image

Overheden kunnen broncode Microsoft in Brussel testen

dinsdag 14 april 2015, 10:42 door Redactie, 8 reacties

Volgende maand opent Microsoft een speciaal centrum in Brussel waar overheden de broncode van Microsoftproducten kunnen controleren en met hun eigen tools kunnen testen. Dat liet Microsofts Matt Thomlinson zojuist tijdens de ONE Conferentie van het Nationaal Cyber Security Center (NCSC) in Den Haag aan de redactie van Security.NL weten.

Thomlinson stelde dat overheden zo'n tien jaar geleden plotseling beseften hoe afhankelijk ze van Microsoft en Microsoftproducten waren. Opeens zagen overheden dat de software van Microsoft voor allerlei vitale infrastructuren werd gebruikt, van water en energie tot financiële systemen, terwijl ze eigenlijk weinig over Microsoft en de werking van Microsofts software wisten, aldus Thomlinson. Dat deed de softwaregigant er toe besluiten om overheden een aantal jaren geleden toegang tot de broncode van allerlei producten te geven. "Dat was een grote verandering voor Microsoft", aldus Thomlinson. "Het maakte ons op dat moment gelijk aan open source." Overheden kunnen via een smartcard op een speciale website inloggen en de code bekijken.

Het is echter niet mogelijk om de broncode te compileren, het is dus eigenlijk een "read-only" versie van open source, merkte Thomlinson op. Om overheden hierin tegemoet te komen lanceerde Microsoft vorig jaar voor het eerst een transparantiecentrum in Redmond. De code kan hier niet alleen worden bekeken, bijvoorbeeld om op de aanwezigheid van backdoors te controleren, maar overheden kunnen ook hun eigen tools meenemen voor het testen van de software. Iets wat volgens Thomlinson overheden helpt hun zorgen weg te nemen, maar tevens de code van Microsoft beschermt. "Wanneer ze met hun eigen tools het centrum binnenkomen gaan ze niet met onze broncode weg", merkt hij op. Naast het centrum in Brussel dat volgende maand geopend wordt zal Microsoft dit jaar ook nog andere lokale transparantiecentra openen.

Reacties (8)
14-04-2015, 10:59 door didrix
Het is echter niet mogelijk om de broncode te compileren
:|
Als je niet kan compileren is het moeilijk om na te gaan of de broncode ook zodanig is als die voor de binairies. En wat is het nu dan nog? Dit wekt bij mij alleen maar meer argwaan.
14-04-2015, 13:09 door rsterenb
Het maakte ons op dat moment gelijk aan open source

Nou, zo open is die source ook weer niet. Maar hippe buzz-words doen het goed bij politici dus we slapen rustig verder..

De code kan hier niet alleen worden bekeken, bijvoorbeeld om op de aanwezigheid van backdoors te controleren

*Alu-hoedje op*
En wie zegt dat het om de identieke source gaat als waarmee de software die we allemaal gebruiken is gecompiled? Zolang het niet mogelijk is om een binary te compilen die identiek is aan wat er door MS wordt geleverd, kan je geen volledige controle uitvoeren. Zouden ze ook historische source op deze manier openbaren? Misschien zit er nu geen backdoor in, maar zat die er wel...
*Alu-hoedje af*
14-04-2015, 15:12 door potshot
Door didrix:
Het is echter niet mogelijk om de broncode te compileren
:|
Als je niet kan compileren is het moeilijk om na te gaan of de broncode ook zodanig is als die voor de binairies. En wat is het nu dan nog? Dit wekt bij mij alleen maar meer argwaan.

kortom je zult never nooit niet tevreden zijn..
14-04-2015, 20:59 door Anoniem
Door rsterenb: *Alu-hoedje op* ------ *Alu-hoedje af*
Als je de source hebt kun je white-box tests uitvoeren die het bewijs vormen dat de code zich inderdaad zo gedraagt als daar bedoeld is. Je zult ook snel de kritieke problemen kunnen als die er zijn.
Bedenk dat het nadeel van gedegen analyse van de source kan zijn dat je iets tegenkomt. Dat is het nadeel met open source. Helaas een paar ervaringen afgelopen jaar lieten zien dat die gedegen analyse kennelijk ontbrak.

Alu hoedje op?
1/ Wil je het opnieuw compileren? Dat hoeft niet dezelfde code op te leveren eerder onwaarschijnlijk. Ook compilers zijn software en kunnen met alle meegelverde basis libraries fouten bevatten. (eerder al gebeurd)
2/ De hardware zelf kan fouten bevatten of er kan een parallel systeem ingebouwd zijn (standaard al gangbaar)

Wanneer is een systeem betrouwbaar?
Het enige wat er op zit is openheid en meten is weten.
Het is een begin, 100% zekerheid is uitgesloten. Gaat meer om een onderbouwde waarschijnlijkheid met betrouwbaarheidsintervallen. Dat is goed te doen (wiskunde/statistiek) Plotters die blijven doorgaan zul je houden
15-04-2015, 07:23 door Anoniem
Waarom afhankelijk van microsoft? Ik ken al genoeg bedrijven waar helemaal niks meet van icrosoft draait. Waarom kan de overheid dat niet (omdat het faalhazen zijn). Maar dat kan je microsoft niet vergeten.

Zolang het niet compileerbaar is en je je eigen binairies niet kunt draaien, zijn ze nog heel ver weg van open-source.
15-04-2015, 09:09 door Anoniem
Door didrix:
Het is echter niet mogelijk om de broncode te compileren
:|
Als je niet kan compileren is het moeilijk om na te gaan of de broncode ook zodanig is als die voor de binairies. En wat is het nu dan nog? Dit wekt bij mij alleen maar meer argwaan.

Een klassieker uit 1984:

"Reflections on trusting trust."
Ken Thompson, AT&T Bell Labs, Murray Hill, NJ
http://dl.acm.org/citation.cfm?id=358210

In het kort komt het erop neer dat je met de source code alleen niets bent, je moet namelijk ook de compiler vertrouwen.
De paper handelt over een backdoor in het Unix login programma. De backdoor wordt geïnjecteerd door de compiler, waardoor source code audits niets zullen vinden. Het was zelfs persistant voor als je dacht slim te zijn om de compiler zelf te gaan compileren...
15-04-2015, 11:06 door jep_z11
Onze overheid is naar mijn mening, onverstandig bezig door 'closed-source' software te gebruiken voor kritische toepassingen, en wat de overheid betreft, zou dat moeten gaan over elk computergebruik.

Dit, in mijn ogen: merkwaardig gebaar van Microsoft verandert daar niks aan.

Ik, als eenlingetje achter een beeldscherm, vind dat als het om computerveiligheid gaat, alleen opensource te vertrouwen is.

En ja, ook voor mij geldt dus dat Microsoftware evenmin als elke andere soort closed source te vertrouwen is voor alle toepassingen. Ook ik zou dus het liefst met enkel opensource-software werken maar helaas.... daar ben ik te 'computer-naïef' voor- ik kan niet met Linux omgaan.

Maar onze overheid zou dat wel kunnen. Die kunnen IT specialisten in dienst nemen naar hartelust.
Die vervolgens de domme gebruikers binnen de perken kunnen houden.
Jammer genoeg lijkt de overheid zelf, nog dommer dan de domme gebruiker.
15-04-2015, 11:19 door jep_z11
Eigenlijk snap ik die rare manoeuvre van Microsoft wel, bij nader inzien.

Microsoft is oppermachtig geweest, en is nu hard op z'n retour. De almacht die Windows heeft gehad is nu overgenomen door Google en Apple.
Dit is een krampachtige poging om tenminste overheden in z'n greep te houden.

Ik controleerde 't eventjes: nee, ik heb geen aluminium hoedje op.
Maar het gaat dus ook al niet echt meer over opensource versus closed source.

Het gaat over macht.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.