Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

NSA plaatst sysadmin- en beveiligingstools op GitHub

Door , 84 reacties

De Amerikaanse NSA heeft een verzameling tools online gezet die naar eigen zeggen door de organisatie zelf zijn ontwikkeld. Dit doet de NSA in het kader van het zogenaamde Technology Transfer Program, waarmee onder meer commerciŽle ontwikkeling mogelijk moet zijn.

NSADoor het publiceren van de broncode hoopt de NSA dat de software wordt gebruikt en aangepast, waardoor weer voordelen moeten ontstaan voor de Amerikaanse overheid. De tools zijn onderverdeeld in software van de NSA en van de Information Assurance-afdeling. De GitHub-pagina van de NSA noemt momenteel ongeveer dertig tools voor verschillende toepassingen.

Zo is er bijvoorbeeld de zogenaamde GoSecure-software te vinden, waarmee het mogelijk is een vpn-server op te zetten op een Raspberry Pi 3. Die vervult de rol van de client, terwijl de server zelf kan draaien op een ander systeem. Daarnaast zijn er tools voor het in de gaten houden van digitale Windows-certificaten, een framework voor software defined radio en voor het analyseren van code.

De NSA heeft al eerder bijgedragen aan open software, bijvoorbeeld door de ontwikkeling van SELinux en Accumulo en NiFi voor Apache. SELinux maakt bijvoorbeeld onderdeel uit van verschillende Linux-distributies en laat gebruikers toegangsmachtigingen instellen aan de hand van mandatory access controls.

Sander van Voorst

Nieuwsredacteur

Reacties (84)

Wijzig sortering
Misschien ook wel handig om even te linken naar de betreffende repo's: NSA en Information Assurance by NSA.
De NSA kennende zullen ze, ondanks dat het open-source is, toch wel weer manieren hebben gevonden om ongezien bepaalde zaken erin te stoppen en het puur te gebruiken voor eigen belang... O-)
Als:
- broncode volledig in te zien is, Ťn
- de ontwikkelaar bepaalde delen van deze broncode niet begrijpt (dus ondanks dat het gewoon in te zien is), die code bevatten die mogelijk
- schade, direct dan wel indirect, kunnen toebrengen aan het systeem waarop deze broncode gedraaid wordt,

Dan is het geen kwestie van gebrekkige transparantie vanuit de NSA, maar onkunde/gebrek aan kennis van de ontwikkelaar.

Als:
- De broncode niet (volledig) in te zien is door derden,
dan is er geen sprake van open source.

Het bericht geeft aan dat er sprake is van open source; de broncode is dus volledig in te zien. Beweren dat de NSA dan alsnog bepaalde zaken heeft 'ingebouwd' die ongemerkt schade kunnen toebrengen (of dat zich nu uit in het versturen van informatie uit het systeem waarop de software gedraaid wordt naar een externe partij, of het onbruikbraak maken van het systeem zelf, doet er niet toe; schade is schade), is hysterisch (ondanks het verleden van de NSA).

[Reactie gewijzigd door 8x4 op 19 juni 2017 13:52]

Ik verwijs hier graag naar de wedstrijd voor ogenschijnlijk onschuldige code die dat toch niet is: http://www.underhanded-c.org (erg leuk en interessant)

Alle grappen daargelaten is deze software van de NSA waarschijnlijk uiteindelijk wel (mogelijk) veilig te gebruiken omdat er zo veel ogen naar zullen kijken dat alle eventuele problemen zouden worden opgepikt. Dat is het mooie van open source.

[Reactie gewijzigd door Jeroen op 20 juni 2017 20:31]

Ik dat geval heb je het over een backdoor in de compiler. De code zelf hoeft niks mee te zijn ;)

Als je de compiler compiled met een compiler hoeft er met de broncode van de compiler die je compiled ook niks te zijn :+
Neem aan dat ze niet een compiler meegeven. Over het algemeen wordt er gebruik gemaakt van een bestaande compiler waar ze dus niet aan hebben gezeten.
Zie ook dit: http://wiki.c2.com/?TheKenThompsonHack, a.k.a. de Ken Thompson hack ;)

De kans is ontzettend klein en best wel alu-hoedje als je het mij vraagt. Maar goed, ze kunnen dus lekker goodwill kweken en transparant doen maar ondertussen in (al dan niet commerciŽle) compilers een backdoor inbouwen.

