'NSA meldde kwetsbaarheden aan Microsoft voor Shadowbrokers-publicatie'

De Amerikaanse militaire inlichtingendienst NSA was de partij die Microsoft heeft gewaarschuwd voor de lekken waarvoor de Shadowbrokers onlangs verschillende exploits publiceerden. Op basis van die informatie was Microsoft in staat om in maart een patch uit te brengen.

Het is onduidelijk wanneer de dienst Microsoft heeft gewaarschuwd. The Washington Post schrijft op basis van bronnen binnen de NSA dat 'de organisatie uiteindelijk Microsoft op de hoogte bracht over de lekken, waardoor het in staat was om patches te ontwikkelen'. De NSA gebruikte een van de tools, Eternalblue, gedurende een periode van vijf jaar. In die tijd ging er al een discussie binnen de organisatie of de ernst van het onderliggende SMB-lek ernstig genoeg was om Microsoft op de hoogte te stellen, zo vertellen voormalige NSA-medewerkers aan de krant.

Een van de medewerkers, die allemaal anoniem willen blijven, zegt dat de hoeveelheid inlichtingen die met de tool kon worden verkregen 'onwerkelijk' was; een andere medewerker zegt dat het 'net als vissen met dynamiet' was. Voormalig NSA-directeur Keith Alexander stelde dat de overheid zijn hacktools beter moet beschermen. "Iemand heeft alles leeggeroofd. De overheid moet dat beter aanpakken." Plaatsvervangend NSA-directeur Richard Ledgett zei over het melden van alle kwetsbaarheden dat dit zou neerkomen op 'unilaterale ontwapening' en dat dit idee 'onzin' is.

Uit het bericht van de krant komt verder naar voren dat de NSA in de loop van de tijd verbeteringen heeft aangebracht aan de Eternalblue-tool. De software leidde aanvankelijk vaak tot crashes van de systemen van doelwitten, waardoor de naam Eternalbluescreen ontstond. Daarom moest in het begin toestemming van hogerhand worden verkregen voor het inzetten van de tool. Bovendien zouden de Amerikaanse Defensie en andere overheidsinstellingen hun kwetsbaarste systemen geüpdatet hebben nadat Eternalblue in gebruik werd genomen.

Sommige beveiligingsexperts zouden van mening zijn dat het interne proces binnen de NSA, waarmee wordt afgewogen of een kwetsbaarheid gemeld moet worden, in dit geval gewerkt heeft. Anderen stellen daartegenover dat de Shadowbrokers de tools ook eerder hadden kunnen publiceren, voordat de overheid zijn systemen kon updaten of zonder dat Microsoft een patch had ontwikkeld.

De Shadowbrokers publiceerden de Eternalblue-tool in april. De tool is een exploit voor een kwetsbaarheid in de implementatie van het SMB-protocol. Na de publicatie bleek dat Microsoft in maart al een patch had uitgebracht, maar tot nu toe was onduidelijk wie de kwetsbaarheden aan het bedrijf had gemeld. Iets minder dan een week geleden verspreidden onbekenden een ransomwarevariant onder de naam WannaCry, die gebruikmaakte van de Eternalblue-tool. Hierdoor werd wereldwijd een groot aantal systemen getroffen. De Shadowbrokers kondigden onlangs een abonnementsdienst op verdere exploits aan.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 18-05-2017 10:5297

18-05-2017 • 10:52

97 Linkedin

Lees meer

WannaCry-ransomware in 150 landen
Netwerk en systeembeheer

15 mei 2017

WannaCry-ransomware in 150 landen

Wat maakt deze variant anders?

283
Voormalig NSA-medewerker bekent schuld aan stelen geheime informatie Nieuws van 2 december 2017
Personen achter WannaCry-ransomware legen bitcoinwallets met losgeld Nieuws van 3 augustus 2017
Onderzoeker schoont 9000 voor NSA-exploit kwetsbare servers in Nederland op Nieuws van 6 juli 2017
NSA plaatst sysadmin- en beveiligingstools op GitHub Nieuws van 19 juni 2017
'Intern NSA-rapport legt link tussen WannaCry en Noord-Korea' Nieuws van 15 juni 2017
Microsoft waarschuwt voor aanval en brengt noodpatch voor Windows XP uit Nieuws van 13 juni 2017
'WannaCry trof meer dan 700.000 unieke ip-adressen' Nieuws van 30 mei 2017
Shadowbrokers vragen 20.000 euro voor exploitabonnement Nieuws van 30 mei 2017
Techbedrijven sturen brief over hervorming surveillancewetgeving VS Nieuws van 27 mei 2017
Beveiligingsbedrijf vindt meer aanwijzingen voor WannaCry-link met Noord-Korea Nieuws van 23 mei 2017
Onderzoekers publiceren WannaCry-decryptor voor Windows 7 en andere systemen Nieuws van 19 mei 2017
Wetsvoorstel VS dwingt NSA om overheidsorganen te informeren over zero-days Nieuws van 18 mei 2017
Shadowbrokers kondigen abonnement op exploits aan Nieuws van 16 mei 2017
Microsoft: Windows-zero-days in Shadowbrokers-dump zijn al gerepareerd Nieuws van 15 april 2017
Shadowbrokers-release toont aan dat CIA Swift-betalingsnetwerk infiltreerde Nieuws van 14 april 2017
Meer producten en artikelen
Netwerk en systeembeheer Microsoft NSA Security

Reacties (97)

-Moderatie-faq
97
90
41
5
0
40
Wijzig sortering
Shark.Bait
18 mei 2017 11:12
the Register heeft de patches van MS ontleed en het blijkt dat de XP patch al in februari beschikbaar was (blijkbaar kostte het $200 per desktop per jaar om XP te blijven ondersteunen, in jaar 2 werd dit $400)


Bron
The Redmond tech giant was praised for issuing the fixes for its legacy Windows builds. It stopped supporting Windows XP in April 2014, and Server 2003 in July 2015, for instance, so the updates were welcome.

However, our analysis of the metadata within these patches shows these files were built and digitally signed by Microsoft on February 11, 13 and 17, the same week it had prepared updates for its supported versions of Windows. In other words, Microsoft had fixes ready to go for its legacy systems in mid-February but only released them to the public last Friday after the world was engulfed in WannaCrypt.
Bron 2
The extended support deal of 2014 wasn't unique – Microsoft offered custom support extensions to the private sector, too, but such deals weren't cheap. Priced at $200 a year per PC in the first year, doubling in year two, Microsoft was clear: it was a temporary measure and you had to demonstrate a plan to migrate
434365
@Shark.Bait18 mei 2017 11:50
Heel interessant feitje, ben verbaast dat hier geen reacties op zijn, als dit waar is dan betekend dat dus dat de NSA aan Microsoft heeft gemeld dat dat Shadow-brokers pakket online zou komen, maar vervolgens heeft gevraagd te wachten met patchen tot het ook echt online stond? (ik kan me namelijk niet voorstellen dat Microsoft zelf zou hebben bedacht 'laten we even wachten met patchen') En Microsoft heeft daar dan gehoor aan gegeven?

