Nederlands beveiligingsbedrijf Fox-IT overgenomen door Brits concern

Het Britse NCC Group neemt het Nederlandse beveiligingsbedrijf Fox-IT over. Daarmee zal Fox-IT onderdeel gaan uitmaken van een bedrijf dat bestaat uit meer dan 1500 medewerkers verdeeld over dertig locaties in Europa, Noord-Amerika en Australië.

Fox-IT Dat meldt Fox-IT. Medeoprichter van Fox-IT Menno van der Marel zegt in het bericht dat het een geweldige kans is voor het bedrijf vanwege de aanvullende expertise en de internationale slagkracht van NCC Group. Fox-IT denkt verder dat het zo in de toekomst klanten en partners beter van dienst zal kunnen zijn. NCC Group betaalt 133 miljoen euro voor Fox-IT.

Voor NCC Group is Fox-IT een bedrijf dat pro-actief bezig is met beveiliging in plaats van reactief. Dat laatste zou volgens het bericht een van de redenen zijn waarom Fox-IT een interessante overnamepartner was. Ook het klantenbestand van het Delftse it-bedrijf is interessant voor NCC Group zegt het bedrijf bij monde van de ceo van de groep. NCC Group bestaat uit een escrow-onderdeel, een verzekeringsgroep met onder andere een it-beveiligingsonderdeel en verschillende ondersteunende diensten rond domeinnamen.

Fox-IT zal onder haar eigen naam actief blijven en de huidige directie blijft op haar plek. Fox-IT werkt onder andere regelmatig voor de Nederlandse overheid. In 2011 leidde dat nog tot de mededeling van toenmalig minister Ivo Opstelten van Veiligheid en Justitie dat het onwenselijk is dat de ict-veiligheid van de overheid afhankelijk is van externe bedrijven.

IT-banen

Reacties (63)

tikkietrugjaap 24 november 2015 10:40

Nou, lijkt mij niet meer dan logisch dat er geen nieuwe contracten afgesloten mogen worden tussen deze partij en de Nederlandse overheid. Het inhuren van een externe partij is, voor sommige opdrachten, al twijfelachtig maar nu het een buitenlandse entiteit wordt is dat gewoon onbespreekbaar.

Maar ja, de NL overheid kennende zullen ze gewoon door blijven gaan met deze mensen en over +-10 jaar komen we er achter dat GCHQ al jaren een complete mirror draait van alle data van onze overheid.
Kunnen we met z'n allen weer verbaasd en verbolgen reageren en de lachende derde? Fox-it, waar het geld met bakken binnen komt omdat onze overheid te incompetent is.

Verwijderd @tikkietrugjaap • 24 november 2015 18:14

Waar baseer je je op dat de overheid incompetent is? Heb je vergelijkbare cijfers van vergelijkbaar complexe projecten uit het bedrijfsleven?

tikkietrugjaap @Verwijderd • 24 november 2015 18:50

Ik stel voor dat je googlet op "ICT falen overheid" en vanaf daar je in gaat lezen als je dat interressant vindt.

Daarbij was mijn punt niet dat de overheid incompetent is in hun projecten maar het niet voor elkaar krijgt om goed personeel te vinden en in te lijven. Waarom denk je anders dat partijen als Fox-It zo groot kunnen worden?

Cerberus_tm

@tikkietrugjaap • 25 november 2015 01:15

...maar ik denk dat de meeste van de resultaten voor "ICT-falen overheid" gaan over dat de overheid opdrachten gaf aan grote bedrijven zoals Capgemini. Juist die opdrachten (wat ze bijna allemaal zijn) hebben gefaald, als in 100 miljoen duurder dan begroot, 5 jaar te laat opgeleverd, en niet in staat de functies te vervullen die ze zouden moeten. Ik weet niet of het beter zou gaan als de overheid een eigen programmaontwikkeldienst zou hebben gehad, maar bij de grote bedrijven in opdracht van de overheid gaat het in elk geval heel vaak heel erg mis.

tikkietrugjaap @Cerberus_tm • 25 november 2015 08:04

Het klopt dat de meeste van die info gelinkt is naar projecten die zijn gefaald maar dat was ook niet zozeer mijn punt. Het feit dat de overheid niet in staat lijkt goed personeel te kunnen vinden waar partijen als Fox-IT dat wel kunnen was, in mijn optiek, het grotere probleem hier.
Dat dit vervolgens weer consequenties heeft voor de manier waarop er gecomunniceerd wordt met externe partijen (bij bijv aanbestedingen) maakt het natuurlijk wel met elkaar verbonden.

