Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 54, views: 30.942 •

De Russische geheime dienst krijgt inzage in de broncode van diverse Microsoft-producten, zoals Office 2010. De inzage is een uitvloeisel van een eerdere overeenkomst en moet de ontwikkeling van veiligere applicaties mogelijk maken.

De inzage is vastgelegd in een overeenkomst uit 2002, meldt ZDNet. Door toegang tot de broncode kan de Russische geheime dienst producten maken die gebruikmaken van Russische cryptografie en daardoor veiliger zijn. Het is onduidelijk of de geheime dienst een eigen versie gaat maken van de producten, zoals Office 2010 en SQL Server Code. De reden voor het geven van de broncode zou commercieel zijn: vermoedelijk wilde de Russische geheime dienst alleen werken met Microsoft-producten als het de broncode zou krijgen.

Bovendien kan de geheime dienst ook op andere manieren zijn voordeel doen met de inzage in de broncode, meent Richard Clayton, beveiligingsexpert van de Universiteit van Cambridge. "Als een overheid toegang heeft tot de broncode kan het diverse soorten lekken vinden en die misbruiken." Volgens Clayton kan onder meer een andere overheid worden aangevallen door misbruik te maken van lekken. Door de enorme hoeveelheid code zullen tienduizenden lekken aanwezig zijn, vermoedt Clayton.

Aan de andere kant zal de Russische geheime dienst zichzelf willen wapenen tegen lekken die ze vinden door het te patchen. Daarbij loopt het de kans dat andere landen die patches zien en daardoor ook die lekken ontdekken. Ook kan de Russische geheime dienst de gevonden lekken doorgeven aan Microsoft, die ze vervolgens voor iedereen kan patchen.

Reacties (54)

Ha, dit zal wel een van de concessies zijn die de VS moest doen na de 'spionnenruil' van gisteren!

Oh ja, zie inderdaad 2002 staan, lol |:(

@wildhagen: een overheid kan een commercieel bedrijf heus wel dwingen tot overeenkomsten, vooral als het bedrijf ook overheidssoftware vervaardigd.

[Reactie gewijzigd door SnakeByte99 op 10 juli 2010 17:24]

Natuurlijk niet, het is immers al in 2002 afgesproken, 8 jaar geleden dus, het word alleen nu pas effectief kennelijk.

Verder zie ik niet wat dit met het ruilen van spionnen te maken heeft? De broncode is immers niet van de overheid, maar van een commercieel bedrijf (Microsoft in dit geval)

[Reactie gewijzigd door wildhagen op 10 juli 2010 15:54]

Het gaat om een verlenging van een bestaande overeenkomst. Staat niet duidelijk (of eigenlijk gewoon niet) in het Tweakers.net artikel. De FSB had dus al toegang tot bepaalde broncode, en deze deal betekent dat ze tot nieuwere producten ook toegang krijgen.
in zoverre met spionnen te maken dat Microsoft de code niet van de rechter niet hoefde vrij te geven om compatibilitie te vergroten, omdat dat destaatsveiligheid in gevaar zou brengen. en nu blijken de Russische en Chinese (artikel paar maanden terug) *WEL* de code te krijgen de de amerikaanse overheid niet mocht zien
Eigenaardig, maakt dit de kans op het lekken van (delen van) de code niet groter? Of is er een NDA getekend, dat ze die code niet openbaar mogen maken?

Aan de ene kant wel een goede zaak, zeker als men zo extra bugs op het spoor kan komen (en ze laten patchen), maar aan de andere kant: als delen van die code uitlekken, en daardoor exploits ontwikkeld kunnen worden die specifieke bugs gebruiken, wel weer een heel groot risico.
Natuurlijk is er een NDA in plaats, en het is ook niet interessant voor de Russische geheime dienst om de code te lekken, want dan kan iedereen de bugs opsporen en misbruiken.
Dat de russische geheime dienst MS producten gaat patchen lijkt mij uitgesloten.

Ze zullen de zwaktes graag voor eigen voordeel gebruiken. Denk maar niet dat ze ms office zelf gaan gebruiken. Waar het omgaat of hun bevolking het mag gebruiken. Daar heeft MS alle belang bij, maar dan wil de Russische geheime dienst wel dezelfde voordelen hebben als de CIA, anders halen ze deze onveilige software liever niet binnen.