Hoop dat we hier nog wat meer over gaan horen, want dit is wel vrij interessant en als het waar is een pijnlijk duidelijke hint dat de NSA dus inderdaad Amerikaanse tech bedrijven in hun zak heeft.
MagicTempest
@43436518 mei 2017 12:57
Nee, dat zie je verkeerd. De NSA heeft het lek wel aan Microsoft gemeld waarna Microsoft patches heeft gemaakt voor de operating systems die (op een bepaalde manier) nog ondersteuning krijgen.

Windows XP bijvoorbeeld krijgt nog steeds ondersteuning, maar alleen als je daar flink voor betaalt. Omdat er dus nog bedrijven en overheden zijn die betalen voor die ondersteuning moeten die patches nog ontwikkeld worden. Microsoft heeft, toen de aanval met Wanacry ernstige vormen aan begon te nemen, besloten de patch ook vrij te geven voor mensen die niet betalen voor die ondersteuning, maar wel nog zulke oude software hebben.

De eternalblue tool kwam in april beschikbaar, terwijl de patches voor o.a. Windows 7 beschikbaar kwamen in maart. De tijd tussen het signeren van de bestanden en het beschikbaar maken van de bestanden heeft waarschijnlijk te maken gehad met het testen van de patches.
afterburn
@43436518 mei 2017 12:21
Denk dat het meer een business beslissing is: er is geen support voor XP en W2K3, dus er komen geen patches. Punt. Maar als er zoiets gebeurt en iemand wil er voor betalen, dan kun je hem op dat moment gelijk voorzien van een fix. Klant blij, MS blij. :)
434365
@afterburn18 mei 2017 12:29
Blijft het toch gek dat ze zo'n fix achter de hand houden tot het moment waar het 'nodig' is, alsof de NSA heeft gevraagd 'patch alsjeblieft XP nog ff niet, want we zijn iemand aan het bespioneren'
PolarBear
@43436518 mei 2017 14:34
Windows XP is al een tijd uit mainstream support. Dus helemaal niets geks aan.
434365
@PolarBear18 mei 2017 14:44
Toch wel, als ze de kwetsbaarheid serieus genoeg vinden om terug te komen op het eerder genoemde 'we stoppen met support voor XP' dan zou je toch verwachten dat ze de kwetsbaarheid ook serieus genoeg vinden om meteen te patchen, en niet pas een tijdje later.
mjz2cool
@43436518 mei 2017 16:25
tegen betaling krijg je gewoon updates voor xp, maar dit was blijkbaar genoeg reden om die update ook voor niet betalende klanten uit te rollen.
434365
@mjz2cool18 mei 2017 16:29
Maar wat dus onduidelijk blijft (en volgens mij ook niet is gebeurd, want dan was dit vast gemeld door Microsoft en/of Tweakers) is of ze die patch dan wel meteen naar betalende klanten hebben gepusht, of dat die ook moesten wachten.

Ik vermoed dus sterk dat ook de betalende klanten hebben moeten wachten op die patch, zo ja, dan is het een zeer dubieus geval, zo niet is het nog steeds raar dat ze dan 2 verschillende patch rondes hebben gedaan.
DrClaw
@43436518 mei 2017 17:15
Maar wat dus onduidelijk blijft (en volgens mij ook niet is gebeurd, want dan was dit vast gemeld door Microsoft en/of Tweakers) is of ze die patch dan wel meteen naar betalende klanten hebben gepusht, of dat die ook moesten wachten.
Betalende klanten krijgen patches. Daar betalen ze namelijk voor.
Blokker_1999
@43436518 mei 2017 18:21
@434365 Tuurlijk is die patch onmiddelijk mee ter beschikking gesteld. Waarom ontwikkel je die anders op zo een moment? Vergeet niet dat je aan de ene kant klanten hebt die effectief betalen voor dat soort patches en dat je aan de andere kant nog altijd een platform hebt in extended support op de XP technologie, namelijk XP Embedded.
Texamicz
@43436518 mei 2017 21:24
Omdat Microsoft samenwerkt met de NSA, net zoals Google en andere grote tech bedrijven in de USA. Ze hebben twee gezichten, een gezicht richting klanten en een gezicht richting de overheid.
Vayra
@Texamicz18 mei 2017 21:51
Alle overheden en bedrijven hebben twee gezichten: de publieke (need to know), en de echte wereld.
Texamicz
@Vayra19 mei 2017 07:19
Dan heeft Microsoft er dus 3. Intern, naar de overheid toe en naar zijn klanten. Mijn fout.
RAAF12
@43436518 mei 2017 20:53
Dat Windows XP wel patches kreeg is al vanaf 2015 bekend. MS levert die ook aan de NL Rijksoverheid. Daarvoor wordt gewoon betaald.
BeosBeing
@Shark.Bait20 mei 2017 20:26
Het lijkt me logisch dat men eerst de patch ondertekend en dan gaat testen. Zonder ondertekening zal het OS de patch niet vertrouwen en niet installeren.

Dat men vervolgens meer dan een maand uit heeft getrokken om te testen voordat men de patch publiceert is echter wel lang. Als men weet heeft van een lek waarvoor een exploit bestaat, zeker als die mogelijk in verkeerde handen is gevallen zou men niet langer moeten testen als strict noodzakelijk.

Uiteraard bestaat de mogelijkheid dat Microsoft wist van de exploit maar ervan uitging dat deze alleen bij de NSA bekend was en daarom gewacht heeft. Dat kan dan zijn om de patch beter te testen of om de NSA in staat te stellen hun exploit nog even te blijven gebruiken. Vooral dat laatste is afkeurenswaardig omdat meerdere partijen onafhankelijk van elkaar het lek ontdekt kunnen hebben en exploits kunnen hebben gemaakt.
Er zijn immers meerdere bedrijven die daar hun geld mee verdienen.
Een lek laten zitten, ten behoeve van de NSA betekent dus dat dit ook voor anderen open blijft staan, anderen waarvan je niet eens weet wie het zou kunnen zijn; GQHC, Mossad, FSB of criminelen.
casparvl
18 mei 2017 11:11
Ik blijf maar horen dat men vind dat geheime diensten deze lekken onverwijld bij de softwarefabrikant moeten melden. Volgens mij werkt dat concept niet, om de simpele, volgende reden.

Geheime diensten zoeken naar lekken om die zelf te kunnen gebruiken om mensen af te luisteren. Op het moment dat ze die lekken onmiddellijk melden bij de fabrikant, kunnen ze mensen niet meer af luisteren (of althans, slechts héél kort). Bij regelgeving die een dergelijke procedure zou afdwingen is de hele motivatie om naar nieuwe lekken te zoeken voor geheime diensten gewoon weg: dan kunnen ze beter proberen via bestaande lekken binnen te komen, in de hoop dat het doelwit zijn systeem niet netjes gepatcht heeft. Oftewel: ook in dát scenario zullen deze 'nieuwe' lekken dus gewoon blijven bestaan, maar dan omdat de geheime diensten er überhaupt niet meer naar gaan zoeken; er is immers niets meer mee te winnen.

Daarnaast heeft Richard Ledgett ook een goed punt: de Chinese geheime dienst gaat echt niet netjes aan Microsoft alle lekken melden die ze vinden, waar de NSA dat dan wél zou moeten. Daar creëer je wel een hele scheve balans mee.