Cerberus_tm

@tikkietrugjaap • 25 november 2015 20:52

Dat is absoluut waar: van de overheid hebben we gezien dat zij het regelen van en communiceren met opdrachtnemers niet goed kan. Maar die opdrachtnemers hebben ook laten zien dat zij de opdrachten niet goed kunnen uitvoeren. Dus eigenlijk zie ik bij beide kanten weinig goeds, althans bij dit soort grote projecten. Over grote projecten uitgevoerd door Fox-IT weet ik niet veel.

eheijnen @tikkietrugjaap • 24 november 2015 12:30

NCC heeft ook GCHQ als opdrachtgever:
https://www.nccgroup.trus...device-security-guidance/

Geekomatic

@tikkietrugjaap • 24 november 2015 20:14

Juistem GCHQ kijkt zo mee.
Toch maar een ( betere ) overheidsdients van maken.

coretx @tikkietrugjaap • 24 november 2015 11:28

Markant detail in deze is dan ook dat de overstap van Ronald Prins vanuit de AIVD naar Fox-IT parallel is geschied met het reduceren tot 0 van de inhouse development bij de AIVD. ( Lineair met de toename van het afnemen van diensten en producten bij Fox. )
Analisten vermoeden dat dit doelbewust is opgezet in het kader van het intelligence laundry apparatus omdat de CTIVD en andere controle middelen niet van toepassing zijn op BV's, en de controle middelen/processen die van toepassing zijn op BV's niet op de inlichtingendiensten.
Enfin, wie hier meer over wil lezen, zoek de keywords op in de Snowden en WL leaks.

[Reactie gewijzigd door coretx op 22 juli 2024 19:46]

Boss

@coretx • 24 november 2015 12:25

overstap van Ronald Prins vanuit de AIVD naar Fox-IT

Waar haal je dat nu weer vandaan? Ronald Prins was één van de oprichters van Fox-IT!

mark14 @Boss • 24 november 2015 13:24

...Na vijf jaar zocht hij een nieuwe uitdaging. Hij werd aangenomen bij de Directie Bijzondere Inlichtingen van de AIVD, waar hij meedacht over de mogelijhheden van digitale spionage. Hij vertrok echter al naar een jaar...
http://tegenlicht.vpro.nl/biografieen/p/ronald-prins.html

coretx @Boss • 24 november 2015 12:30

Ja, dat is inderdaad ongenuanceerd geformuleerd.
Weet je ook wat Ronald Prins deed voor dat hij Fox-IT ging oprichten?
Weet je ook dat AIVD ambtenaren voor het leven worden beëdigd ?
De rest van mijn schrijven is overigens ook ongenuanceerd. Als je het niet erg vind schrijf ik geen opmerkingen met academische accuraatheid op t.net comments, of op welke website dan ook. De kern van de boodschap zal moeten volstaan.

cobis taba @coretx • 24 november 2015 13:23

Het hoeft van mij geen wetenschappelijk artikel te zijn, maar heb je een bron dat hij bij de AIVD werkte?Ik kan een periode van 4.5 jaar bij het NFI vinden, maar de AIVD nergens. Wordt ook niet op een website, zijn linkedin en dergelijke besproken. Kan ik nu echt niet googlen?

coretx @cobis taba • 24 november 2015 13:29

Goed geconstateerd, je kan inderdaad niet googlen.

Hier link 1: https://www.vn.nl/de-geheimen-van-een-supertapper-2/

Uiteindelijk kwam Prins in 1998 toch bij de geheime dienst terecht, maar dan via de voordeur. Volgens oud-NFI-manager Henseler wilde Prins zijn ‘where the action is: in de frontlinie. Hij wilde meer spanning.’ Dat zocht Prins bij de Directie Bijzondere Inlichtingen van de geheime dienst; hij mocht er meedenken over manieren om digitaal te spioneren.Zelf kan en wil Prins geen details geven over zijn werk bij de geheime dienst.

Een bron met vermelding van wat hij exact deed bij de BVD kan ik niet zo snel vinden omdat ik hier geen toegang heb tot mijn archief.
Wel weet ik uit mijn hoofd te vermelden dat hij als cryptograaf met een technische informatica achtergrond verantwoordelijk was voor de inhouse development van( offensieve en defensieve )) soft en hardware bij de BVD. Diensten en producten die sinds zijn vertrek meer en meer bij commerciële partijen als Fox werden afgenomen.
De politieke en veiligheidtechnische aspecten hierover zijn te lezen in de documenten van zowel Edward Snowden als Wikileaks.

[Reactie gewijzigd door coretx op 22 juli 2024 19:46]

cobis taba @coretx • 24 november 2015 17:34

Damn, daar gaat mijn ego

Inhoudelijk: hij werkte; een jaartje' voor de AIVD n daarna bleef hij wel contact houden maar dan vanuit FOX-IT. Ik kan me toch slecht voorstellen dat zijn ene jaartje daar zelfstandig zou veroorzaken dat al dat soort werk naar FOX-IT zou gaan.

sylvester79 @tikkietrugjaap • 25 november 2015 14:02

Maar ja, de NL overheid kennende zullen ze gewoon door blijven gaan met deze mensen en over +-10 jaar komen we er achter dat GCHQ al jaren een complete mirror draait van alle data van onze overheid.