Daarmee komt de code ook in handen komt van criminelen, want in Rusland zijn de misdaadsyndicaten aan de macht. Dat deert Microsoft niet. MS heeft immers altijd veiligheid ondergeschikt gemaakt aan winst.

De Amerikanen vinden het natuurlijk best om deze software andere landen binnen te loodsen. Hoe meer Amerikaans software werelwijd wordt gebruikt hoe meer macht ze krijgen. En wat zegt zo'n disclosure nou? Office zit vast aan Windows. Krijgen ze ook een disclosure van elke update die op windows wordt geinstalleerd? Vast niet. En daarmee weet je ook niet wat voor spyware er wordt geinstalleerd door de CIA.

Dat verloopt via de servers van MS die communiceren met de PC. Dankzij de unieke registratienummers en verplichte authenticatie, kan de CIA bepaalde gebruikers heel gericht bespioneren, waardoor de kans op ontdekking heel gering is.

Stel dat de CIA geinteresseerd is in de offertes van Airbus aan een klant van Boeing. Met de nieuwe windowsupdate wordt alleen bij een bepaalde werknemer van Airbus een stukje spyware geinstalleerd die zijn documenten kopieert in versleulde verborgen bestanden. Bij de volgende update wordt de boel naar de Microsoft server verzonden en eventueel de spyware gedeinstalleerd. Easy as cake.

Het ideale mechanisme omdat het geen sporen nalaat en je het kan targetten op specifieke personen waardoor de kans op ontdekking gering is. Het is nog "veiliger" geworden nu MS updates enkel via eigen servers laat lopen.

[Reactie gewijzigd door degener op 10 juli 2010 21:16]

Waar baseer je op dat microsoft hun beveiliging van software minder serieus neemt dan winst ?
ik ben daar heel benieuwd naar
#Sarcasme

Airbus draait geen geaudite WSUS servers, neen alles hangt aan het internet.

Kom op zeg, windows mag dan naar populair geloof wel zo lek als een mand zijn, dat excuseert corporate ict departementen er nog niet van om de deuren wagenweid open te laten staan. Boven genoemde scenario zal dan ook zelden mogelijk zijn, laat staan zo specifiek en inoptrusief als jij doet voorkomen.
De CIA doet al jaren aan industriele spionage, dat is gewoon een bekend feit. De KGB (toen die nog bestond) deed hetzelfde.
Een feit zelfs, geef eens een voorbeeld? En dan niet een bron van een aluhoedjes vereniging.
CIA directeur James Woolsey gaf precies dat toe tegenover journalisten (in 2000). Ik denk dat je hem geen aluhoedje kunt noemen.
Aan de ene kant wel een goede zaak, zeker als men zo extra bugs op het spoor kan komen (en ze laten patchen), maar aan de andere kant: als delen van die code uitlekken, en daardoor exploits ontwikkeld kunnen worden die specifieke bugs gebruiken, wel weer een heel groot risico.
ze kunnen zelf hun versie patchen en de gevonden bugs exploiten om anderen mee aan te vallen, pas als het dingen zijn die makkelijk te vinden en te exploiten zijn, zullen ze het aan MS doorgeven om hun eigen burgers (en werknemers thuis) te beschermen
Op zich maakt het niet veel uit of de code al dan niet uitlekt. Open source is ook niet onveiliger dan closed source. Een NDA is meer vanuit commercieel belang noodzakelijk dan om de veiligheid te waarborgen. Natuurlijk kun je vraagtekens stellen bij het feit dat een geheime dienst toegang krijgt tot source code van belangrijke producten en is het na´ef te veronderstellen dat men enkel patches maakt en geen aanvalsplan bedenkt maar Microsoft moet wel. Overheden zullen deze inzage eisen of simpelweg alternatieven zoeken.
Het is al jaren zo dat diverse overheden onder bepaalde voorwaardes inzicht hebben in de broncode van diverse softwareleveranciers.
Een puntje wat bijvoorbeeld nog niet is genoemd in het artikle is natuurlijk dat de russen zich graag willen verzekeren dat de Amerikaanse openheid geen invloed heeft uitgeoefend op de software van MS
Neem aan dat u Amerikaanse overheid bedoelt?
Een puntje wat bijvoorbeeld nog niet is genoemd in het artikle is natuurlijk dat de russen zich graag willen verzekeren dat de Amerikaanse openheid geen invloed heeft uitgeoefend op de software van MS
Wat dat betreft kun je de vraag stellen welke versie van de broncode Rusland dan eigenlijk te zien gaat krijgen.
Heeft Amerika ook toegang tot de bron code?

De toon in dit artikel geeft aan dat de mensen die hun commentaar geven vrezen dat de Russische geheime dienst hier iets 'ergs' mee gaat doen.. wat ik mij afvraag is of amerika hier ook toegang tot heeft.

Aangezien de pers rusland vaak nogal negatief afstempeld en amerika dat een erg 'dubieus land' is... altijd positief voorsteld.
Verder vind ik dit opzich geen slechte zaak..
wat kan de russische dienst hiermee is de vraag

ze kunnen documenten die mensen hebben proberen te verwijderen door hd te vernielen nog beter weer terug halen vermoedelijk aangezien ze de broncode kennen.
en ze kunnen zich beter beschermen..


@offtopic

verder vind ik dat er naast Clayton om het artikel een betere blik te geven, er ook iemand van een Russisch land commentaar bij het artikel moet leveren en niet alleen een persoon die vermoedelijk al bevooroordeeld is


@wildhagen & ^Mo^

nouja als amerika en andere westerse landen er toegang tot hebben mag de rusische dienst het ook wel van mij ;)

thanks voor de uitleg van de deal

[Reactie gewijzigd door mmjjb op 10 juli 2010 16:00]

Heeft Amerika ook toegang tot de bron code?
Of ze er inzage in hebben weet ik niet, vermoedelijk wel, via het Shared Source-programma.

Maar ze helpen wel mee met de code, om het veiliger te maken, iig in versies tot Vista, zie bijvoorbeeld nieuws: NSA be´nvloedde Windows-versies tot en met Vista
Ja. Het is een standaard deal van Microsoft. NATO heeft ook toegang (dus ook Amerika, en Nederland, etc.)
A senior security source with links to the UK government told ZDNet UK on Wednesday that the 2002 deal was part of Microsoft's Government Security Program. Nato also signed up, said the source. Having a number of different governments with access to Microsoft code meant it was possible that a government could find holes in the code and use it to exploit another nation-state's systems, said the source.
Misschien nuttig om op te merken dat de Chinezen ook toegang hebben.

Kan wel leuk zijn, dat ze over en weer de boel gaan proberen te patchen en lekken die ze vinden gaan misbruiken bij spionagepogingen van andere landen.

Wat ik me wel afvraag is, kunnen ze de broncode ook zelf compileren?

ed: Khodorkovsky & co, en Russische dissidenten die tegen Poetin / Medvedev zijn zullen nu misschien ook wel gemakkelijker door hun eigen overheid bespioneerd kunnen worden, dat kan ook een belangrijk motief zijn!

[Reactie gewijzigd door kidde op 10 juli 2010 19:04]

Een geheime dienst kan alleen bestaan als het informatie inwint (legaal of illegaal). Wat is idealer dan de broncode te hebben van een besturingssysteem die door een groot deel van de bevolking wordt gebruikt. Om vervolgens te misbruiken om informatie in te winnen.

Wat interessanter is waarom de Verenigde Staten hier akkoord mee zijn gegaan (als er iets de national security in gevaar kan brengen lijkt het mij dit wel). Wat heeft er tegenover gestaan? Lijkt mij namelijk pure onzin dat dit van Microsoft zelf komt om de klantvriendelijkheid/vertrouwen te verbeteren. Laat staan dat Microsoft zelf even heeft mogen beslissen dit te doen.
'T is nooit zo ingewikkeld:
-Zowel China als Rusland zijn in het verleden / momenteel druk met Linux in de weer geweest,
-Microsoft niet blij, wil dat ze Windows blijven gebruiken, dus ze doen concessies, o.a. inzage in broncode,
-Microsoft is een van de grootste bedrijven van Amerika, en voor een groot deel van de winst afhankelijk van verkoop aan overheden,
-Politiek in de VS is gesponsord door bedrijven, dus de bedrijeven bepalen net zozeer wat de politiek doet als andersom.

Overigens ziet Rusland het knutselen aan 'Windows' als een transitiefase - het afbouwen van hun afhankelijkheid van buitenlandse software. Op scholen worden leraren getraind te werken met o.a. Linux, en die moeten dan de migraties van de scholen gaan regelen (de migraties vanuit de overheid opleggen heeft niet gewerkt).
Ze zijn ook druk bezig zelf een OS te bouwen. Afgelopen week hebben ze Mandriva praktisch opgekocht, schijnt.

[Reactie gewijzigd door kidde op 10 juli 2010 19:35]

Wie zegt dat de binaries van office zijn gecompiled uit de zelfde sourcecode stammen als MS heeft opgeleverd? Het heeft alleen zin als de geheimedienst zelf office opnieuw compiled met de source die zij hebben gekregen.

edit: typo

[Reactie gewijzigd door terracide op 10 juli 2010 16:08]

Als dat niet zo is komt dit meteen aan het licht als de russen zelf Office compilen en gaan vergelijken met de versie uit de winkel.
dat is soms wel lastig te zien als ze dingen verstoppen eh... na het compilen is de hash niet het zelfde als elke willekeurige compile.
Als ze dezelfde compiler gebruiken, ja. En dezelfde optimalisatie-flags etc.
Nee hoor. Er zijn en aantal zaken waardoor een binary na elke build anders kan zijn. Een voorbeeld hiervan is een build nummer of een timestamp. Het is dan lastig om te achterhalen of de binaries verder gelijk zijn. Ook is de vraag of ze de naast de source code ook de build files (scripts, makefiles, project file, etc) hebben gekregen. Zonder deze wordt het vrij lastig om de boel te compileren.
Heeft alleen zin als ze ook de broncode van de compiler erbij krijgen, anders kan er nog van alles gebeuren.
Of de broncode van de compiler die die compiler gecompileerd heeft. Immers, als je een keer een backdoor in een compiler toevoegt kun je die daarna uit de broncode halen, mits de compiler met zichzelf gecompileerd wordt ;)

Zie de paper @ http://cm.bell-labs.com/who/ken/trust.html
Die paper is achterhaald. Het veronderstelt (ten onrechte) dat een trojan compiler feilloos de source van de compiler kan herkennen.
dit is hetzelfde als wat alle geheime diensten ter wereld doen, nl informatie gebruiken om controle over burgers te kunnen uitoefenen.
zat te doen ze doen alleen liever de voor de bevolking minder interesante dingen.
Als ik naar Debian non-US kijk, dan is het niet verwonderlijk. Tot 5 jaar geleden kon je 2 verschillende versies van Debian afhalen. De US-versie heeft een aantal "defense articles", daaronder viel SSH, PGP,... en dat mocht niet vanuit de VS geŰxporteerd worden. Stel je voor dat je als niet-Amerikaan niet meer plaintext telnet of email gebruikt, dan kan je niet meer zo gemakkelijk door de VS afgeluisterd worden. Maar een Amerikaan mag wel buitenlandse SSH, PGP,... importeren en Debian host deze pakketten in volle vrijheid in Nederland. Sindsdien kan een niet-Amerikaan ook iets versleuteld versturen.

Microsoft is Amerikaans en heeft last van exportbeperkingen (of MS heeft weinig zin om beveiligingen goed te maken). Dan wil je als een niet-Amerikaanse overheid controle over de code/software hebben en indien nodig verbeter je een aantal zaken zodat het bruikbaar wordt.