Mijns inziens moeten we het misbruik van lekken door criminelen en overheden volledig los van elkaar zien. Als de NSA merkt dat de Chinese geheime dienst een lek misbruikt wat zij zelf ook kennen, dán kunnen ze in het landsbelang dat lek aan Microsoft melden (dát is uiteindelijk het doel van een geheime dienst, het landsbelang dienen in de verdediging tegen andere naties). Tot die tijd kunnen ze het zelf gebruiken voor hun eigen doelen: afluisteren ten behoeve van het landsbelang. Daarnaast is het de verantwoordelijkheid van de fabrikant zélf om misbruik door criminelen tegen te gaan. Mochten we als maatschappij vinden dat fabrikanten dat niet voldoende doen, dan kun je ook prima beslissen daar een verantwoordelijkheid van de overheid van te maken en daar een aparte organisatie (een soort digitale politie/recherche dienst) voor op te richten. Die moet dan wel volledig los staan van je geheime diensten en als enige doel hebben dit soort criminaliteit bestrijden door lekken op te sporen en te melden bij de fabrikant.

Neemt niet weg dat je wél zou kunnen afdwingen dat áls een lek eenmaal 'publiekelijk' bekend is (zoals in dit geval toen de Shadowbrokers het gestolen hadden), een geheime dienst wél wettelijk verplicht is het te melden. Het lijkt erop dat dat hier echt te lang heeft geduurd en dat is zonder meer een kwalijke zaak. Je zou ook kunnen zeggen dat de NSA daar zijn werk niet goed gedaan heeft: ze dienen het land immers ook tegen terrorisme te beschermen en met zo'n tool die op straat ligt terwijl er geen patch is, kun je een land behoorlijk ontwrichten.

[Reactie gewijzigd door casparvl op 18 mei 2017 11:15]

vSchooten
@casparvl18 mei 2017 11:47
De NSA (National Security Agency) heeft de verantwoordelijkheid voor de veiligheid van hun land.
Als de NSA een exploit heeft dan is het heel erg waarschijnlijk dat een crimineel die exploit ook heeft... Door dat dus niet te melden brengen ze hun land in gevaar...
Daarnaast heeft Richard Ledgett ook een goed punt: de Chinese geheime dienst gaat echt niet netjes aan Microsoft alle lekken melden die ze vinden, waar de NSA dat dan wél zou moeten. Daar creëer je wel een hele scheve balans mee.
In normale taal: "ik vindt dat het beter is om onveilig te zijn en makkelijk te kunnen spioneren, dan veiliger zijn en meer moeite moeten doen."
Wie zegt dat de exploits van de NSA verschillend zijn dan die van de chinese geheime dienst?
casparvl
@vSchooten18 mei 2017 11:59
In jouw ogen is het waarschijnlijk dat een crimineel dezelfde exploits heeft als de NSA. Ik denk van niet, al is het alleen maar omdat de NSA een organisatie met heel veel geld, kennis en kunde is die op professionele wijze naar dit soort exploits zoeken. Ten tweede, zelfs áls een crimineel die heeft, is het de vraag of dat een 'gevaar' voor het land is. Tuurlijk, hij kan er wellicht wat mensen mee afpersen, wat bitcoins minen, noem maar op. Maar dat zijn nou net niét de dingen waar de geheime diensten voor in het leven zijn geroepen. Die zijn er voor terroristen die een maatschappij proberen te ontwrichten door bijv. de NUTS voorzieningen plat te leggen. Het misbruik van deze uitgelekte kwetsbaarheden is eigenlijk het beste voorbeeld: de SMB kwetsbaarheid werd pas een probleem toen de NSA tools uitlekten. Daarvoor hadden criminelen ofwel geen weet van deze kwetsbaarheid, of werd het in ieder geval niet op een dergelijke manier misbruikt dat het het landsbelang schaadde.

Wat betreft het 2e punt: er zal vast overlap zitten in wat beide geheime diensten hebben, maar als de kwetsbaarheden die de NSA heeft allemaal gepatcht worden, en de chinese geheime dienst 10% overhoud die ongepatcht blijft, dan heb je nog steeds een aardig probleem. Lijkt mij niet in het landsbelang.
vSchooten
@casparvl18 mei 2017 12:13
het lijkt mij in het landsbelang dat je veilig bent niet dat de NSA kan spioneren.
Jij probeert een punt te maken van iets wat we gewoon niet kunnen weten, wie weet heeft het uitlekken van de exploitkit de ontwikkeling alleen maar versneld?
Mijn punt blijft nog steeds staan, Door dit soort exploits aan te geven beveilig je de NUTS voorzieningen van sabotage op een manier die bekend is, waardoor de manieren van aanvallen kleiner wordt. Dit is hetzelfde als een overheid een backdoor in bepaalde software wilt, dan kun je net zo goed die beveiliging weg doen, die werkt dan niet meer.
casparvl
@vSchooten18 mei 2017 12:21
Door dit soort exploits aan te geven beveilig je de NUTS voorzieningen van sabotage op een manier die bekend is, waardoor de manieren van aanvallen kleiner wordt.
Maar dan heb je mijn eerste punt gemist: er valt niks meer aan te geven, want als de NSA zijn exploits niet meer kan gebruiken om af te luisteren, dan stoppen ze met zoeken.
vSchooten
@casparvl18 mei 2017 12:35
Ze kunnen ook door gaan met zoeken zodat die door gegeven kunnen worden. Hiermee verbeteren ze de beveiliging van hun land...
NSA = National Security Agency
casparvl
@vSchooten18 mei 2017 12:47
En dat was dus mijn een na laatste punt in mijn oorspronkelijke post: volgens mij is dat geen verantwoordelijkheid van de NSA, maar van de softwarefabrikant. Anders kun je wel aan de gang blijven, als de softwarefabrikant geen enkele incentive meer heeft om veilige software te maken, omdat de NSA het wel oplost...

Je kúnt ervoor kiezen dat je als maatschappij zegt: we vinden dit dermate belangrijk dat het wél vanuit de overheid geregeld moet worden, maar dan zie ik daar niet een taak voor een geheime dienst in, volgens mij zou je daar gewoon een aparte organisatie voor moeten oprichten. Een soort scheiding van je 'offense' en je 'defense' zeg maar. Maar goed, dat is mijn mening, en daar mag je het natuurlijk mee oneens zijn ;-)
vSchooten
@casparvl18 mei 2017 13:22
als jij informatie hebt om een probleem op te lossen is het voor mijn gevoel een plicht om dat te melden, of het een overheids organisatie is of niet maakt mij niet uit.
Op het moment dat jij effectief exploits gaat zitten maken en zoeken in software neem jij verantwoordelijkheid over die informatie, dus dan kun je niet de (voor mijn gevoel dan) meldplicht afschuiven naar de developer...
tweaknico
@vSchooten18 mei 2017 12:59
Helaas opereren ze meer als National Spy Agency
Blokker_1999
@casparvl18 mei 2017 18:24
Het is wel degelijk in het belang van het land om zo snel mogelijk zo veel mogelijk kwetsbaarheden te dichten. Shadowbrokers heeft net 1 van de grootste risicos aangetoond: geen enkele geheime dienst kan zijn geheimen zelf bewaren. Dit is ook direct waarom bijv. Apple niet wilde meewerken aan het hacken van de iPhone. Het zou een kwestie van tijd zijn voor die master key gestolen werd.