Het kan .. maar of het gebeurt, ik denk het niet ;)
Niiet noodzakelijk, Ik snap de gedachte, ik neem aan dat we die allemaal hebben gehad, maar het hoeft niet. Verdediging is een belangrijke taak van de NSA, al horen wij vooral over de aanvallende taken. Volgens mij is het combineren van die twee taken in ťťn organisatie niet zo handig, maar dat terzijde. Het hoort bij het werk van de NSA om bedrijven en andere organisaties te helpen met hun verdediging.

Van wat ik er zo snel van zie is dit een klassiek geval van het open sourcen van niet-essentiele code. Iedere grote organisatie heeft een bak met custom software die ze zelf hebben geschreven/laten schrijven maar die niks te maken heeft met de kern van hun werk. Denk aan de website van de bakker. Een bakker bakt brood, de website is er ter ondersteuning, of het nu op wordpress, drupal of custom code draait maakt de bakker niet uit. Zelf je eigen CMS schrijven en beheren is veel te duur voor een bakker, die is beter af met zo veel mogelijk open source. Als een andere bakker besluit er ook gebruik van te maken kan de eerste bakker weer profiteren van de verbeteringen van die andere bakker. Zo zijn ze beide goedkoper uit en kunnen ze zich richten op wat er echt toe doet: het beste brood bakken.
Geweldig om te zien. Als er naar buiten komt dat NSA weer een of andere backdoor heeft gebruikt roept iedereen dat ze dat niet voor zichzelf hadden moeten houden etc etc.

Brengt de NSA uit zichzelf tools naar buiten die ze gebruiken, roept iedereen dat ze het niet vertrouwen en vol met backdoors zit.

[end rant]

Ik vind het een mooi initiatief. Ze hebben daar naar mijn idee zeer capabele mensen zitten dus zulke tools zullen zeker handig zijn! _/-\o_

[Reactie gewijzigd door Melantrix op 19 juni 2017 13:40]

Dat imago hebben ze natuurlijk zelf in de loop der jaren opgebouwd. Je kan niet verwachten dat dit op 1, 2, 3 alles goed maakt, maar het is zeker een stap in de goede richting naar transparantie.
De dingen die je niet mag zien zal je nog steeds niet te zien krijgen hoor.
Ik zie dit meer als pr-stunt/charme offensief dan daadwerkelijk transparantie.
Veel mensen zullen vermoeden deze beveiliging backdoors zou bevatten. Ik vermoed dat dit niet een nodig is en het eigenlijk om een verouderde versie gaat, die de NSA ook zonder speciale backdoor al kan kraken.
De algorithmes zijn nu openbaar en iedereen die ze gebruikt bouwt dan een zwakheid in waarmee de NSA dus je bestanden zou kunnen lezen. Als je het wilt gebruiken dus eerst de algorithmes goed bekijken en wat aanpassen.

Het is een goede zaak dat ze dit soort programma's (uiteindelijk) openbaar maken. Het zijn niet de minste programmeurs die daar bij de NSA zitten. Er kunnen dus heel nuttige tools en routines tussen zitten, die het ook verdienen om gebruikt te worden, of zelfs in Linux of Android te worden
opgenomen. Zo krijgen de Amerikaanse belastingbetalers uiteindelijk ook weer eens wat nuttigs terug van een dienst die zoveel geld kost en waar je zo min mogelijk van mag weten. De rest van de wereld profiteert natuurlijk graag mee.
Natuurlijk moet je goed kijken naar wat zo'n tool doet. Maar dat is overal zo. ik neem aan dat je elke opensource script/algoritme die je op het internet vindt goed bekijkt voordat je het daadwerkelijk inzet.