Als GCHQ illegaal een complete mirror zou draaien van alle data van de overheid zou dit bij het bekend worden het einde van de onderneming betekenen.

Fox-it, waar het geld met bakken binnen komt omdat onze overheid te incompetent is.

Het is goed dat de overheid dit soort specifieke taken uitbesteed aan professionals. Het zelf in dienst nemen van dergelijke onderzoekers zou een erg dure aangelegenheid worden als er maar soms werk is. Fox-IT is groot geworden omdat ze specifieke kennis in huis hebben die je als bedrijf maar soms nodig hebt.

Wat dit te maken heeft met falende ICT projecten van de overheid weet ik niet, staat er volgens mij helemaal los van. Veel projecten in de ICT falen, niet enkel bij de overheid. Dit heeft veelal te maken dat er niet naar het personeel wordt geluisterd wat met de software moet werken. In theorie moet het werken maar de praktijk blijkt toch heel anders.

tikkietrugjaap @sylvester79 • 25 november 2015 18:47

GCHQ heeft in het verleden wel vaker bondgenoten gehackt dus ik zou er niet versteld van staan.

Er is letterlijk altijd werk met betrekking tot de digitale veiligheid van de overheid. Dan lijkt het me geen goed idee om dat te gaan outsourcen.

Wat dit met falende ict projecten te maken heeft weet ik ook niet. Daar kwam GJvdZ mee.

Als je mijn stuk leest over de cultuur bij de overheid zal je zien dat je beaamt wat ik zeg.

DR!5EQ @tikkietrugjaap • 24 november 2015 18:41

Precies wat ik dacht en waar ik bang voor was op het moment dat de overheid begon met outsourcing. De overheid mag dan slecht zijn in het uitvoeren van projecten, maar ik heb toch iets liever dat de bedrijven waar het mee samenwerkt geen onderdeel is van een buitenlandse geheime dienst.

Wat ontzettend jammer dat Nederland zo nodig mee moet doen met de grote jongens in het buitenland en overal bovenaan wilt staan. bah.

regmaster @tikkietrugjaap • 24 november 2015 22:20

Maar Ronald Prins hield toch mooi zijn mond toen Fox-IT de Regin malware van de NSA/GHCQ bij Belgacom ontdekte. Zo'n bondgenoot van GHCQ moet natuurlijk wel fors beloond worden. Wie weet hoeveel achterdeuren er door deze GHCQ bondgenoot nog meer zijn ontdekt en stilgehouden? Wellicht hebben ze er zelf nog wel wat aangebracht.

FreqAmsterdam @tikkietrugjaap • 24 november 2015 12:58

"Het inhuren van een externe partij is, voor sommige opdrachten, al twijfelachtig maar nu het een buitenlandse entiteit wordt is dat gewoon onbespreekbaar."

Dat is dus niet juist. Nederland (en ook de EU) kent aanbestedingsregels. Deze regelen, zoals de naam al zegt, hoe aanbestedingen geregeld worden. Deze regels omvatten onder andere zaken dat bij een 'openbare' aanbesteding zo'n beetje elke partij zich mag intekenen op de opdracht. De 'beste' partij krijgt dan de opdracht (RFC procedure). Pin me er niet exact op vast, maar ik kan me heel goed voorstellen dat Fox-IT zich nog steeds mag intekenen op openbare aanbestedingen.

Je kan stellen dat onze overheid incompetent is, maar de partijen die deze opdrachten aannemen (waarin ze dus een soort van verklaren dat ze denken dat zij deze opdracht tot een succesvol eind kunnen brengen) zijn minstens zo incompetent. Net als de aanbestedingsprocedures, die werken blijkbaar voor geen ene centimeter.

Waar gevochten wordt, heeft iedereen schuld.

Ontopic: ik ben benieuwd of dit een overname is die vooral om geld gaat, of dat er ook echt plannen zijn voor het bedrijf, en synergie met andere aankopen van deze groep.

[Reactie gewijzigd door FreqAmsterdam op 22 juli 2024 19:46]

tikkietrugjaap @FreqAmsterdam • 24 november 2015 13:16

Ik bedoelde dat het twijfelachtig is dat we een commercieel bedrijf inhuren voor iets belangrijks als digitale veiligheid van onze overheidsapparaat. Dat moet gewoon in-house worden ontwikkeld en onderhouden. Daar moet de overheid in investeren. Dat betekent actief werven op TU's, betere kijk hebben op de markt en de bijbehorende arbeidsvoorwaarden om de juiste mensen in te lijven. Het is toch van de zotte dat zo'n grote organisatie als de NLse overheid het niet voor elkaar krijgt om talent binnen te halen maar een partij als Fox-it wel?

