NSA zegt kwetsbaarheden in software in meeste gevallen te melden aan fabrikanten

De NSA zegt dat ze kwetsbaarheden die ze ontdekt in software in 90 procent van de gevallen doorgeeft aan de makers ervan. Daarmee wil de overheidsorganisatie zich verdedigen tegen de beschuldiging dat ze softwarekwetsbaarheden verborgen houdt voor spionage.

NSA company logo Het gaat daarbij overigens om 'serieuze kwetsbaarheden' in software, aldus persbureau Reuters op basis van uitspraken van de NSA en Amerikaanse functionarissen. Alhoewel dus in de meeste gevallen dergelijke fouten worden doorgespeeld aan softwaremakers wil dat niet zeggen dat deze niet eerst worden gebruikt voor spionage. Het is mogelijk dat de NSA de gevonden bugs eerst zelf gebruikt voordat de vondst wordt gemeld aan de fabrikanten.

Met de uitspraak dat ze softwarekwetsbaarheden meldt aan fabrikanten wil de NSA zich verdedigen tegen beschuldigingen dat ze bugs misbruikt om informatie te vergaren. Dergelijke praktijken zorgen er namelijk voor dat software kwetsbaar blijft voor hackaanvallen, zo luidt de kritiek. Overigens geeft de veiligheidsdienst dus wel toe niet alle gevonden kwetsbaarheden te rapporteren.

Vorig jaar gaf de Amerikaanse president Obama te kennen dat de NSA niet langer alle gevonden beveiligingsproblemen geheim mag houden. In de meeste gevallen moeten bugs worden onthuld, maar er is een uitzondering voor 'binnenlandse veiligheid en rechtshandhaving'. Aan deze eis van Obama lijkt de NSA dus naar eigen zeggen te voldoen.

IT-banen

Reacties (56)

Anoniem: 678173 9 november 2015 10:55

Sorry hoor, maar is dit een trolltopic?
gaan we nu echt praten over de "goede" dingen die NSA ook doet terwijl deze kleine goedigheidjes niet eens in de buurt komen van de schandalen die verricht zijn?
Jaaaa laten we gaan praten over hoe lief die pedofiel wel niet is voor oudere mensen.

ik hoop dat iedereen zich trouwens realiseerd dat wij geen Amerika of USA zijn.
Wij vallen dus ook onder de categorie slachtoffers van NSA en niet categorie NSA beschermt ons.

[Reactie gewijzigd door Anoniem: 678173 op 23 juli 2024 06:09]

Anoniem: 475099 8 november 2015 12:58

Dit artikel vind ik ietwat paradoxaal. De NSA meldt dat ze in de meeste gevallen kwetsbaarheden rapporteren aan fabrikanten. Als geheimhouding de core business is van de NSA, dan kunnen ze daar toch geen uitspraken over doen?

polthemol Moderator General Chat @Anoniem: 475099 • 8 november 2015 13:07

hun corebusiness is security van de USA, niets meer, niets minder

In feite zijn ze absoluut niet begaan met jouw security, zolang het geen schade kan brengen aan hun bestaansrecht: national security.

Personal zie ik het NSA (of welke geheime dienst dan ook) als een een toonbeeld van tunnelvisie. Er wordt niet naar the bigger picture gekeken, alleen het idee dat je alles moet mogen om je werk te kunnen doen. Ethiek wordt blijkbaar ervaren als ballast.

Cerberus_tm

@polthemol • 8 november 2015 13:32

Hun core business is het bespioneren, niet eens de veiligheid van Amerika: ze geven immers niet al de belangrijkste softwarezwakheden ogenblikkelijk door, ook niet aan Amerikaanse burgers en bedrijven, dus ze kunnen moeilijk zeggen dat ze de veiligheid van Amerika als hoogste prioriteit hebben. Het gaat meer om spioneren als doel op zich denk ik.

polthemol Moderator General Chat @Cerberus_tm • 8 november 2015 13:47

spioneren is geen doel an sich, slechts een middel naar mijn mening, de verkregen informatie gebruikt men voor veiligheid (of de illusie van veiligheid, kies maar). En de veiligheid van een enkele burger is ook niet interessant voor ze, het gaat om het grotere doel/geheel (ahum) en blijkbaar mag dat ten koste van alles

Cerberus_tm

@polthemol • 8 november 2015 18:23

Het kan dat sommige onderdelen van die mega-organisatie denken dat ze dat doen, maar door 300.000.000 Amerikaanse burgers en alle Amerikaanse bedrijven niet te beschermen tegen virussen maak je het land niet veiliger.

mkools24 @Cerberus_tm • 9 november 2015 00:50

Ze hebben anders ook SELinux ontwikkeld wat overal gebruikt wordt nu (en open source is).

tweaknico @mkools24 • 9 november 2015 15:58

SELinux is een methodiek om toegang tot OS objecten te beschrijven.
Het is een zeer fijnmazig toegangbeheersysteem dat bepaald of een bepaalde applicatie met een gebruiker in een bepaalde Rol een handeling wel of niet mag.
Het is niet een heel aparte kernel die anders geaudit wordt oid.

Als je de write system service niet toestaat voor bv. NTP daemon dan kan de NTP Daemon ook niet antwoorden op ingekomen pakketten.

Cerberus_tm

@mkools24 • 9 november 2015 17:05

Er zijn afdelingen die goede dingen doen, maar dus ook veel afdelingen die dingen juist onveiliger maken voor normale Amerikanen en hun bedrijven, met name het niet doorgeven van veiligheidsproblemen en hun poging om sterke versleuteling illegaal te maken (dit is al minstens de tweede poging, over de laatste paar decennia).

Anoniem: 677995 @Cerberus_tm • 9 november 2015 00:43

Volgens mij staat er toch echt National Security Agency en niet National Espionage Agency

Cerberus_tm

@Anoniem: 677995 • 9 november 2015 17:02

Dat is ook wat ze zouden moeten doen, maar dat doen ze dus niet.

Anoniem: 677995 @Cerberus_tm • 9 november 2015 22:12

Eigenlijk ook best wel logisch, als ik zoiets zou beheren zou ik ook niet aan iedereen bekent maken dat de instantie/bedrijf aan spionage doet.

[Reactie gewijzigd door Anoniem: 677995 op 23 juli 2024 06:09]

Sissors @Anoniem: 475099 • 8 november 2015 13:01

Dat doen ze toch ook niet? Ze geven alleen een algemeen statement. Ze geven niks aan specifieke zaken. Als ze nou hadden gezegd: "We geven de meeste kwetsbaarheden door, enkel degene waardoor we admin rechten kunnen krijgen op mensen die remote desktop aan hebben staan via poort xxx", ja dan was het nogal vreemd geweest dat ze zoiets zeggen.

Geekomatic

@Sissors • 8 november 2015 16:06

Ze zeggen in feite aleen maar: "wij voldoen aan de wet". Ja duh, dat zou ik ook zeggen.
Gelukkig voor ze is er voldoene ruimte binnen de wet om de echt goede hacks voor zichzelf te houden.
Dit is een nutteloze statement voor de burger dus. Is slechts PR.

Nas T @Geekomatic • 8 november 2015 20:45

Volgens mij kun je hier inderdaad niks mee en lijkt het alleen PR.
Kwetsbaarheid in software, dat zie ik ook als een bug die een crash veroorzaakt. Stel dat dat in Microsoft Wordt voorkomt, wordt dat gemeld, want: eigenbelang. Daar is niks speciaals aan. Daar valt weinig aan te bejubelen of aan te bekritiseren. Dat dit bericht naar buiten gebracht wordt, kun je misschien wel bekritiseren, maar daarvoor zou ik liever wat meer nuance hebben: wat wordt er precies gemeld en waarom worden kwetsbaarheden gemeld?

eheijnen @Sissors • 8 november 2015 16:50

Het betuttelingsgehalte van dit bericht lijkt me erg hoog...
Het gaat in de VS. weer op de verkiezingen aan...

laptopleon @Anoniem: 475099 • 8 november 2015 13:16

Ook dit is niet paradoxaal, dit is 'gewoon' tegenstrijdig

Informatie verzamelen is hun core business, al dan niet op een legale manier.

De NSA / VS is nogal negatief in het nieuws en daarom moeten ze van opperhoofd Obama voor de bühne meer positieve verhalen roepen naar de pers. Iedereen weet dat ze juist belang hebben bij veiligheidsproblemen in software. Liefst zouden ze zelfs achterdeurtjes verplicht maken.

tweaknico @laptopleon • 9 november 2015 16:01

Het is nog steeds de vraag wie de bugfix voor steutel generatie fout heeft ingefluisterd bij de ontwikkelaar. Hierdoor waren er op hele reeksen Debian versies enkele jaren geleden maximaal 64K verschillende sleutels mogelijk (ipv. de 2^1024 die bedoeld waren.)

locke960 @Anoniem: 475099 • 8 november 2015 14:29

De doelen van de NSA staan gewoon op het internet : Mission statement. inclusief een link naar de volledige tekst.^*

Kort door de bocht samengevat: de Amerikaanse belangen behartigen door:
1. Informatie verzamelen om daar voordeel uit te halen.
2. Voorkomen dat anderen geheime Informatie van Amerika en Amerikanen te pakken krijgen.

In het geval van software kwetsbaarheden moeten ze dus per geval een afweging maken met welke van deze 2 doelen ze de Amerikaanse belangen het beste behartigen en aan de hand daarvan beslissen wat ze met de informatie over de software kwetsbaarheid doen.

^*Die tekst bied ruimte genoeg voor allerlei geheime toestanden n onderhandse operaties. Samenzweringstheorien over hoe de NSA hun mandaat te buiten gaat zijn in de meeste gevallen niet nodig.

[Reactie gewijzigd door locke960 op 23 juli 2024 06:09]

Luchtbakker 8 november 2015 12:26

In de meeste gevallen, want ja.. wat het meest nuttig is voor hun houden ze geheim natuurlijk.

Blokker_1999

Verenigde staten
Netwerk en systeembeheer

@Luchtbakker • 8 november 2015 13:06

Ik verwacht vooral bugs en exploits die zeer moeilijk te vinden zijn zullen ze voor zichzelf houden. De kans dat de eigen regeringssystemen met zulke bugs gehacked gaan worden is een stuk kleiner dan een bug dat gevonden kan worden door het eerste het beste scriptkiddie.

Daco @Blokker_1999 • 8 november 2015 19:34

als de eerst beste scriptkiddie een regeringssysteem kan hacken heb je tout cour een probleem

mcDavid @Luchtbakker • 9 november 2015 09:48

Sja... veel mensen vinden het waarschijnlijk heel nobel klinken als je het zo opschrijft. Het enige wat ik lees is: "De NSA houdt 10% van de kwetsbaarheden geheim".

RxTweak 8 november 2015 13:02

Laten we controleren of de NSA gelijkt heeft en het percentage van 90 % klopt. O wacht, dit kan natuurlijk niet.

Gomez12 @RxTweak • 8 november 2015 16:41

Laten we dan eerst maar eens definiëren wat er precies onder moet vallen.

In wezen kunnen ze net zo goed de laatste tijd heel veel onnodige / onzinnige "beveiligingsissues" gemeld hebben die standaard bij hun de prullenbak ingingen alszijnde niet bruikbaar, alleen vanwege de aantallen kunnen ze er nu mooie sier mee maken.

kimborntobewild @RxTweak • 9 november 2015 07:08

Laten we controleren of de NSA gelijkt heeft en het percentage van 90 % klopt. O wacht, dit kan natuurlijk niet.

Wat maakt 't uit of die 90% klopt? Of 't 90%, 1% of 99% is, maakt allemaal weinig uit. Want je weet niet om hoeveel het in totaal gaat (10% van 1.000.000 lekken niet doorgeven is nog steeds héél veel), en je weet niet hoe lang ze die doorgegeven lekken hebben gebruikt. Waarschijnlijk geven ze de lekken pas door als blijkt dat ze er in de praktijk niet veel meer mee kunnen.

Anoniem: 479366 8 november 2015 12:37

Omdat ze vanwege kwetsbaarheden in software zelf ook kwetsbaar zijn waarschijnlijk

Anoniem: 175233 @Anoniem: 479366 • 8 november 2015 13:37

Wanneer ze de kwestbaarheden kennen, dan kan de NSA zichzelf best afschermen, via firewalls e.d. Wat ze echter niet kunnen afschermen zijn alle overige computers van de overheid van de VS. En aangezien de veiligheid van de VS hun uiteindelijke kerntaak is, zal het i.h.a. beter zijn kwestbaarheden te melden. Daar moeten ze natuurlijk een afweging maken...

Veel kwestbaarheden zullen ook helemaal niet zo interessant voor de NSA zijn, maar alleen voor criminelen die jouw bankrekening willen plunderen. En dan is het logisch dat ze die gewoon melden.

houseparty 8 november 2015 15:38

Overigens geeft de veiligheidsdienst dus wel toe dat het niet alle gevonden kwetsbaarheden rapporteert.

Dit dus. De 10% die ze dus niet melden is nog steeds zorgwekkend imho.

Het blijft gewoon een clandestiene dienst die als core business signals intelligence heeft. De NSA is nauwelijks te controleren, niet door de overheid en niet door zichzelf. Er is ergens vast een "goede" intentie, maar er wordt ook gewoon misbruik van gemaakt.

Er gebeurt overigens wel meer in fort Meade wat het daglicht niet kan verdragen, dat terzijde.

eheijnen @houseparty • 8 november 2015 16:42

Het blijft hoe dan ook een zeer ruime formulering die niet valt na te trekken. Daarnaast wordt hier alleen de NSA genoemd. Terwijl andere Amerikaanse diensten bv. ook tools afnemen van "Hacking Team" die vervolgens weer, ingekochte, "zero-day" exploits gebruiken waarop hun software leunt.

De algemene tendens van alle berichten over deze materie de laatste tijd, die uit meerdere landen komen, is het creëeren van een brede acceptatie onder de massa omtrent deze werkwijze. Hoe dan ook is men zeker niet gelukkig met de aanhoudende discussie en scepsis.

bonus 8 november 2015 12:29

De beste verstopte houden ze zelf, de gene die "gemakkelijk" te vinden zijn geven ze door, want die zijn niet intressant genoeg. En natuurlijk voor wat hoort wat, dus als hun een keer hulp nodig mochten zijn...