Ik ben er in ieder geval blij mee, er zitten een aantal tools tussen die zeker handig zijn en ook inzicht geven in hoe ze dingen doen. In iedergeval kan ik het alleen maar toejuichen.

NSA blijf NSA en ze hebben inderdaad een reputatie opgebouwd die niet bepaald goed is. Maar in dit geval vind ik het persoonlijk om gelijk te roepen, "help, nsa dus backdoor". Ze brengen een paar tools naar buiten, niemand verplicht je om het te gebruiken en ze geven ook nog eens inzicht. Alleen maar tof :)
Brengt de NSA uit zichzelf tools naar buiten die ze gebruiken, roept iedereen dat ze het niet vertrouwen en vol met backdoors zit.
Het is een beetje alsof Lenovo roept dat je moet uitkijken voor rootkits en malware.
Gebleken onbetrouwbaarheid leidt tot jaaaren onvoorwaardelijk uitsluiten van mijn kant.
Aan de andere kant. Als NSA zoveel backdoors en exploits kunnen vinden. Zou je dan juist niet de tools willen gebruiken waarmee ze de eigen systemen mee beveiligen? Is dat niet per definitie de waarde van een black hat hacker turned white etc?

Ik zou juist de tools, na een goede scan van de code, willen gebruiken omdat zij juist degenen zijn die de gaten vinden en misbruiken. Zij zullen juist hun eigen systemen goed willen beveiligen en checken.

Natuurlijk weet ik zelf ook dat NSA nooit de echte parels zal vrijgeven, maar iets is beter dan niets.
Ik zou juist de tools, na een goede scan van de code, willen gebruiken
En welke betrouwbare mensch gaat dat even voor me doen.? En waar kan ik de betrouwbaarheid van de controleur zien.?

Het is o zo jammer dat die tools nou juist van de instelling komen die list en bedrog hoog in het vaandel heeft.
Het is alsof Brein een downloadprog beschikbaar stelt.
Tja, het is net als met SSL/TLS. De beveiliging is zo sterk als de zwakste schakel in de ketting.
Een dergelijk backdoor zit niet in de tooling, maar in het algoritme. En die algoritmes zijn zo complex dat zelfs top wiskundigen ze vaak niet kunnen detecteren.

Echter door de tools openbaar te maken (de algoritmes zijn standaard al openbaar omdat ze anders niet door andere overheden geaccepteerd zullen worden) maak je de kans groter dat een deel van de tooling op een gegeven moment defacto standaad zal zijn..

Een voorbeeld is bijvoorbeeld de RSA SecureID welke bijvoorbeeld ook door MasterCard wordt gebruikt als two-factor authenticatie om financiele partijen toegang te geven tot (een deel van) hun transactie systemen. Denk daarbij aan het activeren/deactiveren van kaarten of andere kaart mutaties..
Klopt, punt is meer dat we hier geneigd zijn te denken NSA -> Backdoor -> ver van weg blijven.
Terwijl dit tools zijn die de NSA zelf gebruikt voor het beveiligen van eigen systemen, in hoeverre dat daadwerkelijk zo is laat ik even in het midden.

maar zoals ik ook hier zeg. Er zullen vast goede tools tussen zitten aangezien ze zelf ook drommels goed weten waar de problemen zitten.
Dit zijn toch wel fundamenteel verschillende dingen. Wanneer de NSA vulnerabilities in software van bijvoorbeeld Microsoft, Google, Apple etc, niet rapporteerd maar misbruikt, dan roept men inderdaad (terecht) dat ze dat niet hadden moeten doen.

Daarom juist is het ook volledig te verwachten dat mensen software die door hunzelf naar buiten gebracht is niet vetrouwen. IN dit geval gaat het wel om open source, dus dat maakt het alweer een ander verhaal omdat het tot op zekere hoogte te controleren valt (gebruikte closed source binary libraries etc kunnen nogsteeds niet gecontroleerd worden).