Ik vind het uitbesteden van de digitale veiligheid van de overheid hetzelfde als dat men een leger inhuurt bij een beveiligingsbedrijf.

Helaas zie ik (als ambtenaar) bij de overheid een steeds groter wordende stroming van "Als je bestuurskunde hebt gestudeerd, kan je overal, iedereen managen." waardoor de inhoudelijke kennis op hoger niveau steeds meer naar de markt verdwijnt. Er zit laag na laag van 'peoples managers' die sturen op dashboards en klanttevredenheidscijfers. Het herkennen van talent en weten wat er nodig is om de juiste mensen binnen te halen is er simpelweg niet.

Flagg @tikkietrugjaap • 24 november 2015 14:22

Ja en dan gaat iedereen weer stijgeren dat er ambtenaren zijn die meer dan een ton verdienen. Want dat mag dan weer niet.

En daarna gaan klagen dat er geen expertise meer is, ik begin steeds meer het gevoel te krijgen dat de NL overheid het afvoerputje is voor wat betreft management "professionals". En dat komt simpelweg omdat de beloning zwaar onder de maat is.

If you pay peanuts...

Verwijderd @FreqAmsterdam • 24 november 2015 17:46

Het beste bedrijf dat een gunning krijgt op basis van een aanbesteding?
Nee, het is het goedkoopste bedrijf van de bedrijven die kunnen voldoen aan het programma van eisen. Ik maak het vaak genoeg mee.

Viince1 25 november 2015 01:13

Ik vraag me af of Fox-IT echt nog zoveel deed op het volledige spectrum informatiebeveiliging voor de overheid.

Ondertussen heeft defensie een cybermacht, we hebben het NCSC en team high tech crime. De overheid is geen pionier kwa IT maar om er nou vanuit te gaan dat er in de afgelopen jaren geen meters zijn gemaakt (op IT-vlak óf infosecurity) vind ik een vrij gevaarlijke aanname. Al helemaal omdat ik er vanuit ga dat er juist advies is geleverd door Fox met als resultaat dat de overheid (over de afgelopen jaren) meer kennis, kunde en middelen (producten) geleverd heeft gekregen, een logisch gevolg hiervan zou dan ook zijn dat de rol van Fox als 'hofleverancier' infosecurity is afgenomen. Hiermee wil ik ook afbraak doen aan de stelling dat de overheid afhankelijk is van Fox-IT voor security.

Ook zijn er meer alternatieven op de markt. Eerder noemde ik al alternatieven binnen de overheid (NCSC, Defensie en team high tech crime) en ik denk dat ik hierin niet eens compleet ben.
Verder zullen er gemoeg commerciele anderen zijn. Deloitte heeft het beste hacking team in de wereld momenteel en een hele afdeling op gebied van infosec, Motivv, DearBytes, Madison Ghurka, SecureLink, moet ik doorgaan?

Het argument dat Fox-IT is opgekocht vanwege spionage doeleinden voor de britse geheime dienst vind ik een dure grap. Voor dat geld had de geheime dienst ook wel kunnen infiltreren in de NL overheid en die optie lijkt me dan een stuk geruislozer dan Fox opkopen. Misschien heeft het wel effecten op de samenwerking met de NL overheid en hiermee loopt de missie toch een nogal hoog risico?
Als ik vanuit het standpunt vanuit de Britse geheime dienst beredeneer een weinig aantrekkelijke optie.

Hier dan mijn visie:
Fox-IT was absoluut een Nederlands pionier, maar ze bouwen al hun producten zelf, en pioniers hebben te maken met de wet van de remmende voorsprong.
Kwa prioducten moesten ze (ook) nog concurreren met Intel Security (Mcafee) RSA, AlienVault, IBM ,Microsoft en de honderden security startups die elk jaar ontstaan.

Dat is oorlog voeren aan twee fronten. Wat Fox-IT nog wel heeft is een bizar sterk merk en een mooi portfolio projecten.
Dat kunnen expoiteren op een groter gebied ( bigger sea; bigger fish) lijkt een aantrekkelijke optie. De aankoop verschaft kennis, samenwerkingsverbanden en investeringsmogelijkheden. Hiermee kan Fox of de proucten sterker maken of op langere termijn continuiteit garanderen die nodig is om voet aan de grond te krijgen op de internationale markt.

II Stevow II 24 november 2015 10:21

In 2011 leidde dat nog tot de mededeling van toenmalig minister Ivo Opstelten van Veiligheid en Justitie dat het onwenselijk is dat de ict-veiligheid van de overheid afhankelijk is van externe bedrijven.

En al helemaal niet een bedrijf waarvan de eigenaar/het moederbedrijf in buitenlandse handen is lijkt me. Ben benieuwd of ze hier niet hun overheidscontracten mee in gevaar brengen, en dat alleen om internationaal een grotere speler te kunnen worden.

Zijn er uberhaupt nog realistische nederlandse alternatieven voor de overheid nu?

Verwijderd @II Stevow II • 24 november 2015 10:33

Zijn er uberhaupt nog realistische nederlandse alternatieven voor de overheid nu?

Madison Gurkha ?

coretx @Verwijderd • 24 november 2015 11:41

Nationaal opererende entiteiten kunnen niet zelfstandig op tegen clusters van internationaal opererende concurrenten in de staatsveiligheid "markt".
Nu vind ik kleine underdogs zoals Madison Gurkha heel erg lief, maar die kunnen geen serieus alternatief voor sharks als Fox zijn, wat betekend dat de overheid de-facto simpelweg geen keus heeft en een goatse mag doen m.b.t partnership met aanbieders die wel kunnen leveren.
Een grote strategische misser vanuit de overheid is volwassen geworden nu de AIVD zelf niet meer over de capaciteit beschikt om zelf orde op zaken te kunnen stellen.

Verwijderd @coretx • 24 november 2015 12:53

Nationaal opererende entiteiten kunnen niet zelfstandig op tegen clusters van internationaal opererende concurrenten in de staatsveiligheid "markt".
Nu vind ik kleine underdogs zoals Madison Gurkha heel erg lief, maar die kunnen geen serieus alternatief voor sharks als Fox zijn, wat betekend dat de overheid de-facto simpelweg geen keus heeft en een goatse mag doen m.b.t partnership met aanbieders die wel kunnen leveren.

Fox IT is nu eigendom van ee bedrijf in het Mi5 / Secret Intelligence Service land. Of je die nog wil laten rondsnuffelen? Zeker nadat bekend werd via de Snowden Files.

Een grote strategische misser vanuit de overheid is volwassen geworden nu de AIVD zelf niet meer over de capaciteit beschikt om zelf orde op zaken te kunnen stellen.

Het is niet de taak van de AIVD om te kijken of de overheidsorganen veilig zijn, dit moet meer open zijn en niet in het geniep. Als gaten gedicht zijn mogen deze gerust achteraf naar buiten komen. De AIVD moet zich druk maken over de "staatsveiligheid", en dan niet meer dan strikt noodzakelijk. Laat de rest gewoon onder politie e.d. vallen.

watercoolertje @II Stevow II • 24 november 2015 10:39

en dat alleen om internationaal een grotere speler te kunnen worden.

Wat een rare stelling! Wat maakt het voor jou dan meer waard om voor de overheid te werken dan (bij wijze van spreken) meer te verdienen op de internationale markt?

II Stevow II @watercoolertje • 24 november 2015 23:33

Niets, het was slechts een conclusie. Het is blijkbaar interessanter voor Fox-IT om de internationale markt op te gaan, waar al weet-ik-hoeveel concurrenten zijn, in plaats van zich te focussen op/specialiseren in de nederlandse overheid. In mijn ogen een flinke gok, echter heb ik natuurlijk niet alle informatie/verstand.

hp197 @II Stevow II • 24 november 2015 10:36

Om heel eerlijk te zijn vond ik Fox-IT de laatste jaren nu niet echt meer een hoog innovatief bedrijf...
In het begin der tijd waren ze zeker wel vooruit strevend, maar de laatste jaren heerste er een enorme bureaucratie en zwarte pakken cultuur.
Aan de andere kant, als je zaken wil doen met de overheid dan moet je haast wel zo'n cultuur in gaan omdat ze je anders niet begrijpen / vertrouwen.

Persoonlijk kan Ik er dus niet heel erg van wakker liggen en voor Fox/NCC een mooie kans om ook de spullen van NCC aan de overheid te slijten (lees: onze belasting centen te verstoken).

[Reactie gewijzigd door hp197 op 22 juli 2024 19:46]

Kalief @hp197 • 24 november 2015 10:46

maar de laatste jaren heerste er een enorme bureaucratie en zwarte pakken cultuur
Bron?

Verwijderd @Kalief • 24 november 2015 10:52

Niet iedereen kan/wil/mag voor alles een bron geven

Zelfde geval met tweakers die bij banken werken en nogal eens inhoudelijk op storingen reageren...

hp197 @Kalief • 24 november 2015 11:05

Bovenstaand is een mening die gabaseerd is op verschillende ervaringen (meningen zijn subjectief en hebben geen bron).

DR!5EQ @Kalief • 24 november 2015 18:41

Heb je daar een bron voor nodig?

Nibble @II Stevow II • 24 november 2015 10:23

Tenzij ze zelf echt een specialisme ontwikkelen vrees ik van niet...

rjberg @Nibble • 24 november 2015 10:30

Als je het mij vraagt, moet de overheid een inspecteur voor ict-zaken aanstellen. In vaste loondienst natuurlijk, niet via een extern bedrijf. Ik heb gehoord dat veel externe bedrijven de nederlandse overheid aan het lijntje houden en we willen niet dat een inspecteur daar ook onder valt.

--Jeroen @rjberg • 24 november 2015 11:31

Ik ben het hiermee oneens. Zelf heb ik voor het schrijven van mijn scriptie bij fox gezeten. Hierbij heb ik het bedrijf leren kennen als een organisatie waar de veiligheid van alles(data over internet en verder) door de figuurlijke aderen van het bedrijf stroomt. Deze voorm van bewustzijn van veiligheid ga je naar mijn mening niet berijken als je dit in eigen beheer gaat proberen te bewerkstelligen.

Verwijderd @--Jeroen • 24 november 2015 12:12

En waarom zou het onmogelijk zijn om veiligheid van data in de figuurlijke aderen van je eigen organisatie te krijgen? Ik denk dat een ik als eigenaar van een bedrijf toch iets meer belang heb bij veiligheid van mijn bedrijf, dan wanneer ik door een ander bedrijf wordt ingehuurd voor hun veiligheid. Uiteindelijke draait het om geld en dit nieuwsbericht is daar een voorbeeld van.

arthur-m @II Stevow II • 24 november 2015 10:32

Ik denk wel, tenminste dat mag ik hopen, dat ze hun voornaamste stakeholders van tevoren hebben ingelicht hierover.

The Zep Man

Bedrijfsnieuws

24 november 2015 10:39

En meteen (nog) een reden minder om de OpenVPN fork van Fox-IT te vertrouwen. Dat het open-source is houdt niet in dat de binaries overeenkomen met de geleverde broncode (nu en/of in de toekomst)

Let op dat deze fork gebruikt wordt door de Nederlandse overheid. Dat is dus een goede aanvalshoek voor de Britse geheime diensten.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 19:46]

walteij @The Zep Man • 24 november 2015 11:09

Maar dat het open source is betekend het wel dat je de source code kan inzien, zelf de (kwaliteit van) de code kunt downloaden, controleren en deze ook zelf kunt compileren.

Juist omdat de sourcecode beschikbaar is kun je dit doen en kun je dus zelf (mits je over de juiste kennis en kunde beschikt) dit allemaal zelf controleren en ook zelf je binaries maken, zodat je dit weer kunt vertrouwen.

Wat zijn de andere redenen dat je deze fork niet zou vertrouwen (je zegt zelf "(nog) een reden")?

The Zep Man

Bedrijfsnieuws

@walteij • 24 november 2015 11:27

Maar dat het open source is betekend het wel dat je de source code kan inzien, zelf de (kwaliteit van) de code kunt downloaden, controleren en deze ook zelf kunt compileren.

Er zijn vele trucs om achterdeurtjes te verstoppen in broncode.

Juist omdat de sourcecode beschikbaar is kun je dit doen en kun je dus zelf (mits je over de juiste kennis en kunde beschikt) dit allemaal zelf controleren en ook zelf je binaries maken, zodat je dit weer kunt vertrouwen.

Wie gaat van elke versie de broncode controleren elke keer opnieuw controleren, alleen voor zichzelf? Welke versie zal meer onafhankelijk door derden gecontroleerd worden: een fork bestemd voor de Nederlandse overheid, of het originele product?

Zelf je binaries maken heeft als nadeel dat bijvoorbeeld de Windows TUN/TAP driver niet ondertekend zal zijn. Daar moet je dus ook in investeren.

Wat zijn de andere redenen dat je deze fork niet zou vertrouwen (je zegt zelf "(nog) een reden")?

Het is een door de overheid gesponsord project dat afgeleid is van een open en vrij project. Overheden zijn niet rationeel, of in andere woorden: minder rationeel dan bedrijven. Een (commercieel) bedrijf doet alles voor winst. Een overheid doet alles. Intrinsiek is een overheid hierom minder te vertrouwen dan een bedrijf, want je weet niet wat (onverstandige, ongefundeerde, onlogische) beslissingen beweegt. Het is vaak genoeg aangetoond dat overheden reageren gebaseerd op macht en urgentie, en niet per se legitimiteit. Dat maakt de overheid een 'dangerous stakeholder'. En van zulke stakeholders wil je niet afhankelijk zijn voor informatiebeveiliging.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 19:46]

walteij @The Zep Man • 24 november 2015 11:35

Er zijn vele trucs om achterdeurtjes te verstoppen in broncode.

