NSA plaatst sysadmin- en beveiligingstools op GitHub

De Amerikaanse NSA heeft een verzameling tools online gezet die naar eigen zeggen door de organisatie zelf zijn ontwikkeld. Dit doet de NSA in het kader van het zogenaamde Technology Transfer Program, waarmee onder meer commerciële ontwikkeling mogelijk moet zijn.

NSADoor het publiceren van de broncode hoopt de NSA dat de software wordt gebruikt en aangepast, waardoor weer voordelen moeten ontstaan voor de Amerikaanse overheid. De tools zijn onderverdeeld in software van de NSA en van de Information Assurance-afdeling. De GitHub-pagina van de NSA noemt momenteel ongeveer dertig tools voor verschillende toepassingen.

Zo is er bijvoorbeeld de zogenaamde GoSecure-software te vinden, waarmee het mogelijk is een vpn-server op te zetten op een Raspberry Pi 3. Die vervult de rol van de client, terwijl de server zelf kan draaien op een ander systeem. Daarnaast zijn er tools voor het in de gaten houden van digitale Windows-certificaten, een framework voor software defined radio en voor het analyseren van code.

De NSA heeft al eerder bijgedragen aan open software, bijvoorbeeld door de ontwikkeling van SELinux en Accumulo en NiFi voor Apache. SELinux maakt bijvoorbeeld onderdeel uit van verschillende Linux-distributies en laat gebruikers toegangsmachtigingen instellen aan de hand van mandatory access controls.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 19-06-2017 13:1484

19-06-2017 • 13:14

84 Linkedin

Lees meer

'Intern NSA-rapport legt link tussen WannaCry en Noord-Korea' Nieuws van 15 juni 2017
Uitgelekt NSA-document wijst op Russische phishingactie voor verkiezingen VS Nieuws van 6 juni 2017
Rechtszaak van Wikimedia tegen NSA gaat door na eerdere afwijzing Nieuws van 24 mei 2017
Wetsvoorstel VS dwingt NSA om overheidsorganen te informeren over zero-days Nieuws van 18 mei 2017
'NSA meldde kwetsbaarheden aan Microsoft voor Shadowbrokers-publicatie' Nieuws van 18 mei 2017
Meer producten en artikelen
Software Netwerk en systeembeheer Github NSA Open source

Reacties (84)

-Moderatie-faq
84
78
46
5
1
9
Wijzig sortering
Sito
19 juni 2017 13:36
Misschien ook wel handig om even te linken naar de betreffende repo's: NSA en Information Assurance by NSA.
MazeWing
19 juni 2017 13:33
De NSA kennende zullen ze, ondanks dat het open-source is, toch wel weer manieren hebben gevonden om ongezien bepaalde zaken erin te stoppen en het puur te gebruiken voor eigen belang... O-)
8x4
@MazeWing19 juni 2017 13:51
Als:
- broncode volledig in te zien is, èn
- de ontwikkelaar bepaalde delen van deze broncode niet begrijpt (dus ondanks dat het gewoon in te zien is), die code bevatten die mogelijk
- schade, direct dan wel indirect, kunnen toebrengen aan het systeem waarop deze broncode gedraaid wordt,

Dan is het geen kwestie van gebrekkige transparantie vanuit de NSA, maar onkunde/gebrek aan kennis van de ontwikkelaar.

Als:
- De broncode niet (volledig) in te zien is door derden,
dan is er geen sprake van open source.

Het bericht geeft aan dat er sprake is van open source; de broncode is dus volledig in te zien. Beweren dat de NSA dan alsnog bepaalde zaken heeft 'ingebouwd' die ongemerkt schade kunnen toebrengen (of dat zich nu uit in het versturen van informatie uit het systeem waarop de software gedraaid wordt naar een externe partij, of het onbruikbraak maken van het systeem zelf, doet er niet toe; schade is schade), is hysterisch (ondanks het verleden van de NSA).