De hack op de NSA heeft voor vele euros aan schade gezorgd. Je kan ze er alleen niet voor aanklagen.
mancide
@casparvl18 mei 2017 11:24
Misschien moet er andere wetgeving komen...
Voorstel voor het Europees parlment:
minimum 3 jaar verplichte gratis bugfixes op software. Daarna staat het de ontwikkelaar vrij om te kiezen hoelang hij zijn product nog wil ondersteunen.
Maar wanneer de ondersteuningsperiode stopt, moet de source vrijgegeven worden! Soms kan dit een klein deel zijn dat vrijgegeven wordt. Libraries verder ontwikkeld en gepatched worden en zo hoeft de source hiervoor nog niet vrijgegeven te worden...
Op die manier kunnen problemen met software die niet meer ondersteund wordt toch nog opgelost worden.
StephanVierkant
@mancide18 mei 2017 11:30
En wanneer gaat die 3 jaar tellen? Op het moment dat Windows XP uitkomt, of dat jij het in de winkel koopt? Laten we het laatste aannemen, plus de aanname dat consumenten altijd de nieuwste versie van Windows kopen. De opvolger van Windows XP (Vista) kwam begin 2007 uit, dus in dat geval zou de ondersteuning van 3 jaar in 2010 al stoppen. Dat is nu dus ruim 7 jaar geleden en toch heeft Microsoft een patch uitgebracht voor Windows XP. In dit geval heeft Microsoft dus meer geleverd dat jij verwacht.
Aikon
@StephanVierkant18 mei 2017 11:36
Plus wat is ondersteuning precies op dit vlak? 1 stagiaire die lekken zoekt op vrijdagmiddag of een team van 100 programmaurs?

Source verplicht vrijgeven is natuurlijk ondenkbaar.
tweaknico
@Aikon18 mei 2017 13:02
Misschien dan maar producten gebruiken waarvan de source voor vrijgave, dus gedurende het ontwikkel traject, al bekend is?
Ik heb er goede ervaring mee, Ik heb nog een levende Psion Palmtop, de tooling om ermee te communiceren is gelukkig opensource en ik kan het dus zelf bij houden.

[Reactie gewijzigd door tweaknico op 18 mei 2017 13:03]

PolarBear
@Aikon18 mei 2017 14:36
Source verplicht vrijgeven is natuurlijk ondenkbaar.
Zelfs al geef je de source vrij, je bent afhankelijk van mensen die de source ook begrijpen. Als je kijkt naar de opens source wereld zijn er genoeg projecten die een stille dood sterven omdat mensen geen tijd hebben. Het aantal mensen wat echt een OS source code kan doorgronden is relatief beperkt.
mancide
@PolarBear18 mei 2017 15:32
[...]
Het aantal mensen wat echt een OS source code kan doorgronden is relatief beperkt.
Zeer juist, maar zonder source is het nog veel moeilijker.
Bovendien zal een fabrikant 2x nadenken voordat ze de ondersteuning stoppen want dan moeten ze de source vrijgeven...
mancide
@Aikon18 mei 2017 15:34
En waarom zou dat ondenkbaar zijn?
Tenslotte heb je de keuze:
a) product onderhouden
b) source vrijgeven
Aikon
@mancide18 mei 2017 18:21
Dat is een ondenkbare keuze voor bedrijven, dan gaan ze hun software hier simpelweg niet meer uitbrengen.
mancide
@StephanVierkant18 mei 2017 15:30
Inderdaad, hier heeft microsoft meer gedaan dan nodig. Petje af hiervoor.
Maar andere leveranciers doen dit niet.
Recente voorbeelden waarmee ik recentelijk geconfronteerd werd:
OnePlusOne
EyeFi
Sony

Een fabrikant krijgt de keuze tussen zijn product onderhouden (beter product) of het vrijgeven (de klant heeft de mogelijkheid om het zelf op te lossen => beter product)
Zer0
@mancide18 mei 2017 13:14
Heb je ook een voorstel wat te doen met alle programmeurs die op straat komen te staan als dit uitgevoerd wordt?

Ik zou liever zien dat er een verplichting komt op een duidelijk update-beleid, en de naleving daarvan, zodat de afnemer zelf kan beslissen een product wel of niet te gebruiken.
mancide
@Zer018 mei 2017 15:21
Waarom zouden hierdoor mensen op straat komen te staan? Als je alle kwetsbaarheden die in je software gevonden worden moet oplossen zal je extra mensen nodig hebben...
Zer0
@mancide18 mei 2017 17:00
Omdat met de regels die jij voorstelt een goede business-case om software op de markt te brengen een stuk lastiger voor elkaar te krijgen is, zoals je zegt, je hebt extra mankracht nodig, dus hogere kosten...
Als je dan ook nog na een x aantal jaar de software gratis weg moet gaan geven (source openbaren), dan zie ik juist veel banen verdwijnen.
Blokker_1999
@mancide18 mei 2017 18:27
Source vrijgeven? Hoe kom je daar in hemelsnaam bij. Neem nu Windows. Een product waar enorm veel tijd en geld in is gestoken. XP mag dan uit support zijn (technisch ook niet helemaal waar) maar delen daarvan zijn wel degelijk gewoon gebruikt in de opvolger ervan. Hoe ga je dat regelen? Het is echt niet zo zwart/wit als zeggen dat omdat de ondersteuningsperiode gestopt is dat de hele codebase niet langer in gebruik is.

Daarnaast zitten er in dat soort complexe producten enorm veel bedrijfsgeheimen en rusten er vaak enorm veel patenten op. Je zit soms ook nog eens met geheimhoudingsplicht.

De juiste keuze is op tijd upgraden in plaats van te blijven hangen. Wordt software niet meer ondersteund? Zorg dat je tijdig begint na te denken over alternatieven.
dutch_warrior
@casparvl18 mei 2017 12:07
Helaas moet ik je gelijk geven in dat het weinig zin heeft om te eisen van westerse geheime diensten dat men volledige openheid van zaken geeft over dit soort zaken.

Men mag wel eisen van geheime diensten dat er verantwoordelijk wordt omgesprongen met gevonden lekken en de gevonden informatie. Een doel van de geheime dienst is toch het beschermen van de nationale veiligheid, in dit geval zijn toch behoorlijk wat burgers in gevaar gebracht door in mijn ogen te laks handelen.

Ik ben van mening dat het interne proces in deze niet rigoureus genoeg is. Toen bleek dat de data van de shadowbrokers legitiem was had de NSA op basis van de mate van eenvoud waarop massaal misbruik kan worden gemaakt van CVE-2017-0144 moeten besluiten om ervan uit te gaan dat deze exploit ook gelekt was. Dit zou dan inhouden dat de NSA Microsoft vroegtijdig zou informeren over dit risico en dat men samen een plan zou kunnen maken om een cyberaanval waarbij misbruik wordt gemaakt van deze exploit te mitigeren. De NSA kan toch vast wel wat resources missen om in ieder geval de mate van kwetsbaarheid van kritische infrastructuur van bevriende landen in kaart te brengen? Daarnaast zou ook samenwerking met andere partijen dan alleen Microsoft (bv: AV of security appliance vendoren) ertoe kunnen leiden dat massaal misbruiken van een exploit minder eenvoudig is waardoor de exploit ook meteen minder aantrekkelijk is voor criminelen.