Ja, die zoekopdracht ken ik ook. Maar heb je er ook relevante en recente resultaten voor? De resultaten die nu worden getoond zijn de backdoor attempt in 2003 (niet geslaagd), de NSA die Linus benaderde (en jammerlijk faalde), en phpmyadmin waarin een backdoor was geplaatst (die er overigens erg snel uitgehaald was).

Wie gaat van elke versie de broncode controleren elke keer opnieuw controleren, alleen voor zichzelf?

Iemand die de leveranciers van de binaries niet vertrouwd? Als je inderdaad dusdanig paranoïde bent dat je precompiled binaries niet vertrouwd, zul je dus de code moeten controleren en ook zelf moeten compileren.
De kosten die je dan moet maken voor de Windows TN/TAP driver (als je überhaupt als paranoïde computergeek al Windows gebruikt) neem je dan ongetwijfeld voor lief.

Ik ken de gehele historie van de Fox-IT OpenVPN port niet, maar als ik het internet zo snel af speur zie ik geen zwaarwegende argumenten waarop deze port onveilig zou zijn.

The Zep Man

Bedrijfsnieuws

@walteij • 24 november 2015 11:41

[...]

Ja, die zoekopdracht ken ik ook. Maar heb je er ook relevante en recente resultaten voor?

Het ontbreken van recente resultaten geeft aan dat het niet kan?

Ik ken de gehele historie van de Fox-IT OpenVPN port niet, maar als ik het internet zo snel af speur zie ik geen zwaarwegende argumenten waarop deze port onveilig zou zijn.

Het is geen port. Een port is het omzetten van bestaande software naar een ander platform. Het is een fork.

Schrijf ik ergens dat de fork van Fox-IT onveilig is? Het heeft met vertrouwen te maken. Wat nu nog mogelijk veilig is, hoeft niet veilig te blijven.

walteij @The Zep Man • 24 november 2015 11:58

Het ontbreken van recente resultaten geeft aan dat het niet kan?

Het geeft aan dat het de laatste 12 jaar (op de phpmyadmin 'hack' na) niet gevonden is. En dat dus de kans dat dit in die periode is gebeurd behoorlijk klein is. Er wordt tenslotte continue gewerkt aan de vele broncodes en die worden tus ook tijdens het wijzigen ingezien e vreemde items daarin zouden toch op moeten vallen.

Schrijf ik ergens dat de fork van Fox-IT onveilig is? Het heeft met vertrouwen te maken. Wat nu nog mogelijk veilig is, hoeft niet veilig te blijven

Jij schrijft dat je het niet vertrouwd en daaruit concludeer ik dat je het geen veilige keuze vindt. Als ik je vraag om argumenten, kom je met een heel generieke zoekopdracht "linux source code backdoors" waar bij uit de resultaten al blijkt dat er nagenoeg geen backdoors zijn in open source en als deze er al zijn geweest, deze snel zijn gevonden en opgelost.

Dat ik per ongeluk port en fork door elkaar haal, excuses daarvoor.
Maar mijn vraag blijft staan. Heb je steekhoudende argumenten waarom je de fork niet vertrouwd? Heeft iemand anders steekhoudende argumenten waarom die fork niet te vertrouwen is.
Zelf op de laatste vraag denk ik dat je nee moet beantwoorden, immers zegt coretx (die duidelijk een hekel heeft aan FOX-IT) hieronder zelfs"

Destijds werd je weg gezet als tin foil hat mannetje als je roept dat OpenSSL brak is, dus hebben ze zelf een oplossing geknutseld op basis van polarssl ( wat nu anders heet. )
Dat OpenSSL brak was/is betreft inmiddels een gegeven, dus de bovenstaande reactie is een bijzonder zwakke aanval op het verwerpelijke Fox-IT.

[Reactie gewijzigd door walteij op 22 juli 2024 19:46]

coretx @The Zep Man • 24 november 2015 11:22

Alhoewel ik een @*#$&)_@ hekel heb aan de digitale huurlingen van Fox-IT hebben ze die Fork *wel* goed geregeld. Destijds werd je weg gezet als tin foil hat mannetje als je roept dat OpenSSL brak is, dus hebben ze zelf een oplossing geknutseld op basis van polarssl ( wat nu anders heet. )
Dat OpenSSL brak was/is betreft inmiddels een gegeven, dus de bovenstaande reactie is een bijzonder zwakke aanval op het verwerpelijke Fox-IT.

gertvdijk @coretx • 24 november 2015 11:28

Destijds werd je weg gezet als tin foil hat mannetje als je roept dat OpenSSL brak is, dus hebben ze zelf een oplossing geknutseld op basis van polarssl ( wat nu anders heet. )

Sterker nog, het is geen fork, maar OpenVPN is modulair gemaakt voor eender welke cryptografische library gebruikt zou worden. Dat is met de OpenVPN community upstream getrokken en inmiddels zijn er meerdere distributies die OpenVPN tegen PolarSSL/mbedTLS bouwen (bijvoorbeeld OpenWRT).