Ik vind het ook een goed initiatief en ik denk ook niet dat hier backdoors in zullen zitten. Maar als ik iets te verbergen had voor de NSA zou ik deze software/code ook niet zelf gaan gebruiken.
@melantrix lol... je hebt wel een punt, maar in basis hebben de 'sceptische' mensen ook een punt..

Feit blijft dat je weet dat de NSA van twee walletjes eet. Dit zou heel goed een aantal exploits van 3e partijen kunnen verhelpen, de NSA heeft er baat bij dat zij als enige toegang hebben...
Het is zeker goed dat ze dit doen, maar ze hebben vast hun eigen backdoors/exploits welke hier niet mee gehinderd gaan worden...
Je weet dat ze het doen, zullen blijven doen en er niets over zeggen tot 3e ook gebruik gaan maken van de betreffende lekken...

Voor mensen-op-internet is het een goede zaak, maar de moreel van de NSA blijft imho minimaal dubieus te noemen.
Ben ik de enige die zich afvraagt of er backdoors ingebouwd zijn? Lijkt me slim om mooie tools te verspreiden die voorzien zijn van een backdoor om later weer "boeven" of andere slechterikken op te pakken.
Doordat de code op GitHub geplaatst is en in het nieuws komt, kijken er veel developers naar. Een eventuele backdoor is dus zo gevonden. Ook gaat de NSA gaat niet riskeren een backdoor te bouwen in Open-Source code.
Ga daar nou niet vanuit. Opensource is niet de heilige graal in infosec. Genoeg FOSS software, zelfs in hele grote projecten, waar pas na jaren een bijzonder gevaarlijke bug wordt gevonden. Shellshock, poodle, heartbleed, noem het maar op.

Dus dat een eventuele backdoor "zo gevonden is", ALS die in deze tools zouden zitten, is gewoon absoluut niet waar.
Opensource software is op geen enkele wijze per definitie veiliger dan software met gesloten bron, beiden kunnen van zeer onveilig tot zeer veilig variŽren. De open bron is voornamelijk boeiend om het te kunnen delen of verder op te ontwikkelen, voor de veiligheid stelt het lang niet altijd iets voor.
Een bekend idee in de infosec wereld is dat de bron totaal geen vereiste is bij het zoeken van lekken, het is eerder een soort bonus die misschien van pas komt: maar zelfs dan kijkt men er liever pas nŠ het eerste onderzoek naar; en dus eerst naar de gecompileerde software.

[Reactie gewijzigd door WhatsappHack op 19 juni 2017 15:15]

Ga daar nou niet vanuit. Opensource is niet de heilige graal in infosec. Genoeg FOSS software, zelfs in hele grote projecten, waar pas na jaren een bijzonder gevaarlijke bug wordt gevonden. Shellshock, poodle, heartbleed, noem het maar op.
Open source* is inderdaad niet het eindpunt voor veiligheid, maar het begin. Ik denk dat de stelling beter omgedraaid werkt: "Closed source* is een ramp voor infosec."
Zonder open source is het in ieder geval niet veilig. Althans, zo zal je het moeten behandelen zonder bewijs voor het tegendeel.
Een bekend idee in de infosec wereld is dat de bron totaal geen vereiste is bij het zoeken van lekken, het is eerder een soort bonus die misschien van pas komt: maar zelfs dan kijkt men er liever pas nŠ het eerste onderzoek naar; en dus eerst naar de gecompileerde software.
Dat klopt wel zo'n beetje maar het is niet het hele verhaal. Ik ga er van uit dat jij dit eigenlijk wel weet, maar je post kan gelezen worden als dat open source geen enkele rol speelt als het op veiligheid aankomt. Een positie die ik helaas vaker tegen kom bij mensen die niet zo diep in de materie zitten. Vandaar dat ik hier even inhaak.

Twee punten.
Ten eerste kan het zoeken naar individuele lekken inderdaad ook zonder de source, er is zelfs prachtige software om daar bij te helpen, maar het zoeken naar fouten is maar een klein deel van beveiliging.