[Reactie gewijzigd door 8x4 op 19 juni 2017 13:52]

Jeroen
@8x420 juni 2017 20:30
Ik verwijs hier graag naar de wedstrijd voor ogenschijnlijk onschuldige code die dat toch niet is: http://www.underhanded-c.org (erg leuk en interessant)

Alle grappen daargelaten is deze software van de NSA waarschijnlijk uiteindelijk wel (mogelijk) veilig te gebruiken omdat er zo veel ogen naar zullen kijken dat alle eventuele problemen zouden worden opgepikt. Dat is het mooie van open source.

[Reactie gewijzigd door Jeroen op 20 juni 2017 20:31]

Ventieldopje
@MazeWing19 juni 2017 13:48
Ik dat geval heb je het over een backdoor in de compiler. De code zelf hoeft niks mee te zijn ;)

Als je de compiler compiled met een compiler hoeft er met de broncode van de compiler die je compiled ook niks te zijn :+
EpicKip
@Ventieldopje20 juni 2017 13:25
Neem aan dat ze niet een compiler meegeven. Over het algemeen wordt er gebruik gemaakt van een bestaande compiler waar ze dus niet aan hebben gezeten.
Ventieldopje
@EpicKip20 juni 2017 16:24
Zie ook dit: http://wiki.c2.com/?TheKenThompsonHack, a.k.a. de Ken Thompson hack ;)

De kans is ontzettend klein en best wel alu-hoedje als je het mij vraagt. Maar goed, ze kunnen dus lekker goodwill kweken en transparant doen maar ondertussen in (al dan niet commerciële) compilers een backdoor inbouwen.

Het kan .. maar of het gebeurt, ik denk het niet ;)
CAPSLOCK2000
@MazeWing20 juni 2017 10:00
Niiet noodzakelijk, Ik snap de gedachte, ik neem aan dat we die allemaal hebben gehad, maar het hoeft niet. Verdediging is een belangrijke taak van de NSA, al horen wij vooral over de aanvallende taken. Volgens mij is het combineren van die twee taken in één organisatie niet zo handig, maar dat terzijde. Het hoort bij het werk van de NSA om bedrijven en andere organisaties te helpen met hun verdediging.

Van wat ik er zo snel van zie is dit een klassiek geval van het open sourcen van niet-essentiele code. Iedere grote organisatie heeft een bak met custom software die ze zelf hebben geschreven/laten schrijven maar die niks te maken heeft met de kern van hun werk. Denk aan de website van de bakker. Een bakker bakt brood, de website is er ter ondersteuning, of het nu op wordpress, drupal of custom code draait maakt de bakker niet uit. Zelf je eigen CMS schrijven en beheren is veel te duur voor een bakker, die is beter af met zo veel mogelijk open source. Als een andere bakker besluit er ook gebruik van te maken kan de eerste bakker weer profiteren van de verbeteringen van die andere bakker. Zo zijn ze beide goedkoper uit en kunnen ze zich richten op wat er echt toe doet: het beste brood bakken.
Melantrix
19 juni 2017 13:23
Geweldig om te zien. Als er naar buiten komt dat NSA weer een of andere backdoor heeft gebruikt roept iedereen dat ze dat niet voor zichzelf hadden moeten houden etc etc.

Brengt de NSA uit zichzelf tools naar buiten die ze gebruiken, roept iedereen dat ze het niet vertrouwen en vol met backdoors zit.

[end rant]

Ik vind het een mooi initiatief. Ze hebben daar naar mijn idee zeer capabele mensen zitten dus zulke tools zullen zeker handig zijn! _/-\o_

[Reactie gewijzigd door Melantrix op 19 juni 2017 13:40]

Chuk
@Melantrix19 juni 2017 13:32
Dat imago hebben ze natuurlijk zelf in de loop der jaren opgebouwd. Je kan niet verwachten dat dit op 1, 2, 3 alles goed maakt, maar het is zeker een stap in de goede richting naar transparantie.
cracking cloud
@Chuk19 juni 2017 13:36
De dingen die je niet mag zien zal je nog steeds niet te zien krijgen hoor.
Ik zie dit meer als pr-stunt/charme offensief dan daadwerkelijk transparantie.
WillySis
@Melantrix19 juni 2017 13:41
Veel mensen zullen vermoeden deze beveiliging backdoors zou bevatten. Ik vermoed dat dit niet een nodig is en het eigenlijk om een verouderde versie gaat, die de NSA ook zonder speciale backdoor al kan kraken.
De algorithmes zijn nu openbaar en iedereen die ze gebruikt bouwt dan een zwakheid in waarmee de NSA dus je bestanden zou kunnen lezen. Als je het wilt gebruiken dus eerst de algorithmes goed bekijken en wat aanpassen.

Het is een goede zaak dat ze dit soort programma's (uiteindelijk) openbaar maken. Het zijn niet de minste programmeurs die daar bij de NSA zitten. Er kunnen dus heel nuttige tools en routines tussen zitten, die het ook verdienen om gebruikt te worden, of zelfs in Linux of Android te worden
opgenomen. Zo krijgen de Amerikaanse belastingbetalers uiteindelijk ook weer eens wat nuttigs terug van een dienst die zoveel geld kost en waar je zo min mogelijk van mag weten. De rest van de wereld profiteert natuurlijk graag mee.
Melantrix
@WillySis19 juni 2017 13:48
Natuurlijk moet je goed kijken naar wat zo'n tool doet. Maar dat is overal zo. ik neem aan dat je elke opensource script/algoritme die je op het internet vindt goed bekijkt voordat je het daadwerkelijk inzet.

Ik ben er in ieder geval blij mee, er zitten een aantal tools tussen die zeker handig zijn en ook inzicht geven in hoe ze dingen doen. In iedergeval kan ik het alleen maar toejuichen.

NSA blijf NSA en ze hebben inderdaad een reputatie opgebouwd die niet bepaald goed is. Maar in dit geval vind ik het persoonlijk om gelijk te roepen, "help, nsa dus backdoor". Ze brengen een paar tools naar buiten, niemand verplicht je om het te gebruiken en ze geven ook nog eens inzicht. Alleen maar tof :)
stresstak
@Melantrix19 juni 2017 15:02
Brengt de NSA uit zichzelf tools naar buiten die ze gebruiken, roept iedereen dat ze het niet vertrouwen en vol met backdoors zit.
Het is een beetje alsof Lenovo roept dat je moet uitkijken voor rootkits en malware.
Gebleken onbetrouwbaarheid leidt tot jaaaren onvoorwaardelijk uitsluiten van mijn kant.
Melantrix
@stresstak19 juni 2017 15:13
Aan de andere kant. Als NSA zoveel backdoors en exploits kunnen vinden. Zou je dan juist niet de tools willen gebruiken waarmee ze de eigen systemen mee beveiligen? Is dat niet per definitie de waarde van een black hat hacker turned white etc?

Ik zou juist de tools, na een goede scan van de code, willen gebruiken omdat zij juist degenen zijn die de gaten vinden en misbruiken. Zij zullen juist hun eigen systemen goed willen beveiligen en checken.

Natuurlijk weet ik zelf ook dat NSA nooit de echte parels zal vrijgeven, maar iets is beter dan niets.
stresstak
@Melantrix19 juni 2017 15:29
Ik zou juist de tools, na een goede scan van de code, willen gebruiken
En welke betrouwbare mensch gaat dat even voor me doen.? En waar kan ik de betrouwbaarheid van de controleur zien.?

Het is o zo jammer dat die tools nou juist van de instelling komen die list en bedrog hoog in het vaandel heeft.
Het is alsof Brein een downloadprog beschikbaar stelt.
CH4OS
@stresstak19 juni 2017 15:41
Tja, het is net als met SSL/TLS. De beveiliging is zo sterk als de zwakste schakel in de ketting.
Niemand_Anders
@Melantrix19 juni 2017 15:11
Een dergelijk backdoor zit niet in de tooling, maar in het algoritme. En die algoritmes zijn zo complex dat zelfs top wiskundigen ze vaak niet kunnen detecteren.

Echter door de tools openbaar te maken (de algoritmes zijn standaard al openbaar omdat ze anders niet door andere overheden geaccepteerd zullen worden) maak je de kans groter dat een deel van de tooling op een gegeven moment defacto standaad zal zijn..

Een voorbeeld is bijvoorbeeld de RSA SecureID welke bijvoorbeeld ook door MasterCard wordt gebruikt als two-factor authenticatie om financiele partijen toegang te geven tot (een deel van) hun transactie systemen. Denk daarbij aan het activeren/deactiveren van kaarten of andere kaart mutaties..
Melantrix
@Niemand_Anders19 juni 2017 15:16
Klopt, punt is meer dat we hier geneigd zijn te denken NSA -> Backdoor -> ver van weg blijven.
Terwijl dit tools zijn die de NSA zelf gebruikt voor het beveiligen van eigen systemen, in hoeverre dat daadwerkelijk zo is laat ik even in het midden.

maar zoals ik ook hier zeg. Er zullen vast goede tools tussen zitten aangezien ze zelf ook drommels goed weten waar de problemen zitten.
WimBarelds
@Melantrix19 juni 2017 14:44
Dit zijn toch wel fundamenteel verschillende dingen. Wanneer de NSA vulnerabilities in software van bijvoorbeeld Microsoft, Google, Apple etc, niet rapporteerd maar misbruikt, dan roept men inderdaad (terecht) dat ze dat niet hadden moeten doen.

Daarom juist is het ook volledig te verwachten dat mensen software die door hunzelf naar buiten gebracht is niet vetrouwen. IN dit geval gaat het wel om open source, dus dat maakt het alweer een ander verhaal omdat het tot op zekere hoogte te controleren valt (gebruikte closed source binary libraries etc kunnen nogsteeds niet gecontroleerd worden).

Ik vind het ook een goed initiatief en ik denk ook niet dat hier backdoors in zullen zitten. Maar als ik iets te verbergen had voor de NSA zou ik deze software/code ook niet zelf gaan gebruiken.
Atmosphere
@Melantrix19 juni 2017 22:21
@melantrix lol... je hebt wel een punt, maar in basis hebben de 'sceptische' mensen ook een punt..

Feit blijft dat je weet dat de NSA van twee walletjes eet. Dit zou heel goed een aantal exploits van 3e partijen kunnen verhelpen, de NSA heeft er baat bij dat zij als enige toegang hebben...
Het is zeker goed dat ze dit doen, maar ze hebben vast hun eigen backdoors/exploits welke hier niet mee gehinderd gaan worden...
Je weet dat ze het doen, zullen blijven doen en er niets over zeggen tot 3e ook gebruik gaan maken van de betreffende lekken...

Voor mensen-op-internet is het een goede zaak, maar de moreel van de NSA blijft imho minimaal dubieus te noemen.
1ntroduc3
19 juni 2017 14:36
Ben ik de enige die zich afvraagt of er backdoors ingebouwd zijn? Lijkt me slim om mooie tools te verspreiden die voorzien zijn van een backdoor om later weer "boeven" of andere slechterikken op te pakken.
Nathan13877
@1ntroduc319 juni 2017 14:49
Doordat de code op GitHub geplaatst is en in het nieuws komt, kijken er veel developers naar. Een eventuele backdoor is dus zo gevonden. Ook gaat de NSA gaat niet riskeren een backdoor te bouwen in Open-Source code.
WhatsappHack
@Nathan1387719 juni 2017 15:12
Ga daar nou niet vanuit. Opensource is niet de heilige graal in infosec. Genoeg FOSS software, zelfs in hele grote projecten, waar pas na jaren een bijzonder gevaarlijke bug wordt gevonden. Shellshock, poodle, heartbleed, noem het maar op.

Dus dat een eventuele backdoor "zo gevonden is", ALS die in deze tools zouden zitten, is gewoon absoluut niet waar.
Opensource software is op geen enkele wijze per definitie veiliger dan software met gesloten bron, beiden kunnen van zeer onveilig tot zeer veilig variëren. De open bron is voornamelijk boeiend om het te kunnen delen of verder op te ontwikkelen, voor de veiligheid stelt het lang niet altijd iets voor.
Een bekend idee in de infosec wereld is dat de bron totaal geen vereiste is bij het zoeken van lekken, het is eerder een soort bonus die misschien van pas komt: maar zelfs dan kijkt men er liever pas ná het eerste onderzoek naar; en dus eerst naar de gecompileerde software.

[Reactie gewijzigd door WhatsappHack op 19 juni 2017 15:15]

CAPSLOCK2000
@WhatsappHack20 juni 2017 10:46
Ga daar nou niet vanuit. Opensource is niet de heilige graal in infosec. Genoeg FOSS software, zelfs in hele grote projecten, waar pas na jaren een bijzonder gevaarlijke bug wordt gevonden. Shellshock, poodle, heartbleed, noem het maar op.
Open source* is inderdaad niet het eindpunt voor veiligheid, maar het begin. Ik denk dat de stelling beter omgedraaid werkt: "Closed source* is een ramp voor infosec."
Zonder open source is het in ieder geval niet veilig. Althans, zo zal je het moeten behandelen zonder bewijs voor het tegendeel.
Een bekend idee in de infosec wereld is dat de bron totaal geen vereiste is bij het zoeken van lekken, het is eerder een soort bonus die misschien van pas komt: maar zelfs dan kijkt men er liever pas ná het eerste onderzoek naar; en dus eerst naar de gecompileerde software.
Dat klopt wel zo'n beetje maar het is niet het hele verhaal. Ik ga er van uit dat jij dit eigenlijk wel weet, maar je post kan gelezen worden als dat open source geen enkele rol speelt als het op veiligheid aankomt. Een positie die ik helaas vaker tegen kom bij mensen die niet zo diep in de materie zitten. Vandaar dat ik hier even inhaak.

Twee punten.
Ten eerste kan het zoeken naar individuele lekken inderdaad ook zonder de source, er is zelfs prachtige software om daar bij te helpen, maar het zoeken naar fouten is maar een klein deel van beveiliging.

Als beveiliger ben ik nauwelijks geïnteresseerd in het absoluut aantal lekken en gaten (het is toch nooit nul), maar meer in de algehele structuur van het programma en de werkwijze van de programmeur.
Een goed opgezet programma met een paar kleine foutjes is eenvoudig te verbeteren. Een slecht opgezet programma kun je niet redden door gaten dicht te blijven stoppen.

Simpel voorbeeld, vroeger deden bouwden we SQL-queries door zelf strings aan elkaar te plakken, tegenwoordig gebruiken we parameterized queries. Als ik tegenwoordig iemand stringetjes zie plakken dan beschouw ik die code als minder veilig, zelfs als ik geen concreet gat kan vinden. Als de programmeur moet zorgen dat alle randgevallen zijn gequoot en/of geëscapet weet ik dat het nooit goed komt.


Ten tweede is broncode van groot belang bij het verbeteren van de veiligheid. Alle software bevat gaten en vroeg of laat kom je die tegen. Met de broncode er bij is het veel makkelijker om uit te vinden wat er precies fout gaat en wat je kan doen om het probleem te verhelpen of in ieder geval te vermijden. Als je IT-afdeling goed genoeg is en de belangen groot genoeg zijn dan kun je de programmatuur zelf verbeteren. Niet dat iemand zelfs z'n eigen Office365 gaat compilen maar een bug in een Wordpress-module fixen is heel realistisch, al is het maar provisorisch.

Voor mij is inzage in de broncode dus een belangrijke factor bij het beoordelen van software. Niet de enige factor en ook niet de bepalende factor, maar wel een belangrijke factor.

* Ik kies hier even voor een ruime definitie van "open" en "closed" source. Ik bedoel dat jij, de klant, de source mag zien en veranderen. Het doet er even niet toe of de rest van de wereld dat ook mag of niet.
AnonymousWP
@1ntroduc319 juni 2017 14:48
Omdat het open source is, is de broncode te bekijken, waardoor beveiligingsonderzoekers meteen in die broncode gaan snuffelen. De NSA weet dit natuurlijk, dus lijkt mij dat er niets kwaads in de zin is. Of misschien zit er wel een zero-day in :p.
IStealYourGun
19 juni 2017 13:59
Hier zijn uiteraard economische belangen mee gemoeid. Nu hun dirty secrets op straat liggen hebben ze alle baat bij dat de Amerikaanse bedrijven hun systeem zo snel mogelijk dichten zodat er geen buitenlandse spionage kan plaatsvinden of dat system niet worden gegijzeld zoals bij wannecry.
vinno97
@IStealYourGun19 juni 2017 15:40
Je bent de eerste die ik hier iets over zie schrijven. Dit was ook een van mijn eerste gedachte.
Het is niet alleen economisch, maar ook politiek desastreus als grote Amerikaanse bedrijven door het toedoen van hun eigen regering plat worden gelegd. Ga er maar vanuit dat de NSA dan heel wat vrijheid moet inleveren.
Daniel_Elessar
@IStealYourGun19 juni 2017 17:01
Dat was ook wat ik dacht: "damage control". Natuurlijk is het leuk als ze ook eens iets 'goeds' doen maar dit geeft veel blijk van een 'moetje'. Ze hebben nu al en behoorlijke impact op hun geweten met dat hele Wannacry wereldwijd. De VS bleef toen nog redelijke gespaard ze kunnen het zich dus niet veroorloven dat ook daar slachtoffers zouden vallen.
freaq
@Daniel_Elessar19 juni 2017 18:23
vraag me toch wel af in hoeverre dit dan te vertrouwen is natuurlijk.
patch alle andere gaten, maar laat een nieuwe open waar alleen zij van weten.
code is wel weer open source dus in principe zou dat meoten helpen, maar ik blijf toch ietwat sceptisch...
P1nGu1n
19 juni 2017 13:24
De NSA heeft al eerder bijgedragen aan open software, bijvoorbeeld door de ontwikkeling van SELinux en Accumulo en NiFi voor Apache. SELinux maakt bijvoorbeeld onderdeel uit van verschillende Linux-distributies en laat gebruikers toegangsmachtigingen instellen aan de hand van mandatory access controls.
En, niet te vergeten, in Android aanwezig sinds Android 4.3 :)
DigitalExorcist
@P1nGu1n19 juni 2017 13:27
Da's immers ook gewoon een veredelde linux distro.
HetGezegde
@DigitalExorcist19 juni 2017 13:34
Maar dat maakt het niet minder om het te noemen, aangezien:
1. velen dit niet weten;
2. dit een van de belangrijkste Linux distro's op dit moment - aangezien zo'n 81,7% (2016) van alle smartphones op Android draait. - en dan de tablets nog niet te vergeten.

*bron: https://www.theverge.com/...ket-share-blackberry-2016
Origin64
@DigitalExorcist19 juni 2017 13:35
Da's immers ook gewoon een veredelde linux distro.
DigitalExorcist
@Origin6419 juni 2017 13:48
Nou ja, veredeld in die zin dat een 'gewone' Linux distro geen radio hoeft te bedienen, geen dialers heeft, en andere apps draait dan Android ;)
Origin64
@DigitalExorcist19 juni 2017 13:52
andere applicaties voorgeinstalleerd hebben maakt de distro niet 'veredeld'. alleen uniek. ook drivers voor andere hardware maken het niet veredeld. ubuntu heeft heel veel drivers voor laptop wifi modules die android niet heeft.