De 'fork' die OpenVPN-NL heet is vooral een uitgeklede versie met verminderde ondersteuning voor zwakke crypto/authenticatie.

Inmiddels heeft deze development van Fox er dus voor gezorgd dat iedereen kan profiteren van een alternatieve TLS implementatie.

[Reactie gewijzigd door gertvdijk op 22 juli 2024 19:46]

thomas_24_7 @gertvdijk • 24 november 2015 13:44

In deze discussie is het misschien handig om ook te melden dat je zelf werkzaam bent bij Fox-IT? Dit kan je reactie ondersteunen (kennis van zaken), maar wijst mensen ook op de slager die zijn eigen vlees keurt....

Jiriki @The Zep Man • 24 november 2015 11:11

Dan compile je toch je eigen binaries? Dat is het voordeel van open source, wanneer je het niet vertrouwt heb je de gehele keten in eigen handen.

Christiaan676 @Jiriki • 24 november 2015 21:36

Wie zegt dat je compiler veilig is? Dan compileer je de compiler toch zelf, o wacht....
Ken Thompson Hack

Ofwel je hebt niet de hele keten in handen, tenzij je zelf de compiler in byte code schrijft....

Auredium 24 november 2015 10:22

Jammer,

Door de overname valt Fox-IT welke een goede naam heeft in het gebied van beveiliging onder de regels van de Britten. Gezien de ontwikkelingen daar en de verregaande bevoegdheden van de GHCQ kan dit inhouden dat Fox-IT niet alles meer zomaar kan en mag zeggen ten behoeve van de veiligheid en de agenda van de GHCQ.

Leuk natuurlijk dat er groeimogelijkheden e.d. zijn. Ik kende tot nu toe Fox-IT ook als goed bedrijf. Maar ik bedenk mij sterk op andere gebieden bij deze overname.

[Reactie gewijzigd door Auredium op 22 juli 2024 19:46]

Yamotek 24 november 2015 10:22

Nou en dat valt dan weer onder Britse authoriteit met de Britse geheime dienst.. Lijkt mij niet dat ze dit onafhankelijk kunnen houden en dan zit de overheid weer bij een extern buitenlands bedrijf voor de beveiliging.

Hoewel het voor Fox-IT natuurlijk een mooie kans is, zitten er ook weer haken en ogen aan waardoor het bedrijf juist interesse kan verliezen.

mrFREDZ 24 november 2015 12:49

Misschien krijgen we dan eindelijk een directoraten-generaal van ICT of Technologie (Gratis Tip) en laat het anders vallen onder Minister van Onderwijs, Cultuur, Wetenschap( en Technologie). Maar er niks mee doen en alleen maar door externe bedrijven de problemen laten oplossen kom je zelf alleen maar tegen.
Als er wel een directoraten-generaal van emancipatie kunnen hebben maar geen van Technologie wordt het misschien een keertje tijd dat de overheid met een hun tijd mee gaat. Of heeft de Directoraat-generaal van Wetenschapsbeleid 50 jaar zitten slapen en niet zien aan komen dat computers zo belangrijk zou worden?

Katseviool 24 november 2015 17:06

Dat is toch wel weer fijn cashen voor Scheepsbouwer

Tha_Butcha 24 november 2015 10:22

Dus de belangrijkste overheidsadviseur omtrent ICT-veiligheid is nu in handen van een buitenlands bedrijf. Gaat weer lekker zo.

hp197 @Tha_Butcha • 24 november 2015 11:11

Dat moet je in een ander daglicht zien..,.

De AIVD mag niet direct zonder toestemming, Nederlandse burgers/overheden afluisteren. De Britse GCHQ mag dit echter wel zonder tussenkomst van de rechter.
Door deze constructie kan de Nederlandse AIVD via een britse constructie toch data boven water peuteren.

^ Alu hoedje

[Reactie gewijzigd door hp197 op 22 juli 2024 19:46]

PolarBear @hp197 • 24 november 2015 12:43

En waarom zouden ze daar FoxIT bij nodig hebben?

hp197 @PolarBear • 24 november 2015 13:05

Het was meer bedoeld als een saterische reactie, niet om heel serieus opgepakt te worden ;-)

Sergelwd @hp197 • 24 november 2015 12:09

Geen aluhoedje nodig. Dit is gewoon ordinair witwassen met de five eyes.

[Reactie gewijzigd door Sergelwd op 22 juli 2024 19:46]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (63)

Sorteer op:

Weergave: