Schneier: geef Rusland geen Windows broncode
Onlangs sloot Microsoft een overeenkomst waardoor de Russische geheime dienst toegang tot de broncode van Windows 7 krijgt, maar dat is volgens beveiligingsgoeroe Bruce Schneier een slecht idee. Naast de broncode van Windows 7, mag de Federale Veiligheidsdienst ook de broncode van Server 2008 R2 bekijken. Hiermee hoopt Microsoft de verkoop van Windows aan de Russische overheid te verbeteren.
Waarom Schneier tegenstander is laat hij niet weten. Volgens beveiligingsexpert Richard Clayton is het onduidelijk wat inzage in de broncode betekent. Overheden kunnen het gebruiken om beveiligingslekken te vinden waarmee ze andere landen vervolgens aanvallen. Toch is het ook mogelijk om deze kwetsbaarheden zonder toegang tot de broncode te vinden.
Patchen
"Als een overheid de broncode heeft kan het allerlei soorten beveiligingslekken vinden en misschien misbruiken, maar het is onduidelijk of mensen door toegang tot de broncode beter of slechter af zijn", laat Clayton weten. Landen die lekken vinden zouden voor een aanval hun eigen netwerken patchen, wat weer zichtbaar voor andere landen is.
Vanwege de hoeveelheid regels programmeercode zitten er in Microsoft producten tienduizenden bugs, merkt Clayton op. Dat maakt het onmogelijk voor een overheid om ze allemaal te patchen, terwijl een aanvaller slechts één lek hoeft te vinden om binnen te komen. Naast Rusland heeft onder andere China ook toegang tot de broncode van Windows.
Microsoft laat weten dat inzage in de broncode een dieper inzicht in Microsoft producten biedt. "Maar het kan eenvoudig in een goudmijn voor het ontdekken van beveiligingslekken veranderen of tenminste een belangrijke deel van de puzzel opleveren", zegt beveiligingsonderzoeker Dancho Danchev.
De man die overal een mening over moet hebben.
Geef hem een rode pruik en een fopneus, dan kan je hem op waarde inschatten.
Die hebben we al.
De man die overal een mening over moet hebben.
Geef hem een rode pruik en een fopneus, dan kan je hem op waarde inschatten.
Jij lult uit je nek. Bruce Schneier is een vakman die normaliter juist zaken op waarde weet te schatten en doorgaans nuchter reageert. Ook in deze zaak heeft hij eenvoudigweg gelijk. Microsoft heeft in het verleden ook China al inzage gegeven in de broncode van Windows, dit overigens wel onder grote druk (en een onbehoorlijke zak geld). Dit terwijl ze de Amerikaanse overheid al jaren diezelfde toegang weigeren te geven.
Of je hiermee overigens het verband moet leggen tussen deze inzage en (waarschijnlijk overheids-) operaties zoals Titan Rain en Aurora laat ik aan eenieder zelf over. Dat nu Rusland hetzelfde voor elkaar heeft zal inderdaad waarschijnlijk niet veel goeds voorspellen. Wanneer hebben we voor het laatst research uit Rusland gezien dat voor iedereen de veiligheid verhoogde? Don't worry, I'll wait.
Schneier zal waarschijnlijk zn mond houden over waarom hij dit zegt, omdat niemand hardop durft te zeggen dat de Russische overheid HELE dikke banden heeft met de Russische georganiseerde misdaad (die onevenredig groot vertegenwoordigd is in de cybercrime wereld). Gevolg van het geven van deze inzage betekent dus zeer waarschijnlijk dat we meer 0day exploits kunnen verwachten uit de Russische hoek. Lekker dan :P
Hij heeft anders best goede argumenten. Bij jou kan ik die vooralsnog niet ontdekken; heb je een inhoudelijke mening over dit onderwerp ?
De Amerikaanse regering heeft wel degelijk toegang; op basis hiervan levert de National Security Agency bijvoorbeeld advies aan Microsoft tijdens de ontwikkeling van nieuwe Windows versies.
""Inzage" is iets anders dan "gooi de broncode maar over de muur"."
Ik ben benieuwd hoe jij dit opvat. In de Engelse artikelen gaat het over "supplying the source code". Verder heb je bij zaken als de broncode van windows helemaal niets eraan om langs te mogen komen en de code even te mogen bekijken; op basis hiervan kan men geen eigen cryptografie e.d. ontwikkelingen voor de Russische windows versies, aangezien de code bestaat uit vele miljoenen regels.
In het geval van China heeft men ook de source code volledig in handen gekregen zodat men deze kon onderzoeken, en zodat men op basis van deze code aanpassingen kon maken om de code te laten voldoen aan de eisen van de Chinese regering.
Wat betreft Schneier's argumenten - vanuit beveiligingsoptiek heeft hij volledig gelijk. Echter staan beveiliging en commerciele belangen op gespannen voet met elkaar, waardoor Microsoft nu de source code levert aan Rusland, en waardoor een bedrijf als Google nu terugkrabbelt in China, en alsnog overstag gaat om het land niet te hoeven verlaten.
Bedrijven zijn uiteindelijk niet uit op maximale veiligheid, maar op maximale winst.
De man die overal een mening over moet hebben.
Geef hem een rode pruik en een fopneus, dan kan je hem op waarde inschatten.
Jij lult uit je nek. Bruce Schneier is een vakman die normaliter juist zaken op waarde weet te schatten en doorgaans nuchter reageert. Ook in deze zaak heeft hij eenvoudigweg gelijk. Microsoft heeft in het verleden ook China al inzage gegeven in de broncode van Windows, dit overigens wel onder grote druk (en een onbehoorlijke zak geld). Dit terwijl ze de Amerikaanse overheid al jaren diezelfde toegang weigeren te geven.
Of je hiermee overigens het verband moet leggen tussen deze inzage en (waarschijnlijk overheids-) operaties zoals Titan Rain en Aurora laat ik aan eenieder zelf over. Dat nu Rusland hetzelfde voor elkaar heeft zal inderdaad waarschijnlijk niet veel goeds voorspellen. Wanneer hebben we voor het laatst research uit Rusland gezien dat voor iedereen de veiligheid verhoogde? Don't worry, I'll wait.
Schneier zal waarschijnlijk zn mond houden over waarom hij dit zegt, omdat niemand hardop durft te zeggen dat de Russische overheid HELE dikke banden heeft met de Russische georganiseerde misdaad (die onevenredig groot vertegenwoordigd is in de cybercrime wereld). Gevolg van het geven van deze inzage betekent dus zeer waarschijnlijk dat we meer 0day exploits kunnen verwachten uit de Russische hoek. Lekker dan :P
De man die overal een mening over moet hebben.
Geef hem een rode pruik en een fopneus, dan kan je hem op waarde inschatten.
Jij lult uit je nek. Bruce Schneier is een vakman die normaliter juist zaken op waarde weet te schatten en doorgaans nuchter reageert. Ook in deze zaak heeft hij eenvoudigweg gelijk.
...
Ik moet toch ook de Anonieme poster gelijk geven, soms heeft Bruce Schneier een paar goeide opmerkingen, maar ze zijn eerder mager de laatste tijd. En daarbij een openbaring van de source code leid niet direct tot een verhoging van 0days. Een paar jaar geleden was het beste voorbeeld toen een deel van de windows source code was gelekt (2000 & NT4 als ik me niet vergis). Dit heeft 1 nieuwe 0 day opgebracht, 1tje. Nu niet exact wereldschokkends.
Wat ik wel vind, en dat heb ik al veel gezegd, Windows zou open source moeten worden voor het verbeteren van zijn OS.
Maar ja, zolang dat niet gebeurt blijf ik een trouwe linux aanhanger.
Groetjes
Wat is dat voor een onzin. Het is een commerciele beslissing van een bedrijf of zij partijen al dan niet toegang geeft. Gelijke kansen heeft daar dus helemaal niets mee van doen.
Die hebben we al.
Krijgen is een groot woord :P. We hebben inzage op gecontroleerde wijze....
Klopt. Ze zijn zelfs zo professioneel dat ze business modellen (gelijk aan die in de normale maatschappij) gebruiken om deze misdaad te bedrijven. Hier gaat gigantisch veel geld in om......
De man die overal een mening over moet hebben.
Geef hem een rode pruik en een fopneus, dan kan je hem op waarde inschatten.
En wat staat er op jouw palmares?
Edit: Ik moet ze ook niet voeren, die trollen.
Het valt me altijd op dat als je iets vervelends over zo iemand zegt dat er altijd kuddes mensen zijn die hem beginnen te verdedigen. Waarom zou je dat doen, who cares wat ik van die pipo vind.
Die man probeert gewoon geld te verdienen door in de media zo nu en dan iets te roepen.
Je moet daar niet intrappen.
De normale gebruikers mogen geen inzage in de code hebben omdat dit een risico vormt, maar als er fouten inzitten zijn 'wij' de dupe.
De privacy van de gebruikers wordt hiermee gewoon te grabbelen gegooid!
Je maakt mij niet wijs dat de overheid echt niets achterhoud, als ze het in hun voordeel kunnen gebruiken doen ze dat echt wel (vooral China). Linux is vanaf dag één al open-source, daar zitten ook lekken in, maar die kunnen ook door de gebruikers zelf worden opgelost.
Bij Windows ben je afhankelijk van de (on)kunde van Microsoft, als zij de enige zijn die die de broncode kunnen inzien is het nog redelijk te doen. Op het moment dat je andere partijen (en niet alle partijen) inzage gaat geven in de broncode ben je gevaarlijk bezig.
Maak Windows gewoon open-source of hou alles geheim, Punt.
En wie zegt niet dat MS wel de 'echte' source vrijgeeft, het is allemaal closed-source dus controleren kun je het niet.
Het Orakel
De Amerikaanse regering heeft wel degelijk toegang; op basis hiervan levert de National Security Agency bijvoorbeeld advies aan Microsoft tijdens de ontwikkeling van nieuwe Windows versies.
Ik heb geen idee hoe je hier bij komt, maar als t klopt wat je zegt dan zit het hagelnieuwe boek van Richard Clarke (Cyber War) er in elk geval falikant naast. Net als een aantal andere zeer recente boeken zoals Inside Cyber Warfare. Ik denk dat jij in de war bent met het uitbrengen van die speciale extrazware Group Policy sets; deze zijn door de Amerikaanse Luchtmacht ism Microsoft gemaakt. Het kan ook zijn dat jij in de war bent met de Microsoft encryptie modules, waar de NSA inderdaad wel toegang toe heeft gehad (en zelfs invloed heeft gehad bij het bepalen welke encryptiesterkte er in Windows ingebouwd zou worden). Hoe dan ook: Citation needed.
Heet je soms Klukkluk?
Nee. Pipo de Clown is een beetje voor mn tijd ook trouwens. Hoezo?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.