Als beveiliger ben ik nauwelijks geÔnteresseerd in het absoluut aantal lekken en gaten (het is toch nooit nul), maar meer in de algehele structuur van het programma en de werkwijze van de programmeur.
Een goed opgezet programma met een paar kleine foutjes is eenvoudig te verbeteren. Een slecht opgezet programma kun je niet redden door gaten dicht te blijven stoppen.

Simpel voorbeeld, vroeger deden bouwden we SQL-queries door zelf strings aan elkaar te plakken, tegenwoordig gebruiken we parameterized queries. Als ik tegenwoordig iemand stringetjes zie plakken dan beschouw ik die code als minder veilig, zelfs als ik geen concreet gat kan vinden. Als de programmeur moet zorgen dat alle randgevallen zijn gequoot en/of geŽscapet weet ik dat het nooit goed komt.


Ten tweede is broncode van groot belang bij het verbeteren van de veiligheid. Alle software bevat gaten en vroeg of laat kom je die tegen. Met de broncode er bij is het veel makkelijker om uit te vinden wat er precies fout gaat en wat je kan doen om het probleem te verhelpen of in ieder geval te vermijden. Als je IT-afdeling goed genoeg is en de belangen groot genoeg zijn dan kun je de programmatuur zelf verbeteren. Niet dat iemand zelfs z'n eigen Office365 gaat compilen maar een bug in een Wordpress-module fixen is heel realistisch, al is het maar provisorisch.

Voor mij is inzage in de broncode dus een belangrijke factor bij het beoordelen van software. Niet de enige factor en ook niet de bepalende factor, maar wel een belangrijke factor.

* Ik kies hier even voor een ruime definitie van "open" en "closed" source. Ik bedoel dat jij, de klant, de source mag zien en veranderen. Het doet er even niet toe of de rest van de wereld dat ook mag of niet.
Omdat het open source is, is de broncode te bekijken, waardoor beveiligingsonderzoekers meteen in die broncode gaan snuffelen. De NSA weet dit natuurlijk, dus lijkt mij dat er niets kwaads in de zin is. Of misschien zit er wel een zero-day in :p.
Hier zijn uiteraard economische belangen mee gemoeid. Nu hun dirty secrets op straat liggen hebben ze alle baat bij dat de Amerikaanse bedrijven hun systeem zo snel mogelijk dichten zodat er geen buitenlandse spionage kan plaatsvinden of dat system niet worden gegijzeld zoals bij wannecry.
Je bent de eerste die ik hier iets over zie schrijven. Dit was ook een van mijn eerste gedachte.
Het is niet alleen economisch, maar ook politiek desastreus als grote Amerikaanse bedrijven door het toedoen van hun eigen regering plat worden gelegd. Ga er maar vanuit dat de NSA dan heel wat vrijheid moet inleveren.
Dat was ook wat ik dacht: "damage control". Natuurlijk is het leuk als ze ook eens iets 'goeds' doen maar dit geeft veel blijk van een 'moetje'. Ze hebben nu al en behoorlijke impact op hun geweten met dat hele Wannacry wereldwijd. De VS bleef toen nog redelijke gespaard ze kunnen het zich dus niet veroorloven dat ook daar slachtoffers zouden vallen.
vraag me toch wel af in hoeverre dit dan te vertrouwen is natuurlijk.
patch alle andere gaten, maar laat een nieuwe open waar alleen zij van weten.
code is wel weer open source dus in principe zou dat meoten helpen, maar ik blijf toch ietwat sceptisch...
De NSA heeft al eerder bijgedragen aan open software, bijvoorbeeld door de ontwikkeling van SELinux en Accumulo en NiFi voor Apache. SELinux maakt bijvoorbeeld onderdeel uit van verschillende Linux-distributies en laat gebruikers toegangsmachtigingen instellen aan de hand van mandatory access controls.
En, niet te vergeten, in Android aanwezig sinds Android 4.3 :)
Da's immers ook gewoon een veredelde linux distro.
Maar dat maakt het niet minder om het te noemen, aangezien:
1. velen dit niet weten;
2. dit een van de belangrijkste Linux distro's op dit moment - aangezien zo'n 81,7% (2016) van alle smartphones op Android draait. - en dan de tablets nog niet te vergeten.

