Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 56 reacties

De NSA zegt dat ze kwetsbaarheden die ze ontdekt in software in 90 procent van de gevallen doorgeeft aan de makers ervan. Daarmee wil de overheidsorganisatie zich verdedigen tegen de beschuldiging dat ze softwarekwetsbaarheden verborgen houdt voor spionage.

NSA company logoHet gaat daarbij overigens om 'serieuze kwetsbaarheden' in software, aldus persbureau Reuters op basis van uitspraken van de NSA en Amerikaanse functionarissen. Alhoewel dus in de meeste gevallen dergelijke fouten worden doorgespeeld aan softwaremakers wil dat niet zeggen dat deze niet eerst worden gebruikt voor spionage. Het is mogelijk dat de NSA de gevonden bugs eerst zelf gebruikt voordat de vondst wordt gemeld aan de fabrikanten.

Met de uitspraak dat ze softwarekwetsbaarheden meldt aan fabrikanten wil de NSA zich verdedigen tegen beschuldigingen dat ze bugs misbruikt om informatie te vergaren. Dergelijke praktijken zorgen er namelijk voor dat software kwetsbaar blijft voor hackaanvallen, zo luidt de kritiek. Overigens geeft de veiligheidsdienst dus wel toe niet alle gevonden kwetsbaarheden te rapporteren.

Vorig jaar gaf de Amerikaanse president Obama te kennen dat de NSA niet langer alle gevonden beveiligingsproblemen geheim mag houden. In de meeste gevallen moeten bugs worden onthuld, maar er is een uitzondering voor 'binnenlandse veiligheid en rechtshandhaving'. Aan deze eis van Obama lijkt de NSA dus naar eigen zeggen te voldoen.

Moderatie-faq Wijzig weergave

Reacties (56)

Sorry hoor, maar is dit een trolltopic?
gaan we nu echt praten over de "goede" dingen die NSA ook doet terwijl deze kleine goedigheidjes niet eens in de buurt komen van de schandalen die verricht zijn?
Jaaaa laten we gaan praten over hoe lief die pedofiel wel niet is voor oudere mensen.


ik hoop dat iedereen zich trouwens realiseerd dat wij geen Amerika of USA zijn.
Wij vallen dus ook onder de categorie slachtoffers van NSA en niet categorie NSA beschermt ons.

[Reactie gewijzigd door illecoco op 9 november 2015 10:59]

Dit artikel vind ik ietwat paradoxaal. De NSA meldt dat ze in de meeste gevallen kwetsbaarheden rapporteren aan fabrikanten. Als geheimhouding de core business is van de NSA, dan kunnen ze daar toch geen uitspraken over doen?
hun corebusiness is security van de USA, niets meer, niets minder :) In feite zijn ze absoluut niet begaan met jouw security, zolang het geen schade kan brengen aan hun bestaansrecht: national security.

Personal zie ik het NSA (of welke geheime dienst dan ook) als een een toonbeeld van tunnelvisie. Er wordt niet naar the bigger picture gekeken, alleen het idee dat je alles moet mogen om je werk te kunnen doen. Ethiek wordt blijkbaar ervaren als ballast.
Hun core business is het bespioneren, niet eens de veiligheid van Amerika: ze geven immers niet al de belangrijkste softwarezwakheden ogenblikkelijk door, ook niet aan Amerikaanse burgers en bedrijven, dus ze kunnen moeilijk zeggen dat ze de veiligheid van Amerika als hoogste prioriteit hebben. Het gaat meer om spioneren als doel op zich denk ik.
spioneren is geen doel an sich, slechts een middel naar mijn mening, de verkregen informatie gebruikt men voor veiligheid (of de illusie van veiligheid, kies maar). En de veiligheid van een enkele burger is ook niet interessant voor ze, het gaat om het grotere doel/geheel (ahum) en blijkbaar mag dat ten koste van alles :)
Het kan dat sommige onderdelen van die mega-organisatie denken dat ze dat doen, maar door 300.000.000 Amerikaanse burgers en alle Amerikaanse bedrijven niet te beschermen tegen virussen maak je het land niet veiliger.
Ze hebben anders ook SELinux ontwikkeld wat overal gebruikt wordt nu (en open source is).
SELinux is een methodiek om toegang tot OS objecten te beschrijven.
Het is een zeer fijnmazig toegangbeheersysteem dat bepaald of een bepaalde applicatie met een gebruiker in een bepaalde Rol een handeling wel of niet mag.
Het is niet een heel aparte kernel die anders geaudit wordt oid.

Als je de write system service niet toestaat voor bv. NTP daemon dan kan de NTP Daemon ook niet antwoorden op ingekomen pakketten.
Er zijn afdelingen die goede dingen doen, maar dus ook veel afdelingen die dingen juist onveiliger maken voor normale Amerikanen en hun bedrijven, met name het niet doorgeven van veiligheidsproblemen en hun poging om sterke versleuteling illegaal te maken (dit is al minstens de tweede poging, over de laatste paar decennia).
Volgens mij staat er toch echt National Security Agency en niet National Espionage Agency
Dat is ook wat ze zouden moeten doen, maar dat doen ze dus niet.
Eigenlijk ook best wel logisch, als ik zoiets zou beheren zou ik ook niet aan iedereen bekent maken dat de instantie/bedrijf aan spionage doet. 8)7

[Reactie gewijzigd door endurain op 9 november 2015 22:12]

Dat doen ze toch ook niet? Ze geven alleen een algemeen statement. Ze geven niks aan specifieke zaken. Als ze nou hadden gezegd: "We geven de meeste kwetsbaarheden door, enkel degene waardoor we admin rechten kunnen krijgen op mensen die remote desktop aan hebben staan via poort xxx", ja dan was het nogal vreemd geweest dat ze zoiets zeggen.
Ze zeggen in feite aleen maar: "wij voldoen aan de wet". Ja duh, dat zou ik ook zeggen.
Gelukkig voor ze is er voldoene ruimte binnen de wet om de echt goede hacks voor zichzelf te houden.
Dit is een nutteloze statement voor de burger dus. Is slechts PR.
Volgens mij kun je hier inderdaad niks mee en lijkt het alleen PR.
Kwetsbaarheid in software, dat zie ik ook als een bug die een crash veroorzaakt. Stel dat dat in Microsoft Wordt voorkomt, wordt dat gemeld, want: eigenbelang. Daar is niks speciaals aan. Daar valt weinig aan te bejubelen of aan te bekritiseren. Dat dit bericht naar buiten gebracht wordt, kun je misschien wel bekritiseren, maar daarvoor zou ik liever wat meer nuance hebben: wat wordt er precies gemeld en waarom worden kwetsbaarheden gemeld?
Het betuttelingsgehalte van dit bericht lijkt me erg hoog...
Het gaat in de VS. weer op de verkiezingen aan...
Ook dit is niet paradoxaal, dit is 'gewoon' tegenstrijdig ;) Informatie verzamelen is hun core business, al dan niet op een legale manier.

De NSA / VS is nogal negatief in het nieuws en daarom moeten ze van opperhoofd Obama voor de bühne meer positieve verhalen roepen naar de pers. Iedereen weet dat ze juist belang hebben bij veiligheidsproblemen in software. Liefst zouden ze zelfs achterdeurtjes verplicht maken.
Het is nog steeds de vraag wie de bugfix voor steutel generatie fout heeft ingefluisterd bij de ontwikkelaar. Hierdoor waren er op hele reeksen Debian versies enkele jaren geleden maximaal 64K verschillende sleutels mogelijk (ipv. de 2^1024 die bedoeld waren.)
De doelen van de NSA staan gewoon op het internet : Mission statement. inclusief een link naar de volledige tekst.*

Kort door de bocht samengevat: de Amerikaanse belangen behartigen door:
1. Informatie verzamelen om daar voordeel uit te halen.
2. Voorkomen dat anderen geheime Informatie van Amerika en Amerikanen te pakken krijgen.

In het geval van software kwetsbaarheden moeten ze dus per geval een afweging maken met welke van deze 2 doelen ze de Amerikaanse belangen het beste behartigen en aan de hand daarvan beslissen wat ze met de informatie over de software kwetsbaarheid doen.

*Die tekst bied ruimte genoeg voor allerlei geheime toestanden n onderhandse operaties. Samenzweringstheorien over hoe de NSA hun mandaat te buiten gaat zijn in de meeste gevallen niet nodig.

[Reactie gewijzigd door locke960 op 8 november 2015 14:41]

In de meeste gevallen, want ja.. wat het meest nuttig is voor hun houden ze geheim natuurlijk.
Ik verwacht vooral bugs en exploits die zeer moeilijk te vinden zijn zullen ze voor zichzelf houden. De kans dat de eigen regeringssystemen met zulke bugs gehacked gaan worden is een stuk kleiner dan een bug dat gevonden kan worden door het eerste het beste scriptkiddie.
als de eerst beste scriptkiddie een regeringssysteem kan hacken heb je tout cour een probleem
Sja... veel mensen vinden het waarschijnlijk heel nobel klinken als je het zo opschrijft. Het enige wat ik lees is: "De NSA houdt 10% van de kwetsbaarheden geheim".
Laten we controleren of de NSA gelijkt heeft en het percentage van 90 % klopt. O wacht, dit kan natuurlijk niet. :O
Laten we dan eerst maar eens definiëren wat er precies onder moet vallen.

In wezen kunnen ze net zo goed de laatste tijd heel veel onnodige / onzinnige "beveiligingsissues" gemeld hebben die standaard bij hun de prullenbak ingingen alszijnde niet bruikbaar, alleen vanwege de aantallen kunnen ze er nu mooie sier mee maken.
Laten we controleren of de NSA gelijkt heeft en het percentage van 90 % klopt. O wacht, dit kan natuurlijk niet. :O
Wat maakt 't uit of die 90% klopt? Of 't 90%, 1% of 99% is, maakt allemaal weinig uit. Want je weet niet om hoeveel het in totaal gaat (10% van 1.000.000 lekken niet doorgeven is nog steeds héél veel), en je weet niet hoe lang ze die doorgegeven lekken hebben gebruikt. Waarschijnlijk geven ze de lekken pas door als blijkt dat ze er in de praktijk niet veel meer mee kunnen.
Omdat ze vanwege kwetsbaarheden in software zelf ook kwetsbaar zijn waarschijnlijk
Wanneer ze de kwestbaarheden kennen, dan kan de NSA zichzelf best afschermen, via firewalls e.d. Wat ze echter niet kunnen afschermen zijn alle overige computers van de overheid van de VS. En aangezien de veiligheid van de VS hun uiteindelijke kerntaak is, zal het i.h.a. beter zijn kwestbaarheden te melden. Daar moeten ze natuurlijk een afweging maken...

Veel kwestbaarheden zullen ook helemaal niet zo interessant voor de NSA zijn, maar alleen voor criminelen die jouw bankrekening willen plunderen. En dan is het logisch dat ze die gewoon melden.
Overigens geeft de veiligheidsdienst dus wel toe dat het niet alle gevonden kwetsbaarheden rapporteert.
Dit dus. De 10% die ze dus niet melden is nog steeds zorgwekkend imho.

Het blijft gewoon een clandestiene dienst die als core business signals intelligence heeft. De NSA is nauwelijks te controleren, niet door de overheid en niet door zichzelf. Er is ergens vast een "goede" intentie, maar er wordt ook gewoon misbruik van gemaakt.

Er gebeurt overigens wel meer in fort Meade wat het daglicht niet kan verdragen, dat terzijde.
Het blijft hoe dan ook een zeer ruime formulering die niet valt na te trekken. Daarnaast wordt hier alleen de NSA genoemd. Terwijl andere Amerikaanse diensten bv. ook tools afnemen van "Hacking Team" die vervolgens weer, ingekochte, "zero-day" exploits gebruiken waarop hun software leunt.

De algemene tendens van alle berichten over deze materie de laatste tijd, die uit meerdere landen komen, is het creëeren van een brede acceptatie onder de massa omtrent deze werkwijze. Hoe dan ook is men zeker niet gelukkig met de aanhoudende discussie en scepsis.
De beste verstopte houden ze zelf, de gene die "gemakkelijk" te vinden zijn geven ze door, want die zijn niet intressant genoeg. En natuurlijk voor wat hoort wat, dus als hun een keer hulp nodig mochten zijn...
Als de enige reden lijfsbehoud is, dan mogen ze het van mij achterwegen laten.
Is er een lijst met bugs die geplet zijn door de NSA dan?
Ik dacht dat ze alleen opzettelijk backdoors inbouwden. :+
https://en.wikipedia.org/...Agency#Hacking_operations
Meeste gevallen haha.
Tenzij ze er zelf wat aan hebben dan hoor je er niets over...

Wat zijn ze toch netjes en goed /puke..

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True