Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 69, views: 12.371 •
Submitter: icratox

Het is Franse ministers en hun departementen verboden smartphones en tablets te gebruiken om gevoelige informatie te verwerken en verzenden, zo wijst premier Jean-Marc Ayrault erop. Het verbod is waarschijnlijk het gevolg van de recente NSA-onthullingen.

Premier Ayrault heeft zijn ministers een brief gestuurd om erop te wijzen dat ze geen smartphones mogen gebruiken voor gevoelige communicatie. Alleen goedgekeurde beveiligde apparaten mogen hiervoor gebruikt worden. De waarschuwing is het gevolg van 'de recente inbreuken op de beveiliging', waarmee de premier waarschijnlijk op de recente onthullingen van klokkenluider Snowden doelt. Daarbij werd duidelijk dat de NSA veel communicatie kan onderscheppen en ontsleutelen.

In de memo, waar L'Express de hand op wist te leggen, drukt Ayrault de ministeries ook op het hart om geen tekstberichten over en weer te versturen, geen usb-sticks te gebruiken als de herkomst niet bekend is en bijlagen niet te openen voordat deze gecheckt zijn op virussen en andere malware. Voor versleuteling van telefoongesprekken die geheim moeten blijven, heeft Frankrijk 2300 Teorem-toestellen van het bedrijf Thales binnen ministeries verstrekt.

Bij het Ministerie van Binnenlandse zaken gebruiken medewerkers versleutelde Samsung-toestellen waarop ze geen apps kunnen installeren en waarbij geotagging is uitgeschakeld. Ook wordt er overgestapt van Windows naar het in Frankrijk ontwikkelde SecDroid binnen departementen. In 2007 begon Frankrijk met de uitrol van beveiligde Windows Phone-smartphones onder de codenaam Hermès, maar uit NSA-documenten zou blijken dat Microsoft op verzoek van de NSA backdoors in zijn besturingssysteem heeft ingebouwd.

Thales Teorem Sarkozy

Reacties (69)

Gewoon net zoals de russen lekker op de typmachines over!
Ja, maar om nu de halve dag zo'n typemachine aan je oor je houden is ook best wel vermoeiend hoor.
Ik heb er vorige week 'n gekocht voor 20 euro ;)
We moeten als EU gewoon ons leren afscheiden van de USA. iig zorgen dat er alternatieven zijn tegenover de producten uit de US op software gebied.

Een land dat zijn macht zo graag gebruikt en tegelijkertijd een software monopolie heeft is gewoon slecht. Daar moet gewoon verandering in komen.

Ik zie dit als een goed initiatief waardoor ook vele bedrijven intern in de EU dus opdrachten krijgen. Zoals je ziet leverde thales dus telefoons en moeten ook andere software ontworpen worden in de EU. Dit betekend veel werk voor o.a. software engineers in de EU.

Ik ben voor om als EU te gaan concurreren of vergelijkbare producten neer te zetten tegenover Google, Microsoft en Apple etc.

Heel veel diensten waar wij tegenwoordig afhankelijk van zijn, zijn 100% in Amerikaanse handen. Dit kan niet goed zijn.
Ik ben daar ook wel voor; het enige is dat Europese landen soms bijna net zo erg zijn, met name de Britten. En bijna alle electronica worden geassembleerd in China...

Vooral open-source software moet de overheid onmiddellijk op overgaan; als het niet anders kan kunnen ze Windows draaien in een virtual machine. Je ziet ook dat dit al gaande is, al een hele tijd. Had de Finse overheid ook niet laatst Linux verplicht gesteld in een bepaald departement? Deze beweging wordt nu versneld.

En hopelijk worden alle NSA-spionnen nu eindelijk een keer uit die instituten geknikkerd waar onze encryptiestandaarden bedacht worden. Ik krijg de indruk dat men daar nu mee begint.
Een probleempje: wij kunnen dat helemaal niet. Er is een goede reden voor dat de internet giganten allemaal in de US zitten...
Of het gebruik van One Time Pad: http://nl.wikipedia.org/wiki/One-time_pad

Ik loop al even met het idee rond een otp messaging applicatie te maken waarbij een, door de twee gebruikers afgesproken, file gebruikt wordt als pad om het systeem tussen 2 gebruikers te kunnen starten. Eenmaal de pad op z'n einde loopt kiest de applicatie op een willekeurige manier een webpagina/torrent/youtubefilm/.. waarvan de link over het secure channel wordt gedeeld. De 2 kanten downloaden deze file en gebruiken deze als pad eenmaal de eerste file is opgebruikt.
Lijkt me met wat thinkering tamelijk waterdicht te maken?