Met CUDA weten de Russen al te goed dat ze een supercomputer van een universiteit kunnen vervangen door een gamersbak met 6 dual gpu grafische kaarten. Een gpu is gemakkelijk gelijk aan 100 of veel meer processorcores in het kraken van encryptie. Bouw een lanparty met die bakken en je hebt een ongekende hoeveelheid rekenkracht. Wet van Moore is in het kraken van sleutels niet meer geldig. Zeker niet als je kijkt naar de rekenkracht per euro dat je kan krijgen en het programmeren kan je als huiswerk aan wat studenten geven. Russen hebben de software voor extreem snel sleutels kraken geschreven en weten al te goed dat ze nog zwaardere cryptografie dan gewone cryptografie nodig hebben.

MS heeft de gewoonte om te wachten met het dichten van lekken totdat er hele bekende wormen de halve wereld gesloopt hebben, dan wordt het misschien dringend om een patch te schrijven. Geen kosten maken door uit te stellen is altijd mooi meegenomen, tenzij als je PR-schade dreigt te lopen. Als staat wil je hierover controle hebben en interne patches schrijven voor eigen gebruik.

De broncode is ook handig om allerlei onnodige processen in Windows te elimineren. Alle Windows installaties draaien IE op het achtergrond, al is het maar om de help pagina's of windows verkenner te laten zien. Op deze manier mag je de grootste Firefox fanboy worden, bij de eerste beste IE-worm (die niet door je firewall tegengehouden wordt), word je computer nog altijd gekelderd, want IE kan je niet uitschakelen en het draait altijd. Linux is omgekeerde wereld, je begint kaal en je installeert misschien een pakketje dat zwakheden heeft. Stel dat je alle Firefox'en neer kan halen, dan doe je niks tegen de vele Linux installaties die simpelweg geen Firefox ge´nstalleerd hebben.

Een staat/overheid spreekt niet over kleine dingen zoals winst of verlies, maar "Zullen we Russisch, Frans, Engels, Spaans,... spreken? Worden we straks gekoloniseerd?". Er staat veel meer dan slechts geld op het spel. Dan wil je voldoende controle over IT hebben en gesloten software wordt pas een optie als je de voordelen van open source ook in huis kan halen. Zelf in de code kijken, zelf zwakheden elimineren, zelf het boeltje dichttimmeren,...

Het is als gebeurd dat US Navy plat ligt (motoren van schepen vielen uit) omdat een Windows netwerk volledig plat ging door een deling door nul. Zo slecht was Windows NT. Je zou maar richting Redmond bidden, terwijl de Russen voorbij marcheren. Snel ter plaatse een patch schrijven is het alternatief.

[Reactie gewijzigd door rapture op 10 juli 2010 18:14]

Having fun bashing?

In de jaren 80 en 90 waren er export beperkingen op cryptografische software. Deze beperkingen zijn al zeer lang verdwenen. Voor broncode heeft die beperking zelfs nooit bestaan. Broncode valt namelijk onder de vreihijd van meningsuiting.

Voor een kale Windows heb je Windows Embedded. WE kan perfect werken zonder een explorer.

En heb je dat artikel van de US Navy eigenlijk gelezen? Daar staat nergens in dat het de schuld van NT was maar meer omdat de beslissingsmakers eigenlijk niet wisten wat ze deden en omdat men geen prototypes bouwde of degelijke testen hield. Voor zulke kritieke systemen on-the-fly ontwikkelen is gewoon vragen om grote problemen.
Geldautomaten draaien / draaiden anders ook op (een uitgeklede) Windows NT versie. Lijkt me inderdaad een beetje kort door de bocht om het OS daarmee volledig de grond in te stampen.
Die laten ook vaak genoeg een BSOD zien
De Russische geheime dienst is niet de enige hoor.
Er zijn zat bedrijven, universiteiten en regeringen die toegang hebben tot (delen van) Microsofts broncode. Als student kun je (via je universiteit) de broncode van de Win2003 kernel krijgen. De broncode van WinNT en Win2000 is al een keer op internet terecht gekomen.

Als je het echt wil kun je dus wel toegang krijgen tot flinke delen van de Windows source code.
Als gebruiker heb je dus de nadelen van open source (krakers kunnen de broncode bekijken) zonder de voordelen van open source (je mag de broncode zelf bekijken en aanpassen).

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Assassin's Creed UnityFIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013