Het is gewoon te eenvoudig om via DoublePulsar en EternalBlue massa's computers te voorzien van een betrouwbare backdoor en te infecteren met malware.
Het massaal plaatsen van backdoors om maar zoveel mogelijk informatie te verzamelen lijkt bij organisaties als de NSA de hoogste prioriteit te hebben en het is onmogelijk om te bewijzen of dit soort sleepnet surveillance nou echt wel effectief is, men lijkt ook vrij makkelijk te denken over collateral damage.

Er moet hoe dan ook iets gebeuren maar het dwingen van geheime diensten om alle gevonden exploits door te geven zal niet de oplossing zijn net zomin als proberen de technologische voortuitgang af te remmen in de hoop dat soft en hardware dan kwalitatief beter gaat zijn. Iets minder vertrouwen tussen systemen onderling zou misschien een goed begin zijn, maar als het allemaal zo simpel was dan zou er allang iets gedaan zijn natuurlijk.
casparvl
@dutch_warrior18 mei 2017 12:14
Helemaal mee eens. Voor 'ons' leken was het eerst onduidelijk wat de Shadowbrokers in handen hadden (of hun claim dat het NSA tools waren 'echt' was). Je mag ervan uitgaan dat de NSA dat wél meteen wist. Ze hadden dan ook onmiddelijk contact opmoeten met de verschillende softwarefabrikanten om die lekken z.s.m. gepatcht te krijgen. Je idee om samen te werken met anti-virus partijen en bevriende landen lijkt me ook een hele logische. Wat ze dus moeten zien te doen is wetgeving maken die dát weet af te dwingen - hoe moeilijk dat juridisch wellicht ook is.
bbob
@casparvl18 mei 2017 12:09
Mijns inziens moeten we het misbruik van lekken door criminelen en overheden volledig los van elkaar zien. Als de NSA merkt dat de Chinese geheime dienst een lek misbruikt wat zij zelf ook kennen, dán kunnen ze in het landsbelang dat lek aan Microsoft melden (dát is uiteindelijk het doel van een geheime dienst, het landsbelang dienen in de verdediging tegen andere naties).
Dat klinkt leuk wat je schrijft maar als je merkt dat een ander land het lek misbruikt ben je meestal gewoon te laat en grote kans dat er al misbruik gemaakt is van dat lek.

De situatie nu is er zijn lekken die misbruikt worden, de nsa misbruikt ze, geeft ze niet door maar zet daarmee ook de veiligheid van amerikaanse bedrijven en instellingen op het spel.
Het gaat denk ik zo diep dat ze die info ook niet delen met andere amerikaanse geheime diensten waardoor die vatbaar zijn voor hacks. Het minste wat ze kunnen doen is zorgen dat vitale systemen beschermd worden tegen de hacks die nsa ook gebruikt, maar zels dat wordt niet gedaan.
casparvl
@bbob18 mei 2017 12:18
Het gaat denk ik zo diep dat ze die info ook niet delen met andere amerikaanse geheime diensten waardoor die vatbaar zijn voor hacks. Het minste wat ze kunnen doen is zorgen dat vitale systemen beschermd worden tegen de hacks die nsa ook gebruikt, maar zels dat wordt niet gedaan.
Jup, zie het nieuwe nieuwsbericht over nieuwe wetgeving die moet afdwingen dat NSA het in ieder geval met eigen overheidsinstanties deelt... Dat is blijkbaar al wel 'beleid', maar niet wettelijk geregeld.

En, het kan inderdaad goed zijn dat je dan 'te laat' bent, zeker als het om dit soort dingen gaat die zich héél snel naar duizenden systemen verspreiden. De pest is, het is een 'fine line' die je moet lopen tussen welk risico je neemt door de lekken wel/niet te melden. Als iémand de kennis heeft om die afweging te maken, is het de NSA. Uiteindelijk is het ook niet in hun belang als zo'n exploit de Amerikaanse industrie treft - ook dán hebben ze hun werk gewoon niet goed gedaan.
PPie
@casparvl18 mei 2017 12:17
Als de NSA merkt dat de Chinese geheime dienst een lek misbruikt wat zij zelf ook kennen
Maar hoe merk je dat dan? De Chinese geheime dienst zal natuurlijk proberen onopgemerkt te blijven, andersom is dit natuurlijk even waar, ook de NSA gaat natuurlijk proberen onopgemerkt te blijven.
Volgens mij moet je zo snel mogelijk melden en er tevens vanuit gaan dat de tegenstander het al wist.
ArtGod
@casparvl18 mei 2017 12:31
Maar de inlichtingendiensten praten alleen maar in hun eigen straatje. Realiseren ze zich ook dat al deze software lekken de Chinezen en Russen in staat heeft gesteld om alle Amerikaanse geheimen te stelen? De economische en militaire impact hiervan is enorm. De Chinezen hebben de complete blauwdrukken van de F=22 en F-35 gestolen en zijn nu al bezig om kopieën van de vliegtuigen de ontwikkelen. Dit gaat hen in de toekomst in staat stellen om militair weerbaarder te worden en kan grote impact hebben op bijvoorbeeld de kwestie Taiwan en de Amerikaanse invloed in Azië.

Alleen de geheimen van SpaceX zijn veilig, omdat zij alleen Linux gebruiken. Ik weet zeker dat als dit niet het geval was dat de Fransen en Chinezen nu al een Falcon 9 kloon zouden hebben aangekondigd.

[Reactie gewijzigd door ArtGod op 18 mei 2017 12:34]

tweaknico
@ArtGod18 mei 2017 13:10
Alleen de geheimen van SpaceX zijn veilig, omdat zij alleen Linux gebruiken. Ik weet zeker dat als dit niet het geval was dat de Fransen en Chinezen nu al een Falcon 9 kloon zouden hebben aangekondigd.
Dat is wel een heel grote claim (en niet zo relevante)..., spionage is vooral ook Socla Engineering, en dan is techniek ondergeschikt.

[Reactie gewijzigd door tweaknico op 18 mei 2017 13:10]

ArtGod
@tweaknico21 mei 2017 16:40
Het is een grote claim, maar één waar ik achter sta.

De belangen in de ruimtevaart industrie zijn enorm. Dacht je echt dat de Russen, Fransen of Chinezen niet de scrupules zouden hebben om de geheimen van SpaceX te stelen en na te maken als ze het konden?

Ik lees dus dat de Chinezen ook een herbruikbare raket gaan maken, maar één die niet hetzelfde principe gebruikt als SpaceX. De Chinezen willen airbags gebruiken. Waarschijnlijk doen ze dit omdat ze niet precies weten hoe een raket terug te sturen, dus gebruiken ze een enorm onnauwkeurige techniek.
Anoniem: 310408
@ArtGod18 mei 2017 14:26
Alleen de geheimen van SpaceX zijn veilig, omdat zij alleen Linux gebruiken. Ik weet zeker dat als dit niet het geval was dat de Fransen en Chinezen nu al een Falcon 9 kloon zouden hebben aangekondigd.
Ohhh, dus Linux valt nooit te hacken en is veilig. Goed dat we dat nu allemaal weten. Weten we ook weer hoe we de NSA, de russen en de chinezen buiten de deur houden! Probleem opgelost.