[Reactie gewijzigd door Oljoner op 11 september 2013 18:55]

Een wegpagina, torrent of wat dan ook is niet willekeurig genoeg om als OTP te dienen. Een echt onkraakbare OTP (wat jij blijkbaar wilt, anders ga je wel met een algorithme waarbij het wachtwoord als seed gebruikt in een pseudorandom generator) heeft volledige willekeur nodig.
Is wel makkelijk voor de NSA...
Allereest komt er wat encrypte dat voorbij op de client. (afspreken sleutel OTP)
Daarna gaan beide clients de zelfde film downloaden.
Daarna komt er nog meer encrypte data voorbij. (encrypte data)

Dus de NSA hoeft alleen de film te downloaden en kan de data decrypten... :)
Gewoon de mailtjes op usb-sticks bewaren! Of nee er...
Tja, het is in ieder geval een stap de goede richting op, maar het zal bij lange na niet genoeg zijn om de NSA buiten de deur te houden. Denk alleen al aan de routers, software van Microsoft en andere Amerikaanse bedrijven. Als je daadwerkelijk de NSA buiten de deur wilt houden (althans het moeilijk wil maken), zullen we in Europa eigen besturingssystemen moeten ontwikkelen (waar ik een groot voorstander van ben geworden). We leunen voor een groot deel van de toepassingen die er zijn op ICT gebied, volledig op Amerika.

Verder wordt het lastig aangezien de meeste hardware uit Amerika komt. Het wordt vrij lastig om dit te controleren (natuurlijk niet onmogelijk). Echter heeft Europa zo weinig meer in te brengen op de grote markt, dat ik het niet snel zie gebeuren dat de hardware hier ontworpen, laat staan geproduceerd gaat worden.
We hebben al Linux. Heel veel open-source software komt juist uit Europa. Wat betreft hardware hebben we een probleem: die wordt door Koreaanse en Amerikaanse bedrijven in China vervaardigd, en de Chinezen doen niets liever dan spioneren. Waarom denk je dat ze zich zo stil houden tijdens het Snowden-gebeuren? Omdat ze zelf even erg zijn. En de Britse geheimediensten zijn zo mogelijk nog erger dan de NSA...
grappig genoeg, Samsung KNOX is recentelijk goedgekeurd door het US DoD, etc...
ik ben benieuwed of die ook uberhaup wordt gebruik door andere landen
Frankrijk dus, ik ga er echt wel vanuit dat ze dat mee bedoelen :
Bij het Ministerie van Binnenlandse zaken gebruiken medewerkers versleutelde Samsung-toestellen waarop ze geen apps kunnen installeren en waarbij geotagging is uitgeschakeld.
Ik vind het wel grappig dat ze overstappen naar SecDroid, zegt al geneog over hoeveel vertrouwen ze hebben in SEforAndroid (hadden ze misschien NSAforAndroid moeten noemen) :P

/Edit :
zat net te kijken op Thales website en ze hebben ook een TeoPad smartphone op Android, vraag me af waarom Frankrijk dan die niet neemt ipv secAndroid te gebruiken... vertrouwen ze Thales dan niet, of Android zelf niet en willen daarom secAndroid gebruiken (die alle communicatie naar de buitenwereld op de Linux-laag uitgeschakeld heeft) ?

[Reactie gewijzigd door TIGER79 op 11 september 2013 15:48]

Nederland moet dit eigenlijk ook gaan doen. En eigen experts hebben die kunnen checken of de veiligheid goed geregeld is of niet. Niet dat we vervolgens daarna weer perfect door de Franse geheime dienst afgeluisterd worden.
Wat NL (of anders de EU) moet doen is eigen encryptiealgoritmes ontwikkelen en op basis daarvan pas eigen secure hardware.
De encryptiealgoritmes zelf is niet het probleem. De implementatie ervan wel.
Ik vraag me af of dit ook invloed zal gaan hebben op andere bedrijven of individuen. Hoop niet dat dit 'het einde' (ofwel flink inzak of volledig) van Android gaat betekenen. Ben zeer te spreken over het besturingsysteem.
Juist niet, want Android is open-source, en deze afluister-schandalen tonen n van de grote voordelen van open-source: Transparantie, want je kunt 'onder de motorkap' kijken, wat bij closed-source zoals Windows Phone, niet kan.
Maar als je al leest dat er hardwarematige backdoors zijn.... o.a. de random generator in een Intel processor.

Dan kun je dus beter kijken naar ARM cores want die zijn niet in Amerikaanse handen.
Is dat zo? In wiens handen zijn die dan? Kunnen wij in Europa elctronica kopen of gebruiken die noch door Americaanse, noch door Chinese handen zijn gegaan?

[Reactie gewijzigd door Cerberus_tm op 12 september 2013 01:46]

Hah, fijn dat de Fransen het aan de grote klok 'lekken'. Dan kunnen we tenminste niet bagatalliseren of wegmoffelen.
NSA-documenten zou blijken dat Microsoft op verzoek van de NSA backdoors in zijn besturingssysteem heeft ingebouwd.
|:( Zal een klap worden voor Microsoft, organisaties die erover denken over te stappen op een ander besturingssysteem zullen sneller over de streep getrokken worden.

Nu is het ook de vraag of alternatieve besturingssytemen net zo veilig zijn.
Als Windows een backdoor heeft (zoals al jaren een publiek geheim is) dan zullen er waarschijnlijk in Linux/Android varianten waarschijnlijk ook backdoors zitten.
Je kunt de componenten voor een besturingssysteem op basis van Linux helemaal zelf in elkaar knutselen. Dus het kan, de vraag alleen is, zijn de compilers wel te vertrouwen.... Daar begint het mee.
Je kan de sources van gcc, de kernel, glibc en alle daemons doorlopen. Ik kan me goed voorstellen dat een pre-compiled Linux distro'je niet veilig is, maar als je er eentje zelf inelkaar zet zit het wel goed.
Mits je precies weet wat je doet en zelf alle sources controleert want je kan geen derden vertrouwen. En zelfs dan ben je niet veilig voor alle ongerapporteerde bugs. En het kost je waarschijnlijk meer tijd dan er uren in de dag zitten.
Ik zeg ook keer op keer dat de huidige software veel te complex en groot is geworden. Juist voor zaken als veiligheid is het belangrijk om de source goed na te kunnen lopen. Wat dat betreft heeft OpenBSD en Plan9 een serieuze voorsprong op Linux. Want alleen de kernel zelf is tegenwoordig al > 15 mln regels source code. Vergeleken met Plan9: 180.000 regels. En het gehele Plan9 besturingssysteem compileert in 2 tot 5 minuten! Probeer maar eens gcc te compileren.
Inderdaad het is een theoretisch verhaal. Maar aan de andere kant: de sources worden dagelijks doorgelopen, op diverse punten, door een scala aan programmeurs. Dat er eentje van een dienst tussen zit die op zijn eigen houdje backdoors kan toevoegen zonder dat dat een ander opvalt lijkt me onwaarschijnlijk.

Aan de andere kant zou een project dat iedereen in open source land eens een maand ofzo lang alles aan de kant legt en zich specifiek op het zoeken naar mogelijke backdoors toelegt wel een mooie actie zijn imo.
Begrijp niet waarom je omlaag wordt gemod, maar je mist wel de clue van het verhaal en dat is dat namelijk niets meer is te vertrouwen. Gaf net al aan, zelf de compilers zou ik niet meer vertrouwen.
maar je mist wel de clue van het verhaal en dat is dat namelijk niets meer is te vertrouwen.
Ik denk dat je juist mijn clue mist; nl. dat je Open Source wel kunt vertrouwen.
Hoe weet je dat? Heb je die code wel eens goed bekeken? Best wel veel wordt standaard aangeleverd door Google, de NSA zelf (cryptografie-implementaties), en andere grote bedrijven. De kans is groter dat het goed is, maar niks is waterdicht. Dat zal het ook nooit worden.
Je hebt het over 'waterdicht'. Dan denk ik aan ongeauthoriseerde backdoors in de software (bijv. een distributie hacken). Da's heel wat anders dan (door het software bedrijf - in dit geval Microsoft, die graag met de NSA samenwerkt) geauthoriseerde backdoors inbouwen.

[Reactie gewijzigd door kimborntobewild op 11 september 2013 15:31]

Backdoors in een Open Source systeem woren vaak snel ondekt.
http://en.wikipedia.org/wiki/Backdoor_%28computing%29 is er een mooi voor beeld van.
Want in Open Source kunnen geen backdoors ingebouwd worden?

Zomaar even google search:

https://www.security.nl/posting/6353/Backdoor+hack+laat+kwetsbaarheid+open+source+zien
Zomaar even google search:...
En zomaar even een bullshit-link.
Gaarne je eigen link eerst lezen voordat je denkt dat iemand die meewerkt aan een Open Source project er een backdoor in doet.

Dat heeft nl. nooit zin - omdat het Open Source is, komt men er altijd achter.

[Reactie gewijzigd door kimborntobewild op 11 september 2013 15:29]

Wat ik bedoel te zeggen is dat je "Open Source" niet op 1 hoop moet gooien.
er worden wel degelijk pogingen gedaan backdoors in te bouwen, en ja, daar zijn ze in dit geval achter gekomen.

Open Source betekend niet meteen veilig.

Er is niet voor niets meteen commotie ontstaan over hoe dit te voorkomen is in de toekomst.

Tuurlijk, uit eindelijk zullen alle dackdoors, bugs, lekken, etc gevonden worden.
Een deel zal meteen gevonden worden een ander deel pas na dat het in gebruik is genomen.
Dan krijg je namelijk nog te maken met het netjes up-to-date houden van de software.
We leren allemaal dat je altijd de laatste updates en versie moet gebruiken, maar we weten ook dat dit zeker niet altijd het geval is.
Wat ik bedoel te zeggen is dat je "Open Source" niet op 1 hoop moet gooien.
er worden wel degelijk pogingen gedaan backdoors in te bouwen, en ja, daar zijn ze in dit geval achter gekomen.
Het gaat in de genoemde link om een hacker, die niks met het programmeerteam te maken heeft. Het risico van hackers heb je natuurlijk overal. Bij Closed Source ook. Bij Closed Source heb je dus k het risico dat een programmeur er bewust (al dan niet in opdracht) een backdoor inbouwt. Bij Open Source heeft dat geen zin want de backdoor zal (omdat het Open is) bekend worden of i.i.g. bekend kunnen worden. Dus zitten er geen backdoors in Open Source (tenzij je dus natuurlijk net een gehackte versie binnenhengelt bij het downloaden; maar die kans bestaat k bij Closed Source).
Er kunnen wel backdoors ingezet worden, maar in het gelinkte geval is het voorkomen. Het is de 'hacker' bijna gelukt om de backdoor in de kernel te plaatsen.
Wat opvalt:
- Bij review van de code is de poging ontdekt en tegengehouden
- Code van de betreffende 'hacker' zal _nooit_ meer geaccepteerd worden voor de Linux kernel.
- In de OS wereld is grote commotie en discussie ontstaan over het gebeuren en hoe dit te voorkomen.

Ik zie al deze punten eerder als weerbaarheid voor opensource in plaats van dat het aantoont dat opensource kwetsbaar is.

Overigens is de link van artikel van bijna 10 jaar geleden en de betreffende onderbouwing geeft een 404... 8)7

[Reactie gewijzigd door Khildin op 11 september 2013 16:21]

Het feit is dat ze worden ondekt , dus GEEN EFFECT hebben ,,, een backdoor heeft pas zin als hij niet word ondekt en dat is bij open source heel herg moeilijk om ondekking te voorkomen.
Maar dat is dus niet zo. Je kunt zat kernel developers hebben die allerlei mooie drivers ontwikkelen, maar dan 'vergeten' om bijv. een if-check in te bouwen van 2 regels. Daarnaast bestaat er de mogelijkheid dat de compiler die jij gebruikt (de binary) aangepast is, waardoor als jij die compiler gebruikt om zichzelf te compileren, de compiler stiekem extra code toevoegt aan zichzelf. Als je de (aangepaste) compiler gebruikt om vervolgens een login programma te compileren, kan de compiler ook weer stiekem code toevoegen (een backdoor).
Open Source developers zijn een heel andere slag mensen dan Closed Source developers.
Een Open Source developer die toch een backdoor probeert in te bouwen, kan je beschouwen als infiltrant; net zoals een spion die infiltreert in een bepaald netwerk van mensen.

Compiler: als het probleem in de compiler zit, dan is die compiler dus gehackt (c.q. besmet met malware). Een hack vind ik heel iets anders dan bewust een backdoor inbouwen. Dat laatste doe je gewoon niet, als je Open Sourcerer bent. Je wt immers dat de backdoor eenvoudig gevonden kan worden (door iedereen).

Zelfs ls er een keer een OS programmeur is met een hersenbeschadiging waardoor ie toch probeert een backdoor in te bouwen, dan is dat nog een extreem zeldzaam iets. En dan nog wordt ie (uiteindelijk) gepakt.
Kijk je bijv. naar de afgeschreven programmacode van Win98: niemand die daar nog iets mee doet; niemand kan checken hoeveel backdoors daar werkelijk in zaten. (Zonder de boel 100% te reverse engineren, maar dat is niet te doen).
Dus uiteindelijk wordt nooit bekend van Closed Source hoeveel / welke backdoors er in gezeten hebben, terwijl er al lang weer nieuwe versies van die software zijn. Een deel wordt wel gevonden door reverse enginering, maar da's een druppel op de gloeiende plaat. Althans, je kan niet zien hoe groot die gloeiende plaat is.

[Reactie gewijzigd door kimborntobewild op 12 september 2013 14:17]

Android. Chrom(ium). Ik kan er best wel een paar opnoemen.
Daar zitten geen backdoors in.
Ik heb je ook naar beneden gemod en ben geen MS-fanboy.

Je reactie begint met een gerucht (er is nog nooit een backdoor in Windows bewezen) en eindigt met met een onbewezen statement (er zijn inderdaad in Open Source software nog nooit backdoors bewezen).

In feite zijn backdoors veel besproken maar zeer zelden aangetoond. En dat doet mij twijfelen. In al die honderden miljoenen Windows gebruikers moeten toch wel een paar mensen zijn die zoiets zouden moeten vinden? Virussen doen vergelijkbare dingen en worden aan de lopende band opgespoord (zelfs als ze door de NSA gemaakt zijn!). Bugs zijn vaak zeer moeilijk aan te tonen en daarvan hebben we websites vol.

Maar een backdoor? Ga zelfs maar eens googlen.
Android is waarschijnlijk het makkelijkste platform om een eigen 'veilige' europese versie van te ontwikkelen.
Alleen moet je er dan nooit een Google playstore op zetten...
De Fransen stappen dus van WP over naar Secdroid. Secdroid is een geharde versie van Android en wordt ontwikkeld door xda-developers.com gebruiker x942 (bron: xda-developers.com).

Bij Secdroid worden oa de volgende diensten uitgeschakeld: SSH, SSHD, Telnet NC (net cat) en Ping om toegang op afstand via een remote terminal te voorkomen. Het uitschakelen van Package Manager voorkomt het op afstand installeren van apps. Daarnaast kun je ADBD uitschakelen tot de volgende reboot (vertaald van xda-developers.com)

Dit project ligt momenteel stil, omdat de ontwikkelaar nu bezig met een alternatief project genaamd Guardian Rom. Dit is gebaseerd op CM10.1 en hierbij worden oa de Secdroid tweaks toegepast (bron: xda-developers.com).

[Reactie gewijzigd door hieper op 11 september 2013 15:25]

Dat kun je absoluut nog niet zo stellig zeggen. Je zult dan de volledige AOSP code moeten reviewen voodat je dat met enige zekerheid Android als basis kunt gebruiken. Daarnaast kun je met de standaard AOSP source helemaal niets. Je moet ook drivers hebben om de hardware te kunnen aansturen van je smartphone en laat dat nu het grote probleem zijn. De meeste leveranciers leveren alleen binary's aan, zie ook bijvoorbeeld de binary's voor de diverse Nexus toestellen op de AOSP site. Binary's zijn gesloten dus daar kun je niet inkijken om eventuele beveiligingsrisico's op te sporen.

Het is dus iets complexer dan we zouden denken :)

[Reactie gewijzigd door Miki op 11 september 2013 17:37]

Zouden fabrikanten van o.a. telefoons ook enkel binaries krijgen? of toch niet? Thalys is frans en zou dus zelfs die binaries kunnen checken.
Ik zie toevallig dat bluetooth door die teorem toestellen ondersteund wordt. Lijkt me niet heel veilig ;)

Als het toestel fysieke identificatie heeft voor authenticatie, maar je bluetooth headset niet, kan je daar dus lekker tamperen. Of nog beter: je pairt een gekloonde headset, en iemand kan meeluisteren zonder verdere hacks.

Op dit item kan niet meer gereageerd worden.



Populair: Vliegtuig Luchtvaart Crash Smartphones Laptops Apple Games Politiek en recht Besturingssystemen Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013