2013: https://www.security.nl/posting/373749/%27NSA+onderschept+foutrapportages+Windows%27

welke nieuwe inzichten ?

zijn vraag bedoel je?
but I have another question: how valuable would this database be for finding new zero-day Windows vulnerabilities to exploit? Microsoft won't have the incentive to examine and fix problems until they happen broadly among its user base. The NSA has a completely different incentive structure

Ze blijven doen wat ze doen...

Al zet je alles uit, binnen komen ze toch.
Dus doe gewoon je normale dingen in het leven.
Ik neem aan dat je niet elke update kunt controleren op de code, en het is Windows die niet open-source.
En al zou je het wel kunnen dan hebben ze genoeg exploits om toch op jouw machine te komen.

Kortom maak je niet te druk om dit soort dingen.

Stuur ook nooit systemdumps op naar leveranciers hoe dan ook. Of dat nu open source of commerciële partijen betreft maakt niet uit. Ze horen goed werkende software op te leveren.
Bij een probleem volstaat de melding dat ze troep geleverd hebben en dat ze beter hun best moeten doen.

Nu nog even de praktijk.

"Al zet je alles uit, binnen komen ze toch.
Dus doe gewoon je normale dingen in het leven."

want je hebt toch niets te verbergen toch?

post je even je credit card nummer dan aub?

Ze kunnen heel nuttig zijn. Dat is wat anders dan dat het per definitie de aangewezen weg is om een probleem te herleiden.
Voor thuis maak ik me niet zo druk. Met gevoelige omgevingen op het werk ligt dat anders.
Dan krijg je de weg van een ticket met tracking en als er geen voortgang moeten ze als support voortgang tonen in hun systeem. Elke actie zinvol of niet is voortgang.
Ik heb inderdaad vaak genoeg meegemaakt dat de leverancier database dumps en alle gevoelige informatie vroeg omdat ze het anders bij hun niet zouden kunnen naspelen.
Met testscenarios is/was het probleem ook na te spelen maar dat vond men niet echt genoeg. Oss of gesloten maakt weinig uit omdat de support standaard uitbesteed is.

kan je aangeven wat de nieuwe inzichten zijn vergeleken met ontdekking uit 2013?

Ik heb genoeg gruwel ervaringen in die hoek met de vele grote namen in de markt. Inderdaad met onderliggend zeer gevoelige data. Krijg in een wereld die nu big data genoemd wordt.

Je bedoelde deze link: https://www.schneier.com/blog/archives/2017/08/nsa_collects_ms.html
O gruwel er is ontzettend veel beschikbaar voor overheidsdiensten.
- de systeem dumps voor elk willekeurig OS die je via een onveilige manier bij support moet zien te krijgen. (yep unix included).
-de rijk gevulde bugzilla's bij OSS waaraan men een keertje gaat werken. (heeft het nieuws gehaald)
https://www.cnet.com/forums/discussions/bugzilla-multiple-vulnerabilities-sql-injections-privileges-escalation-information-leak-1952/
Gewoon her en der bij de leveranciers en ontwikkelaarsgroepen buurten en de informatie opvragen als ze die al niet via mollen hebben.

" In geval van open source heb je natuurlijk de theoretische mogelijkheid dat bij veel klachten er iemand, ergens, opstaat en in de source code duikt om het probleem te achterhalen. In de praktijk kan dat vies tegenvallen natuurlijk, zeker wanneer je de zaak plat ligt en je er op moet wachten."

je hebt bij OSS ook de mogelijkheid zelf iemand dan maar in te huren of op te leiden of wat dan ook. alles kost geld, ja, maar bij non-OSS ben je echt afh van de vendor en ondergeschikt altijd aan zijn commerciele belangen. je zou zelfs bij iets bedrijfkritisch OSS kunne gebruiken en meteen zelf personeel in dienst hebben om dat te ondersteunen en maintainen die dan hun fixez upstream terug geven. red hat, suse, google, fecesboek, amazon etc. die doen dat allemaal bijv.

Daarnaast heeft M$ niet alleen licentie ingesteld, maar kent ook validatie via naar huis bellen.

M$ kan elk moment besluiten om een ieder, die hun product gebruikt, af te sluiten, wanneer dit kan of een kwaadgezind bewind dit zou besluiten. Dit alles gewapend met een uitgebreide LDAP met kerberos authenticatie, die niet overeenkomt met de industriestandaarden of cross-platform compatibel is. Dit met gebruikmaking van een eigen FW sinds XP SP2 maakt dit het gebruik van een 3rd party FW meer en meer noodzakelijk (gecombineerd met blocklists) Zie ter wering van M$-junk deze lijst: https://github.com/bwesterb/check-microsoft-blocklist

Ze hebben bijna alle OS verbeteringen gestript, behalve DR restrictie, die ook van buitenaf producten kan uitschakelen of verwijderen om wat voor reden dan ook.

Het omzeilen van DNS in de hostfile op het OS platform (hard-coded) is de neus van de kameel onder het tentzeil, klaar voor volgende modificaties aan de network stack, alles uit naam van hun veiligheidsstandaard, die eigenlijk op de keper beschouwd zeer slecht is.

Gezien de weg die Microsoft verder bewandelt komt de eindgebruiker uiteindelijk uit op een product dat een kruising kan worden genoemd tussen dat van een smart web TV en een veredelde XBox.

De hard gecodeerde veranderingen aan de kernel van het product kan als slecht beschouwd worden, zeker als deze niet of slecht zijn gedocumenteerd.

Je kan ook je computer uitzetten, en je internet verbinding opzeggen, omdat de NSA anders in kan breken op je computer. Of je maakt voor jezelf een risk assessment rondom de vraag ''ben ik interessant voor de NSA''. Kans dat je doelwit bent is immers zo'n beetje verwaarloosbaar. Wat maakt jouw computer interessant voor de NSA ?

Ik denk dat een "targeted attack" ook een verwaarloosbaar risico moet zijn of ze moeten je op de korrel hebben, vanwege dat je in beeld gekomen bent, zoals bij de WannaCry controverse en de bijbehorende "manhunt". Ben je te wijs voor je eigen bestwil, ja dan heb je iets te vrezen.

Waar iedere klikker op Interwebs en ook vooral buiten het land van de "bold and the free" last van (blijft) houden is sleepnet surveillance activiteiten, bulk data verkregen van alles en iedereen dat door de NSA molen gaat of wordt bewaard om eventueel later tegen je uitgespeeld te worden.

Daar werkt Silicon Valley hand in voet met de drie- en vierletter-diensten en daar zijn we als eindgebruiker geen van allen immuun voor. Je overheid, ook de EU-overheid beschermt je niet, maar werkt er nog lekker aan mee door het mee te faciliteren. Bureaucraten hangen aan de macht en willen liever niet weggestuurd worden, ze zijn derhalve het gevaarlijkst, want ze zijn resultaatgericht en het maakt niet uit hoe die resultaten worden gerealiseerd, of linksom of rechtsom, altijd zo bij een staat binnen de staat en Microsoft zit daartussen net als alle grote data-schuivers.

Wat ook niet meewerkt is dat het penitentiair systeem in de USA steeds meer een commercieel self-propelling systeem wordt met een maandloon van 5,25 bucks. Dat betekent zakjesplakken tegen minder dan een derde wereld tarief en voor het minste vergrijp val je dus ten offer aan dat systeem, dat al wel wat nazi-achtige trekjes vertoont. Er zitten procentueel meer mensen daar in de 'slammer' dan in heel mainland China. "Leuke jongens,die Amerikanen", zou Asterix zeggen.