*bron: https://www.theverge.com/...ket-share-blackberry-2016
Da's immers ook gewoon een veredelde linux distro.
Nou ja, veredeld in die zin dat een 'gewone' Linux distro geen radio hoeft te bedienen, geen dialers heeft, en andere apps draait dan Android ;)
andere applicaties voorgeinstalleerd hebben maakt de distro niet 'veredeld'. alleen uniek. ook drivers voor andere hardware maken het niet veredeld. ubuntu heeft heel veel drivers voor laptop wifi modules die android niet heeft.

[Reactie gewijzigd door Origin64 op 19 juni 2017 13:53]

Nou vooruit dan. "Veredeld" in die zin dat die distro ťťn heel specifiek doel dient. Dit in tegenstelling tot pratkisch elke desktop-distro die je in een middagje kan omturnen naar een compleet serversysteem met alles erop en eraan.

Ik zie mijn telefoon nog geen LAMP-installatie worden die fulltime fora gaat draaien ;)

[Reactie gewijzigd door DigitalExcorcist op 19 juni 2017 13:56]

dat de android-distro minder kan dan andere distros, is dan toch een reden elke andere distro veredeld te noemen, en android uitgekleed?

aan de andere kant, als monsanto een nieuw zaad ontwikkeld waaruit onvruchtbare planten groeien, is dat ook veredeld.

[Reactie gewijzigd door Origin64 op 19 juni 2017 14:06]

Ja, maar 'de andere' distro's waren er eerder dan Android.. dus vandaar m'n redenatie ;)

Maar goed, da's allemaal een kwestie van definitie.
Het is een besturingssysteem gebaseerd op de Linux kernel, dus het zeker een Linux distro te noemen.

[Reactie gewijzigd door hongmietje op 19 juni 2017 15:24]

Welles. Je kunt hoogstens nog discussiŽren of alles wel binnen de GPL valt of niet (hoewel, discussiŽren.. het is natuurlijk gewoon meetbaar).

[Reactie gewijzigd door DigitalExcorcist op 19 juni 2017 16:15]

SELinix is al ouder dan Android 4.3, sinds 4.3 is SELinux in Android geÔmplementeerd. ;)
Wil nog niet te vroeg juichen of bekritiseren, ben voornamelijk benieuwd wat de infosec-community hier van gaat zeggen nadat ze het goed hebben kunnen bestuderen.
In hoeverre kan je er zeker van zijn dat er geen backdoor in die software zit?
Ik vertrouw de NSA niet heel erg meer na al die verhalen over dat ze zelf betrokken zijn bij diverse grote hacks dus hun imago hebben ze niet echt mee.

[Reactie gewijzigd door SiGNe op 19 juni 2017 14:28]

Dat is toch het handige van Open Source? Je kunt het zelf nakijken of op zoek gaan naar backdoors.
Jeetje, wat een angst voor de NSA zeg. :/
Die gasten hebben al jaren een dubbele relatie met de InfoSec wereld. Aan de ene kant moet de NSA zoveel mogelijk gaten vinden of creŽeren, aan de andere kant heeft de NSA ook enorm veel baat bij goed beveiligde software; o.a. ook voor eigen personeel (in het buitenland).

Goed ernaar kijken? Uiteraard. Maar er meteen vanuitgaan dat ze dit louter publiceren zodat een ieder die het installeert geÔnfecteerd zal zijn met de een of andere backdoor is gewoon zwaar overdreven, en waarschijnlijk enorm onzin.
Het klinkt een beetje als een voordeurslot en "tweedehands" DVD speler kopen bij die vriendelijke buurman op de hoek (contant afrekenen en BTW vrij).

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*