[Reactie gewijzigd door Origin64 op 19 juni 2017 13:53]

DigitalExorcist
@Origin6419 juni 2017 13:55
Nou vooruit dan. "Veredeld" in die zin dat die distro één heel specifiek doel dient. Dit in tegenstelling tot pratkisch elke desktop-distro die je in een middagje kan omturnen naar een compleet serversysteem met alles erop en eraan.

Ik zie mijn telefoon nog geen LAMP-installatie worden die fulltime fora gaat draaien ;)

[Reactie gewijzigd door DigitalExorcist op 19 juni 2017 13:56]

Origin64
@DigitalExorcist19 juni 2017 13:58
dat de android-distro minder kan dan andere distros, is dan toch een reden elke andere distro veredeld te noemen, en android uitgekleed?

aan de andere kant, als monsanto een nieuw zaad ontwikkeld waaruit onvruchtbare planten groeien, is dat ook veredeld.

[Reactie gewijzigd door Origin64 op 19 juni 2017 14:06]

DigitalExorcist
@Origin6419 juni 2017 14:33
Ja, maar 'de andere' distro's waren er eerder dan Android.. dus vandaar m'n redenatie ;)

Maar goed, da's allemaal een kwestie van definitie.
WhatsappHack
@DigitalExorcist19 juni 2017 15:08
Android != Linux. Dus nee. ;)
hongmietje
@WhatsappHack19 juni 2017 15:24
Het is een besturingssysteem gebaseerd op de Linux kernel, dus het zeker een Linux distro te noemen.

[Reactie gewijzigd door hongmietje op 19 juni 2017 15:24]

DigitalExorcist
@WhatsappHack19 juni 2017 16:08
Welles. Je kunt hoogstens nog discussiëren of alles wel binnen de GPL valt of niet (hoewel, discussiëren.. het is natuurlijk gewoon meetbaar).

[Reactie gewijzigd door DigitalExorcist op 19 juni 2017 16:15]

CH4OS
@P1nGu1n19 juni 2017 15:48
SELinix is al ouder dan Android 4.3, sinds 4.3 is SELinux in Android geïmplementeerd. ;)
PeterBennink
19 juni 2017 13:28
Wil nog niet te vroeg juichen of bekritiseren, ben voornamelijk benieuwd wat de infosec-community hier van gaat zeggen nadat ze het goed hebben kunnen bestuderen.
SiGNe
19 juni 2017 14:25
In hoeverre kan je er zeker van zijn dat er geen backdoor in die software zit?
Ik vertrouw de NSA niet heel erg meer na al die verhalen over dat ze zelf betrokken zijn bij diverse grote hacks dus hun imago hebben ze niet echt mee.

[Reactie gewijzigd door SiGNe op 19 juni 2017 14:28]

NightFox89
@SiGNe19 juni 2017 14:40
Dat is toch het handige van Open Source? Je kunt het zelf nakijken of op zoek gaan naar backdoors.
WhatsappHack
19 juni 2017 15:14
Jeetje, wat een angst voor de NSA zeg. :/
Die gasten hebben al jaren een dubbele relatie met de InfoSec wereld. Aan de ene kant moet de NSA zoveel mogelijk gaten vinden of creëeren, aan de andere kant heeft de NSA ook enorm veel baat bij goed beveiligde software; o.a. ook voor eigen personeel (in het buitenland).

Goed ernaar kijken? Uiteraard. Maar er meteen vanuitgaan dat ze dit louter publiceren zodat een ieder die het installeert geïnfecteerd zal zijn met de een of andere backdoor is gewoon zwaar overdreven, en waarschijnlijk enorm onzin.
AJediIAm
19 juni 2017 13:19
Het klinkt een beetje als een voordeurslot en "tweedehands" DVD speler kopen bij die vriendelijke buurman op de hoek (contant afrekenen en BTW vrij).
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee