Ik ben betrokken geweest bij een real time OS. Dat was nog relatief klein, dat loopt vanuit ROM. Daar was echt debuggen en formeel bewijzen dat de algoritmes correct waren een regelrechte hel.
Iemand die roept dat je dat bij hedendaagse os'en kunt heeft echt geen flauw idee van wat hij of zij roept.
Gevonden bugs op impact beoordelen, ja, DAT kan. Maar niet zoeken naar alle mogelijke combinaties. Dat is een fysieke onmogelijkheid.
EJ
1. ik ben al zeker 15 jaar bezig met c en assembler coding dus ik denk dat ik wel weet waar ik het over heb.
2. dat klopt. dat is ook de manier waarop zij het doet.
je moet dus niet 250mb aan assembler instructies doorkijken, maar focussen op dat gedeelte waar de crash zich voordoet. dan kun je reverse engineering doen. en waarom zou ik niet alle mogelijke combinaties kunnen evalueren waar het bij een hogere taal wel kan ? ik zou juist denken dat ik het bij assembler een stuk eerder zie. maar natuurlijk is het makkelijker om c code door te kijken.
en waarom is windows geen formeel bewijsbaar OS ?
1. ik ben al zeker 15 jaar bezig met c en assembler coding dus ik denk dat ik wel weet waar ik het over heb.
2. dat klopt. dat is ook de manier waarop zij het doet.
je moet dus niet 250mb aan assembler instructies doorkijken, maar focussen op dat gedeelte waar de crash zich voordoet. dan kun je reverse engineering doen. en waarom zou ik niet alle mogelijke combinaties kunnen evalueren waar het bij een hogere taal wel kan ? ik zou juist denken dat ik het bij assembler een stuk eerder zie. maar natuurlijk is het makkelijker om c code door te kijken.
en waarom is windows geen formeel bewijsbaar OS ?
Bzzt wrong answer. Het gaat er niet om te vinden wat je al weet, het gaat er om te vinden wat je nog niet weet. Dat is een onmogelijke opgave. Juist daar zit het probleem. Als je backdoors wilt vinden ga je NIET op zoek naar crashes, maar naar... tada... backdoors. Dat is een volstrekt onmogelijke opgave. Mevrouw kan haar claim absoluut NIET waarmaken dat bitlocker veiliger is dan welk ander programma dan ook. Jij kan dat ook niet. Ik ook niet.
Maar ik stel dan ook dat het onmogelijk is, mevrouw, en jij dus blijkbaar ook, wel door de 'geavanceerde' debugging technieken. laat met niet lachen.
Als je niet weet waarom Windows niet formeel bewijsbaar is moet je even je theorie boekjes open doen. Hint: Het is zo niet ontworpen. En dan hadden we ook geen bluescreens gehad btw. Net zo min als bugs. Volgens mij is er genoeg bewijs van het tegendeel.
qed.
EJ
maar dan heb je het alleen maar over security bugs die uit overflow en familie ontstaan, niet over backdoors of per abuis ontbrekende entropie. Bij die laatste twee is er geen crash om mee te beginnen...
30-01-2009, 10:11 door
rob
Het enige dat ik nog mis bij de uitspraken van Joanna......
Los van of ze gelijk heeft wat betreft haar open source / closed source mening:
Ze zegt niet dat ze *zelf* *persoonlijk* BitLocker heeft gereverse engineered en geconstateerd heeft dat er geen backdoors in geen van de crypto algorithmes zitten.
Hoe kan ze dan de uitspraak doen dat er geen backdoors in zitten?
Oh, volgens mij doelt ze erop dat de 'many eyes' theorie die open source "fetisjisten" gebruiken, net zo goed op gaat voor closed source?
Het is onzin om te zeggen dat het net zo gemakkelijk is om closed source te analyseren als open source.
Dan is mijn stelling dat er meer ogen zijn die C kennen dan disassembler uitvoer.
Zinloze discussie
Los van of ze gelijk heeft wat betreft haar open source / closed source mening:
Ze zegt niet dat ze *zelf* *persoonlijk* BitLocker heeft gereverse engineered en geconstateerd heeft dat er geen backdoors in geen van de crypto algorithmes zitten.
Hoe kan ze dan de uitspraak doen dat er geen backdoors in zitten?
Oh, volgens mij doelt ze erop dat de 'many eyes' theorie die open source "fetisjisten" gebruiken, net zo goed op gaat voor closed source?
Het is onzin om te zeggen dat het net zo gemakkelijk is om closed source te analyseren als open source.
Dan is mijn stelling dat er meer ogen zijn die C kennen dan disassembler uitvoer.
Zinloze discussie
30-01-2009, 16:43 door
Redactie
geen teen
31-01-2009, 07:44 door
[Account Verwijderd]
[Verwijderd]
Bzzt wrong answer. Het gaat er niet om te vinden wat je al weet, het gaat er om te vinden wat je nog niet weet. Dat is een onmogelijke opgave. Juist daar zit het probleem. Als je backdoors wilt vinden ga je NIET op zoek naar crashes, maar naar... tada... backdoors. Dat is een volstrekt onmogelijke opgave. Mevrouw kan haar claim absoluut NIET waarmaken dat bitlocker veiliger is dan welk ander programma dan ook. Jij kan dat ook niet. Ik ook niet.
Maar ik stel dan ook dat het onmogelijk is, mevrouw, en jij dus blijkbaar ook, wel door de 'geavanceerde' debugging technieken. laat met niet lachen.
Als je niet weet waarom Windows niet formeel bewijsbaar is moet je even je theorie boekjes open doen. Hint: Het is zo niet ontworpen. En dan hadden we ook geen bluescreens gehad btw. Net zo min als bugs. Volgens mij is er genoeg bewijs van het tegendeel.
qed.
EJ
Maar ik stel dan ook dat het onmogelijk is, mevrouw, en jij dus blijkbaar ook, wel door de 'geavanceerde' debugging technieken. laat met niet lachen.
Als je niet weet waarom Windows niet formeel bewijsbaar is moet je even je theorie boekjes open doen. Hint: Het is zo niet ontworpen. En dan hadden we ook geen bluescreens gehad btw. Net zo min als bugs. Volgens mij is er genoeg bewijs van het tegendeel.
qed.
EJ
OMG ben jij dom of zo ? Mogelijke exploits vind je door op zoek te gaan naar crashes. Buffer overflows bijvoorbeeld.
Dat is wat je niet weet. Wat je wel weet zijn opzettelijke backdoors. Maar dat is een heel ander verhaal.
As for windows, blijkbaar kun je je stelling dus niet bewijzen over of iets bewijsbaar is of niet. Je blaat dus maar wat.
Door Anoniem
OMG ben jij dom of zo ? Mogelijke exploits vind je door op zoek te gaan naar crashes. Buffer overflows bijvoorbeeld.
Dat is wat je niet weet. Wat je wel weet zijn opzettelijke backdoors. Maar dat is een heel ander verhaal.
As for windows, blijkbaar kun je je stelling dus niet bewijzen over of iets bewijsbaar is of niet. Je blaat dus maar wat.
Bzzt wrong answer. Het gaat er niet om te vinden wat je al weet, het gaat er om te vinden wat je nog niet weet. Dat is een onmogelijke opgave. Juist daar zit het probleem. Als je backdoors wilt vinden ga je NIET op zoek naar crashes, maar naar... tada... backdoors. Dat is een volstrekt onmogelijke opgave. Mevrouw kan haar claim absoluut NIET waarmaken dat bitlocker veiliger is dan welk ander programma dan ook. Jij kan dat ook niet. Ik ook niet.
Maar ik stel dan ook dat het onmogelijk is, mevrouw, en jij dus blijkbaar ook, wel door de 'geavanceerde' debugging technieken. laat met niet lachen.
Als je niet weet waarom Windows niet formeel bewijsbaar is moet je even je theorie boekjes open doen. Hint: Het is zo niet ontworpen. En dan hadden we ook geen bluescreens gehad btw. Net zo min als bugs. Volgens mij is er genoeg bewijs van het tegendeel.
qed.
EJ
Maar ik stel dan ook dat het onmogelijk is, mevrouw, en jij dus blijkbaar ook, wel door de 'geavanceerde' debugging technieken. laat met niet lachen.
Als je niet weet waarom Windows niet formeel bewijsbaar is moet je even je theorie boekjes open doen. Hint: Het is zo niet ontworpen. En dan hadden we ook geen bluescreens gehad btw. Net zo min als bugs. Volgens mij is er genoeg bewijs van het tegendeel.
qed.
EJ
OMG ben jij dom of zo ? Mogelijke exploits vind je door op zoek te gaan naar crashes. Buffer overflows bijvoorbeeld.
Dat is wat je niet weet. Wat je wel weet zijn opzettelijke backdoors. Maar dat is een heel ander verhaal.
As for windows, blijkbaar kun je je stelling dus niet bewijzen over of iets bewijsbaar is of niet. Je blaat dus maar wat.
Uhm, dus je vraagt nu van EJ dat hij bewijst dat jij niet kunt bewijzen dat windows formeel bewijsbaar is? Lijkt me beetje ver gezocht kerel. Daarnaast zou ik je er graag op wijzen dat je geen bronvermelding of wat dan ook geeft, alleen wat kreten en beschuldigingen. EJ daarentegen verwijst naar de manier waarop onze grote vriend Dijkstra heeft gezorgt dat we kunnen bewijzen of systemen kloppen. Inderdaad wijst het feit dat windows niet altijd klopt (lees, crashed) er op dat het onmogelijk is om te bewijzen dat windows klopt.
Nu jij weer.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.