En dat van een karmakoning.....
BeosBeing
@Anoniem: 31040820 mei 2017 21:47
Zijn claim dat alleen SpaceX veilig is, omdat zij Linux gebruiken moet je anders lezen. Uiteraard is SpaceX niet per definitie veilig omdat ze Linux gebruiken. Dat is echter wel hoe je zijn formulering kunt interpreteren. Die interpretatie is dus verkeerd. Eigenlijk had hij er het woord 'mogenlijk' in moeten zetten.

De andere interpretatie is dat de anderen per definitie niet veilig zijn omdat ze geen Linux, maar Windows gebruiken. In principe klopt dit, ten eerste omdat Windows regelmatig gaten bevat en die gaten niet altijd gelijk gepatcht worden. Soms duurt dit jaren, alleen al voor het ontdekt wordt door Microsoft of iemand die dit aan Microsoft doorgeeft (en kwaadwillenden kunnen dit eerder ontdekt hebben) anderzijds duurt
het soms ook jaren na het bekend worden dat Microsoft het patcht, bv omdat er nog geen exploit bekend is. Dat laatste gebeurt in de Linux-wereld niet.
Ten tweede klopt het omdat 100% veilig niet bestaat, ook in andere besturingssystemen kunnen gaten zitten ook in Linux. Andere besturingssystemen zoals OpenBSD, NetBSD, FreeBsd, OpenIndiana, zijn mogelijk veiliger, omdat ze minder gebruikers hebben en omdat bij sommigen daarin de focus meer ligt op veiligheid als in Linux.
tweaknico
@BeosBeing22 mei 2017 16:11
Met name het laatste, design for security, en in mindere mate minder gebruikers..
Minder gebruikers betekent ook dat het minder goed getest wordt.
Je vergeet Trusted BSD (http://www.trustedbsd.org/)..

Daarnaast is er OpenVMS (dat mocht niet meer op DefCon terug komen omdat het in vrijwel de default configiguratie "Cool en Unhackable" was. Ondanks dat iedereen er een lokaal account op kon krijgen.
BeosBeing
@tweaknico22 mei 2017 16:20
Je vergeet Trusted BSD (http://www.trustedbsd.org/)..
Die kende ik nog niet, maar is minder een OS en meer een framework voor FreebSD en Darwin.
tweaknico
@BeosBeing22 mei 2017 16:21
Het is een uitbreiding zoals SELinux voor Linux.
Een document uit 2003 beschreef het als sebsd.,
ArtGod
@Anoniem: 31040821 mei 2017 16:41
Als je Linux goed configureert dan is het niet te hacken.

Er zijn Linux servers op het internet bekend van criminelen welke de opsporingsdiensten steeds trachten te hacken. Zonder resultaat.
434365
@casparvl18 mei 2017 12:01
Heel lullig misschien, maar ik heb toch totaal geen boodschap aan wat Geheime diensten moeten en willen? Ik ben (voor zover ik weet dan :+ ) niet in hun vizier, dus waarom moet ik accepteren een onveilig systeem te hebben?!?

Ik blijf erbij dat ze lekken gewoon moeten melden, of ze moeten zorgen dat ze nooit naar buiten komen (maar ook daar is genoeg tegen-argumentatie voor te geven)

Misbruik van lekken door criminelen en overheden volledig los van elkaar zien? pardon?! uiteindelijk is beide toch misbruik van lekken? en we betalen toch voor veilige software?
Als de NSA merkt dat de Chinese geheime dienst een lek misbruikt wat zij zelf ook kennen, dán kunnen ze in het landsbelang dat lek aan Microsoft melden (dát is uiteindelijk het doel van een geheime dienst, het landsbelang dienen in de verdediging tegen andere naties). Tot die tijd kunnen ze het zelf gebruiken voor hun eigen doelen
Dit is een nog veel groter probleem, dus je stelt voor dat de NSA lekken onder de pet houd, tenzij ze er zelf slachtoffer van worden??? (oftewel, ze hadden uiteindelijk NIET aan microsoft moeten melden?! wtf?!!)

Sorry maar die +2 kan ik het echt niet mee eens zijn, ja een geheime dienst moet zn werk kunnen doen, maar de manier waarop kan wel tig keer beter/slimmer, en dat is het hele probleem hier, de NSA vind zichzelf blijkbaar geweldig/denkt dat ze 'onhackbaar' zijn, en vervolgens gebeurd dit, mogen ze er verdomme wel een les uit halen, dat je hun acties zo bejubeld schiet bij mij echt in het verkeerde keelgat.

Lang verhaal kort; de NSA kan z'n zaken blijkbaar niet op orde houden, misschien dat ze dan eens wat minder tijd moesten steken in het zoeken van lekken in software, en weer gewoon zoals vroeger een huis vol hangen met verborgen microfoontjes en camera's, dan zijn ze tenminste specifiek bezig met 1 doel, dit algemene gedoe brengt alleen maar enorme problemen met zich mee, zoals nu.
casparvl
@43436518 mei 2017 12:10
Gelukkig is de +2 ook geen teken van of je het inhoudelijk met iemands commentaar eens bent, maar over de kwaliteit van de discussie en sich :+

Wat ik niet van je hoor, is een tegenargument tegen mijn stelling dat als de NSA niet meer de gelegenheid heeft deze bugs te gebruiken voor afluisteren (omdat ze meldingsplicht hebben), ze uberhaupt niet meer op zoek gaan naar deze bugs - en diezelfde bugs dan dus OOK ongepatcht in jouw PC blijven zitten! Dan zijn we toch precies op hetzelfde punt als nu? Het enige verschil is dat de NSA de bugs heeft laten lekken: daarvan ben ik het met je eens dat dát uiterst kwalijk is, want daardoor loop jij een gróter risico om slachtoffer te worden.

Natuurlijk kun je dan zeggen: prima, dan komt er meldplicht, doet de NSA geen onderzoek meer naar bugs, kunnen ze ook niet uitlekken. Zijn we allemaal blij. Maar de geheime diensten hebben natuurlijk wel een functie te vervullen in onze maatschappij. Je kunt wel claimen dat ze gewoon weer oude opsporingsmethoden gebruiken, maar waar dat vroeger nut had (omdat gesprekken inderdaad in persoon of via de telefoon verliepen), ga je daar nu natuurlijk weinig meer mee onderscheppen. Veel van de communicatie tussen 'shady' individuen loopt nu, uiteraard, digitaal.
434365
@casparvl18 mei 2017 12:25
Mijn tegenargument (wat wel in de post stond?) is dus dat ze zich minder met het digitale moeten bemoeien, ga dan inderdaad lekker zoals vroegen gewoon een huis en de persoon z'n telefoon vol hangen met microfoontjes etc, dan heb je alle communicatie rondom die persoon, en niets daarbuiten. Die bugs worden vervolgens wel weer door anderen gevonden, die wel de helderheid van geest hebben om dit vervolgens te delen. (en ook als dat niet gebeurd, komt zoiets uiteindelijk gewoon bij Microsoft, maar dan na een paar maanden ipv na 5 jaar)

Verder denk ik dat er nog genoeg af te luisteren valt met een verborgen microfoontje en camera, ze kunnen zo'n camera natuurlijk ook op een monitor richten en zo een text chat volgen zonder ooit aan de veiligheid van die computer hebben moeten tornen.
batjes
@43436518 mei 2017 17:16
Je hebt veel aan die microfoontjes als het contact via signal gaat, wat dankzij wifi en mobiel internet, ook nog eens niet thuis hoeft plaats te vinden. Wou je iemands gehele omgeving gaan lopen monitoren met microfoons en camera's, hoeveel privacy van anderen schendt je daar wel niet mee? Je kan het altijd bij de verdachte op de voorhoofd plakken.

Ik heb veel liever onze AIVD/MIVD die exploits in house heeft, dan een NSA of andere dienst van willekeurig land. Als je de exploits hebt, kun je veel makkelijker zien of deze in het wild misbruikt worden.

Vergeet ook niet dat we niet alleen zijn, er zijn nog veel meer landen en mensen in de wereld, die niet netjes het spelletje volgens de regels meespelen... en dan? Ik snap niet dat mensen zo gewillig zijn ons eigen land de mond te snoeren. Het enige wat we hiermee bereiken is onze positie zwakker maken.
tweaknico
@43436518 mei 2017 13:06
Blijkbaar vinden overheden het belangrijker om (heimelijk) computer vrede breuk te kunnen plegen dan om het anderen te beletten.

Dat is zoiets als de Politie op inbrekers pad sturen om onderzoek te doen.

Oh en het was de CIA die de data is kwijtgeraakt, maar de NSA die de exploit ooit gemaakt heeft.

[Reactie gewijzigd door tweaknico op 18 mei 2017 13:07]

434365
@innerchild18 mei 2017 12:28
Snap niet zo goed de insteek van je reactie (omdat de NSA logica aan z'n laars lapt ben ik veilig?! heb je WannaCry niet meegekregen?!) maar die laatste zin is op z'n zachts gezegd eng te noemen, dat zijn uitspraken die vandaag de dag gebruikt worden om terroristen te werven..
ManIkWeet
18 mei 2017 11:01
5 jaar gewacht, toen bleek dat de NSA gehackt was hebben ze besloten dit lek door te geven aan Microsoft... Anders hadden ze het nu nog niet gedaan...
themac1983
@ManIkWeet18 mei 2017 11:07
inderdaad, lijkt mij ERG duidelijk dat dit pas gedaan is toen ze erachter waren dat ze hun tool weggegeven hadden aan jan en alleman.
speuler
@ManIkWeet18 mei 2017 11:12
Is toch ook logisch vanuit hun kant gezien. Zij moeten zoveel mogelijk inlichtingen binnenhalen en dat werkte gewoon hartstikke goed. Op get moment dat zij erachter komen dat anderen die informatie ook kunnen krijgen is het voor hen het beste om dat gat te dichten.

Kunnen we het allemaal wel of niet mee eens zijn maar als je het vanuit hun standpunt bekijkt is het hartstikke logisch hoe zij handelden.
tweaknico
@ManIkWeet18 mei 2017 13:13
CIA gehackt was.
spank_mojoo
18 mei 2017 11:00
Dus, als wij niet meer de enigste zijn die dit lek misbruiken mag niemand het meer gebruiken.
beetje boter na de vis dit.
speuler
@spank_mojoo18 mei 2017 11:14
Nee dat is niet onlogisch. Als andere diensten waarschijnlijk ook toegang hebben tot een lek is het meest logische om dat lek te dichten. Kun je het wel of niet mee eens zijn maar het is wel logisch.
spank_mojoo
@speuler18 mei 2017 11:24
Mee eens, ik zeg ook niet dat het onlogisch is.
Boter na de vis is een verbastering van "Boter bij de vis"
"Mosterd na de maaltijd" was misschien beter geweest.
speuler
@spank_mojoo18 mei 2017 11:27
Mijn excuses dan. Kende die verbastering niet.
stuiterveer
18 mei 2017 11:19
Plaatsvervangend NSA-directeur Richard Ledgett zei over het melden van alle kwetsbaarheden dat dit zou neerkomen op 'unilaterale ontwapening' en dat dit idee 'onzin' is.
En bedankt beste Richard Ledgett, door deze instelling zijn dus verschillende zorginstellingen - om maar even iets te noemen - geraakt. Neemt natuurlijk niet weg dat het niet updaten van je systemen een behoorlijk risico is, maar tot maart loste het updaten van je systeem weinig op met betrekking tot het SMB-lek. Iets waar de NSA ook schuld aan heeft, omdat ze lang geen melding hebben gemaakt want:
In die tijd ging er al een discussie binnen de organisatie of de ernst van het onderliggende SMB-lek ernstig genoeg was om Microsoft op de hoogte te stellen
Ongeacht de ernst, als een lek niet gemeld wordt en wordt gebruikt voor je eigen winst is het een malafide actie die wordt uitgevoerd. Ik zou nu enorm graag willen schreeuwen dat ze maar worden onderzocht en gepast worden beboet voor hun acties, maar who watches the watchmen?
speuler
@stuiterveer18 mei 2017 11:26
Wat een mooie naïeve kijk op de wereld heb jij ontwikkeld stuiterveer. Gefeliciteerd. Helaas draait het in de echte wereld, waar landen in oorlog met elkaar zijn daar niet om. En het is ook wel heel naïef om te zeggen dat het de schuld is van de NSA alsof andere partijen daar na 5 JAAR niet zelf deze exploit zouden kunnen vinden.

De NSA heeft gewoon gedaan wat ze moeten doen. En heeft daarna zelfs MS ingelicht over het lek. Dus als ze dat niet hadden gedaan was het lek helemaal niet gedicht. Dus bekijk het ook eens uit de andere kant.
stuiterveer
@speuler18 mei 2017 11:30
Ik snap dat ze zelf ook baat hebben bij het niet dichten van het lek, maar wanneer er zo'n groot lek als deze bestaat en er dan een discussie bestaat of de situatie wel "ernstig genoeg is", dan klopt er mijns insziens iets niet. Een mooie quote uit de Wikipedia pagina over de NSA:
NSA is concurrently charged with protection of U.S. government communications and information systems against penetration and network warfare.
Deze taak hebben ze met deze situatie behoorlijk verzaakt.
speuler
@stuiterveer18 mei 2017 11:58
Ja het is toch hartstikke goed dat ze die discussie hadden en dat daar uit is gekomen dat het niet groot genoeg was om direct te delen. Geeft aan dat ze het wel serieus nemen. Of denk jij dat ze bij de Russische en Chinese inlichtingendiensten deze informatie ook meteen delen met MS. Ik durf erop te wedden dat als dat het geval was de informatie nooit gedeeld was met wie dan ook.

En dan Wikipedia erbij halen als bron over het werken en het zo quoten dat het jou uitkomt.
NSA is concurrently charged with protection of U.S. government communications and information systems against penetration and network warfare.[8][9] Although many of NSA's programs rely on "passive" electronic collection, the agency is authorized to accomplish its mission through active clandestine means,[10] among which are physically bugging electronic systems[11] and allegedly engaging in sabotage through subversive software.[12][13] Moreover, NSA maintains physical presence in a large number of countries across the globe, where its Special Collection Service (SCS) inserts eavesdropping devices in difficult-to-reach places. SCS collection tactics allegedly encompass "close surveillance, burglary, wiretapping, breaking and entering."[14][15]

Als je wat verder zou lezen is het ook meteen duidelijk dat ze ook andere taken of bevoegdheden hebben.
spank_mojoo
@stuiterveer18 mei 2017 11:27
the watchmenwatchers natuurlijk :?
Byron010
18 mei 2017 11:01
De NSA gebruikte een van de tools, Eternalblue, gedurende een periode van vijf jaar. In die tijd ging er al een discussie binnen de organisatie of de ernst van het onderliggende SMB-lek ernstig genoeg was om Microsoft op de hoogte te stellen, zo vertellen voormalige NSA-medewerkers aan de krant.
Een exploit die na 5 Jaar pas gepatched wordt moet dus wel heel laat gemeld zijn (aanname dat ze het uberhaupt gedaan hebben wat hier staat)

Dit gaat wel heel erg ver, de kans dat die door andere gevonden is en ook misbruikt is, is hierdoor alleen maar groter (meer tijd, meer mogelijk). Dankje NSA... not.
Calypso
@Byron01018 mei 2017 11:17
Zelf vind ik het ook erg onwaarschijnlijk dat men geen rekening zou hebben gehouden dat een andere partij niet het bewuste gat gevonden zou hebben. Echter de uitspraak dat we het over een "unilaterale ontwapening" zouden hebben versterkt dat gevoel wel. Een beetje een houding van "Wij zijn toch beter dan de andere partij dus hoeven we het niet te melden".

Al met al is de 5 jaar lange geheimhouding bijzonder kortzichtig. Als je al, als land, je eigen diensten hiertegen zou wapenen, dan nog blijft het probleem bestaan bij alle personeelsleden thuis. En die hebben dan misschien geen documenten op die PC, maar ze worden in potentie wel chantabel door andere mogendheden, met alle gevolgen van dien.
SuperDre
@Byron01018 mei 2017 11:26
tja, aan de andere kant is het niet hun taak om lekken te melden, zeker niet als het in hun eigen voordeel is om informatie te kunnen winnen. Het is allemaal niet zo zwart/wit, er staat meer op het spel.
Tiesemans
18 mei 2017 11:29
Je bouwt een huis volgens eigen uniek concept dan is het toch aan jou als bouwer om elke kier en spleet die ongeoorloofd toegang verleent te kennen en onderkennen ?!
Microsoft hoort mijn inziens zelf alle mogelijke hacks en exploits op te sporen en niet een NSA. (Of zeg ik nu iets raars?)
StephanVierkant
@Tiesemans18 mei 2017 11:36
Ja. Software bevat altijd fouten. Gebouwen overigens ook - en daarbij geldt ook dat je de architect en aannemer niet in lengte van dagen kunt lastigvallen met elk klein foutje of voortschrijdend inzicht. Als leveranciers grote fouten maken zijn ze daarvoor aansprakelijk (aansprakelijkheids- en/of consumentenrecht), maar dat betekent niet dat ze tot het einde der tijden alles maar moeten fixen.

Of zoals in dit filmpje gezegd: je kunt je autobouwer van een oldtimer niet aansprakelijk stellen voor het niet werken van een airbag: die zat er immers nog niet eens in.

[Reactie gewijzigd door StephanVierkant op 18 mei 2017 11:37]

10 feet high
@Tiesemans18 mei 2017 11:59
Neen, helemaal niet. Het zou gaan om een probleem met de beveiliging van Windows dat al vijf jaar bestaat. Vijf jaar. Het lijkt me niet meer of niet minder dan een blaam voor Windows dat ze er zolang niet in slagen om hun eigen zaken op orde te krijgen.

Nu krijg je achteraf dat er in alle richtingen naar zwartepieten wordt gezocht. NSA zou zaken die ze opsporen moeten delen met Microsoft. Gebruikers zijn onnozelaars die te lang treuzelen om updates uit te voeren. Gebruikers zijn onnozelaars die de verkeerde e-mails openen. Ziekenhuizen en overheden passen hun beleid niet snel genoeg aan op updates van Microsoft, enzovoort.

Maar punt blijft dat Microsoft al jaren kaas met gaten verkoopt, en er blijkbaar na vijf jaar niet in slaagt om zonder hulp van inlichtingendiensten hun lekken te dichten. Het is wel heel makkelijk om nu te zeggen dat de overheid dit beter moet aanpakken.
10 feet high
@Loller118 mei 2017 13:30
Moet ik nu raden wat je hiermee probeert te zeggen of is dat een antwoord op een of andere vraag die ik niet kan terugvinden? Of is je punt dat er meer softwarebedrijven bestaan dan enkel Microsoft? Dat laatste weet ik, ja. Maar dit artikel ging specifiek om kwetsbaarheden bij software van Microsoft die anderen aan Microsoft zouden moeten uit de doeken doen.
Loller1
@10 feet high18 mei 2017 13:33
Moet ik je nu echt gaan uitleggen wat Shellshock is? Je weet wel, die reeks security bugs die 15 jaar lang in Linux hebben gezeten? Hoezo kon die hele community niet die bugs hebben gefixed, waarom hadden ze daar 15 jaar voor nodig?

Moet ik nog verder gaan?
watercoolertje
18 mei 2017 10:55
Too little too late, bij het ontdekken van het lek hadden ze deze al door moeten geven aan MS!
raro007
@watercoolertje18 mei 2017 11:45
en andere doelwitten niet kunnen hacken?
watercoolertje
@raro00718 mei 2017 12:02
Jup, het heeft geen zin om vrijwel iedereen in gevaar te brengen om die mensen die je in gevaar brengt te willen beschermen tegen gevaar :) Gaat z'n doel een beetje voorbij dan he...
raro007
@watercoolertje18 mei 2017 12:22
dat zijn overwegingen is het waard om te vertellen en mensen te beschermen of kan je beter voor je zelf houden en zo doelwitten aan te vallen.
je moet niet vergeten met zo'n lek kan je veel meer dan vijandig doelwitten saboteren.
informatie stelen kan je bijvoorbeeld ook gebruiken om je land de beschermen.
NSA kan nucleaire informatie krijgen van noord korea op die manier, maar ook informatie wat philips doet om eigen lands bedrijven een voordeel te geven tegenover philips.
r_bleumer
18 mei 2017 11:13
Dan hebben we dus nog mazzel gehad, dit exploit had natuurlijk ook via de kant van een packetsniffer kunnen uitlekken. Dan hadden de pesonen waar het op gericht was dus de potentie gehad om dit exploit te misbruiken op de rest van de wereld. Op die manier geef je je tegenstander dus het recept voor de WMD's in handen. Domdomdom.....
SinergyX
18 mei 2017 11:17
Even simpele logica, maar als de NSA blijkbaar deze exploit 5 jaar lang kon gebruiken, dan moet er toch ergens op de wereld wel zijn geweest die dezelfde exploit had gevonden in die 5 jaar? NSA zal nooit een exploit melden als er niet op grote schaal misbruik van wordt gemaakt door criminelen, zolang zij kunnen doen wat ze willen doen, laten ze het lekker zo. Krijg het idee dat de grote jongens hun werk hebben gedaan met de exploit, vervolgens een tool schrijven en deze publiek maken, zodat zij rustig kunnen 'verdwijnen' in de chaos.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee