'IBM, Cisco en SAP geven Russische overheid inzage in broncode software'

IBM, Cisco en SAP zouden de Russische overheid toegang hebben gegeven tot de vertrouwelijke broncode van hun software, zo meldt persbureau Reuters. De Russische overheid vroeg dat ook van Symantec, maar het bedrijf weigerde.

De Russische overheid controleert de software op backdoors van andere overheden in zogenoemde 'clean rooms', laboratoria waar de controleurs de software niet kunnen kopiëren of wijzigen, meldt Reuters. Dat moet voorkomen dat de Russische overheid later voordeel kan hebben van de inzage in de broncode. De Russische overheid vraagt die inzage als voorwaarde om de software te kunnen verkopen op de Russische markt.

Symantec weigerde de inzage, omdat het gebruikte laboratorium zakelijke relaties onderhoudt met het Russische leger en daardoor niet onafhankelijk zou kunnen opereren. Symantec is bovendien bang dat de controleurs tijdens de audit kwetsbaarheden vinden en die niet melden, maar gebruiken bij cyberaanvallen.

IBM, Sap en Cisco zouden wel toegeven, omdat de Russische markt groot is en daardoor veel omzet kan opleveren, claimt Reuters. De bedrijven hebben dat niet bevestigd. De Chinese overheid zou bij veel bedrijven om dezelfde soort inzage vragen. Het is niet voor het eerst dat de mogelijke Russische inzage in de broncode van gesloten software in het nieuws komt. Zo wilde Rusland eerder toegang tot de broncode van onder meer Apple-software en Microsoft Office.

Rusland gaat bovendien in toenemende mate over op alternatieven voor Amerikaanse software. Zo stopt het met Android ten faveure van het Finse Sailfish OS en dumpt de overheid Outlook voor een Russische mailclient.

Echelon-complex in Moskou, waar inzage plaatsvindt

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 23-06-2017 13:59 47

23-06-2017 • 13:59

47

Lees meer

SAP neemt enquêtesoftwarebedrijf Qualtrics over voor 7,1 miljard euro
SAP neemt enquêtesoftwarebedrijf Qualtrics over voor 7,1 miljard euro Nieuws van 12 november 2018
Cisco dicht kritiek lek in vpn-functie van ASA-software
Cisco dicht kritiek lek in vpn-functie van ASA-software Nieuws van 30 januari 2018
Symantec geeft overheden geen inzage in broncode meer
Symantec geeft overheden geen inzage in broncode meer Nieuws van 11 oktober 2017
Rusland kreeg inzage in beveiligingssuite die Pentagon gebruikt
Rusland kreeg inzage in beveiligingssuite die Pentagon gebruikt Nieuws van 2 oktober 2017
'Geavanceerde hackersgroep heeft mogelijk banden met NSA'
'Geavanceerde hackersgroep heeft mogelijk banden met NSA' Nieuws van 17 februari 2015
Rusland neemt wet in gebruik die internetvrijheid bloggers verder inperkt
Rusland neemt wet in gebruik die internetvrijheid bloggers verder inperkt Nieuws van 1 augustus 2014
Rusland wil inzage in broncode software Apple
Rusland wil inzage in broncode software Apple Nieuws van 30 juli 2014
Microsoft Rusland ontkent overdracht Skype-sleutels aan FSB
Microsoft Rusland ontkent overdracht Skype-sleutels aan FSB Nieuws van 8 juni 2011
Russische geheime dienst krijgt inzage in broncode Microsoft-producten
Russische geheime dienst krijgt inzage in broncode Microsoft-producten Nieuws van 10 juli 2010
Meer producten en artikelen
Software Cisco IBM Rusland Sap

Reacties (47)

-Moderatie-faq
47
45
19
4
0
20
Wijzig sortering
Macfreak101 23 juni 2017 14:01
Ligt het nu aan mij of verspeel je zo de broncode van jaren van technologische ontwikkeling gratis aan de russen? Tenminste, ik neem aan dat daar wel een kopie van gemaakt gaat worden...
? ? @Macfreak10123 juni 2017 14:17
Mijn gedacht. Het zou naïef zijn om het niet te denken.

Je weet dat de Russen tijdens de Olympische Spelen in Sochi een geheim gat in de muur in het labo hadden ingebouwd om de stalen van de Russische sporters te kunnen verwisselen? :+
A colleague stationed next door in the sample collection room would retrieve the correct bottles and pass them into the storage room through a circular hole cut through the wall near the floor, Dr. Rodchenkov said. During the day, he said, the hole was concealed by a small imitation-wood cabinet.
https://www.nytimes.com/2...-sochi-olympics-2014.html
jeroen3 @Macfreak10123 juni 2017 14:07
Dan zul je de code moeten onthouden. Want je mag geen datadragers mee nemen ik zulke "clean rooms" neem ik aan.
Shark.Bait @jeroen323 juni 2017 14:42
Maar die coders kunnen dan ook onthouden van "Goh, als ik zus en zo probeer, dan kan ik zeer waarschijnlijk beveiliging omzeilen".
unglaublich @Shark.Bait23 juni 2017 14:59
Security through obscurity is dan ook nergens goed voor ;)
Een software systeem is pas veilig als iemand die alle kennis heeft over het programma het in de praktijk niet kan misbruiken.
laptopleon @unglaublich23 juni 2017 15:49
Niet mee eens. Als je de inlogpagina van een website verandert van de standaard /wp-login url naar /netEvenIetsAnders ben je alvast 99,99% van de hack-bots en script-kiddies die proberen in te loggen kwijt.

Daarbij: In feite is een wachtwoord gebruiken ook een vorm van obscurity. Toch is dat een heel geaccepteerde vorm van beveiliging.
Blokker_1999
@laptopleon24 juni 2017 09:16
Ja, maar heb je dan je beveiliging verbeterd? Ga je mij tegenhouden daarmee als ik je doelbewust wil hacken?

En een wachtwoord is geen obscurity, het is een bewijs van identiteit.
laptopleon @Blokker_199924 juni 2017 21:06
Het belangrijkste gevaar bij het populairste CMS voor websites (WordPress) is ordinaire brute force login (pogingen). Als je dat kan voorkomen, heb je inderdaad je beveiliging al verbeterd.

En nee, een wachtwoord is (helaas) geen bewijs van identiteit. Afluisteren, dan wel brute force-en van wachtwoorden is wat hackers proberen en als dat lukt zegt dat toch niets over de identiteit van degene die inlogt?
Superstoned @laptopleon25 juni 2017 12:50
Klopt. Maar een 2FA authenticatie proxy voor je hele infrastructuur blokkeert brute force aanvallen ook EN is daadwerkelijk veiliger.
SSDtje @unglaublich23 juni 2017 17:28
Je tikt de spijker op zijn kop.
Het eerste waar ik aan moest denken na het lezen van het artikel is namelijk:
Geef ze gewoon de normale software, en laat ze vervolgens zelf de bron code maar zien te achterhalen / eruit zien te halen.
Lukt ze dit laatste niet, dan is de software "backdoor proof" lijkt mij.
En als ze echt de broncode in de zo'n "clean-room" zouden willen kopiëren, dan lukt ze dat hoogstwaarschijnlijk toch wel.
Met Alt-printscreen kom je vaak al een heel eind namelijk, alleen zul je het achtaf dan wel allemaal weer moeten gaan zitten overtypen, maar goed.
Dus even kort samengevat, Sla de gehele lap aan broncode op in meerdere foto's, en tadaa, je hebt na de tijd alle tijd van de wereld om em weer opnieuw te laten compileren.
Maar goed, ik kan het mis hebben natuurlijk, maar dit was echt het eerste waar ik aan moest denken.
:)
rotterdams @SSDtje25 juni 2017 09:20
Overtypen? OCR!
laptopleon @SSDtje26 juni 2017 14:43
De normale software hebben ze uiteraard al. Het gaat er nou net om dat ze inzage willen in de broncode en anders mag je je product in Rusland of China niet verkopen..

Screendumps maken is geen optie want ze mogen niets meenemen uit het lab. Dat is tenminste het uitgangspunt:
laboratoria waar de controleurs de software niet kunnen kopiëren of wijzigen
Over dergelijke trucjes hebben beide partijen uiteraard ook al nagedacht. Screendumps maken van wat in de vele miljoenen regels code kan lopen zou enorm veel tijd kosten. Dat zou op zijn minst opvallen. Je mag aannemen dat er ook van de kant van de software-leverancier iemand bij blijft.

Je weet de afspraken verder niet maar ik stel me voor dat de software-leverancier een paar laptops met de broncode er op meeneemt naar het lap en dat de inspecteurs daarop mogen kijken. Hierdoor kan de leverancier zorgen dat de laptops zodanig zijn ingericht, dat er niet even snel een kopietje naar een USB-stick, CD-rom, WiFi, BlueTooth of iets dergelijks gemaakt kan worden.
zion @jeroen323 juni 2017 16:54
Ja, en ondanks dat het ongelooflijk weinig voorkomt, zullen ze waarschijnlijk wel "iemand" hebben met een bijna Eidetic Memory (in de volksmond ook wel fotografisch geheugen genoemd, ondanks dat daar een aantal verschillen in zitten).

En anders vinden ze uiteraard wel een andere manier om toch de sourcecode te kunnen fotograferen//downloaden/kopiëren/manipuleren, dat is geen alu-hoedje, dat is gewoon "good practice" vanuit RU gezien.

VS zou omgekeerd precies hetelfde doen. (of NL,BE,GB, wie dan ook als ze de mogelijkheid hebben)

[Reactie gewijzigd door zion op 31 juli 2024 23:57]

Verwijderd @Macfreak10123 juni 2017 14:04
Ach, de chinezen hebben ook de broncode van W10 gezien en het resultaat daarvan is dat MS een speciale W10 versie hebben ontwikkeld speciaal voor de chinese overheid.

Een kopie maken lijkt mij ook niet zo heel nuttig, de meeste closed-source protocollen die Cisco bijvoorbeeld gebruikt hebben een open-source tegenhanger dus is het kopiëren van hun code niet bepaald nodig :p
Zen1581 @Macfreak10123 juni 2017 14:14
Er staat letterlijk: "De Russische overheid controleert de software op backdoors van andere overheden in zogenoemde 'clean rooms', laboratoria waar de controleurs de software niet kunnen kopiëren of wijzigen". Geen enkel bedrijf gaat het goed vinden als even jaren aan ontwikkeling gratis wordt weggegeven.
Bonnom @Macfreak10124 juni 2017 01:19
Nee, 'clean rooms' worden ook vaak gebruikt in de advocatuur als een bedrijf een ander bedrijf wilt kopen. In de clean room krijgen ze dan bedrijfsassets te zien en andere vertrouwelijke informatie. De bezoekende partij en de advocaten mogen echt helemaal niks meenemen in de clean room waardoor geen gegevens gekopieert kunnen worden.
t1mmy @Macfreak10123 juni 2017 14:12
De Russische overheid controleert de software op backdoors van andere overheden in zogenoemde 'clean rooms', laboratoria waar de controleurs de software niet kunnen kopiëren of wijzigen, meldt Reuters.
Lezen
Ryan_ 23 juni 2017 14:08
Heeft het wel zin? Gevoelige zooi eruit slopen, afgeven aan de controleurs en met een update er weer aan toevoegen.
downtime @Ryan_23 juni 2017 14:17
Je kunt ook een hele compilatieketen erbij geven. Zo van: Dit is de sourcecode. Die is gemaakt met versie X van compiler Y. De auditor kan de compiler en de executable als iedere consument gewoon aanschaffen. Met de instructies van de leverancier moet ie dan in staat zijn om de source code te compilen zodat ie identiek is aan de versie die hij eerder zelf kocht. Daarmee is bewezen dat ie de juiste source code heeft gekregen.
Verwijderd @downtime23 juni 2017 15:21
Maar doen moeten ze wel aan deterministic compilation (ook bekend als reproducible builds) doen.
Verwijderd @Verwijderd23 juni 2017 16:23
Dat heeft ook weinig zin als de NSA zendingen van Cisco gewoon onderschept en er dan hun eigen backdoors aan toevoegt. Dan zouden die dingen ook een soort van gesloten bootloader moeten hebben.
multimho @Verwijderd24 juni 2017 09:18
En moet je source code gekopieerd hebben om later de gedecompilede build te vergelijken met jet origineel.

Echt wat een gedoe. Toont wel absoluut aan wat meeste mensen in de IT allang weten dat open source software de toekomst is.

Het is onverantwoord dat men door proprietary software te gebruiken de veiligheid van landen nog steeds in gevaar brengt. Moet echt verboden worden.
OddesE @multimho24 juni 2017 14:09
Probleem alleen is wel dat op het moment er 2 aspecten worden gecombineerd in het concept Open Source:
  • Vrije toegang tot de broncode
  • Vrij (als in onbeperkt, maar ook als in gratis) gebruik van de code
Bedrijven die geld verdienen met Open Source (zoals Red Hat) verkopen je een niet-Open Source licentie als je de commerciële versie kiest. Hier krijg je dan support op e.d.

Maar het is begrijpelijk dat commerciele bedrijven niet dit in de licentie van hun software willen zetten:
1. Free Redistribution
The license shall not restrict any party from selling or giving away the software as a component of an aggregate software distribution containing programs from several different sources. The license shall not require a royalty or other fee for such sale.
Bron: Open Source Initiative

De tekst 'The license shall not require a royalty or other fee' maakt het onmogelijk om gebruik zonder te betalen te verbieden.

Wat er eigenlijk nodig is, is een Commercial Open Source licentie. Eén waarbij wel toegang tot de broncode gegarandeerd wordt, maar dit niks afdoet van de verplichting om te betalen voor het gebruik. Dan zouden bedrijven zoals genoemd in dit artikel zo'n licentie aan de software kunnen hangen zonder het recht om betaling voor het gebruik te eisen te verliezen. Op het moment is dat niet zo. Alle Open Source software is per definitie gratis.
Het is onverantwoord dat men door proprietary software te gebruiken de veiligheid van landen nog steeds in gevaar brengt. Moet echt verboden worden.
Als je software verdeelt in proprietary vs Open Source dan is bovenstaande dus een probleem. Feitelijk zeg je dat betaling vereisen voor gebruik van software verboden zou moeten worden.

Als men het tweede aspect, gratis te gebruiken, zou lostrekken van Open Source door software in drie categorieën in te delen in plaats van twee, dan zou ik volledig achter je opmerking staan:
  • Proprietary, source may not be available
  • Commercial Open Source: source available, but software is not free
  • Open Source: source available and software can be used for free
Echter op het moment wordt betaling en source available altijd aan elkaar gekoppeld helaas. Wat het lastig maakt voor commerciële bedrijven.

[Reactie gewijzigd door OddesE op 31 juli 2024 23:57]

Origin64 @OddesE24 juni 2017 18:59
het is moeilijk om mensen te verbieden software te gebruiken als de broncode publiek beschikbaar is en ze het zelf kunnen compilen. je kunt hooguit doen wat red hat nu doet en mensen laten betalen als ze support willen.
OddesE @Origin6425 juni 2017 01:39
Ja wellicht. Consumenten zullen niet snel betalen dan. Maar goed als het Open Source is ook niet. Echter overheden en grote bedrijven zouden wel gewoon netjes de portemonnee trekken vermoed ik. En op deze manier kun je als overheid gewoon stellen dat je alleen nog (Commercial) Open Source gaat gebruiken en dan bedrijven de keuze bieden: of een dergelijke licentie gebruiken of gewoon afvallen als mogelijkheid. Echter op het moment zit er niks tussen alles closed en gratis.
Cerberus_tm @downtime23 juni 2017 16:54
Maar dan kun je toch niet meer garanderen dat de Russen de code niet kopiëren? Mijns inziens is het extreem moeilijk om enerzijds een volledige test inclusief compilatie toe te staan aan de Russen, en er tegelijkertijd voor zorgen dat ze niets kunnen kopiëren. Je kunt b.v. iets wijzigen aan het bestand van de compiler die wordt gebruikt, omdat je de Russen immers alleen toestaat om jouw computers te gebruiken en niet hun eigen: met die laatste zouden ze immers dingen kunnen kopiëren.

[Reactie gewijzigd door Cerberus_tm op 31 juli 2024 23:57]

OddesE @Cerberus_tm25 juni 2017 01:42
Maar dan kun je toch niet meer garanderen dat de Russen de code niet kopiëren?
Ach dan kon je toch sowieso al niet eigenlijk. Want de binaries kopiëren is super easy. Makkelijker dan de broncode compileren waarschijnlijk. Wil je echt weten wat de code doet (en niet alleen gratis gebruiken) dan kun je deze ook nog decompileren. De echt complexe algoritmen kun je dan zo achterhalen. De eenvoudigere stukken code zijn eigenlijk de moeite van het kopiëren nauwelijks waard.
Blokker_1999
@downtime24 juni 2017 09:13
Maar zij krijgen de code niet. Ze mogen ze alleen maar inzien in een clean room waar ze dus ook niets anders kunnen doen dan kijken. Ze mogen geen kopie maken en ze kunnen zelf ook geen software draaien of installeren op de systemen die ze ter beschikking krijgen.
xFeverr @Ryan_23 juni 2017 14:11
Dat dus. Tenzij je het zelf compiled kan je eigenlijk niet weten of de broncode hetzelfde is als de geleverde software.
kwakzalver 23 juni 2017 14:41
volgens mij lijkt het erop dat Symantec het als enige snapt.

Het gaat wellicht niet alleen om mogelijke ingebouwde backdoors door vreemde mogendheden...
Het hebben van de broncode geeft mogelijkheden backdoors te vinden en/of te ontwikkelen. Zowel voor gebruikers in de eigen markt als de buitenlandse markt.
the_shadow @kwakzalver23 juni 2017 15:10
volgens mij lijkt het erop dat Symantec het als enige snapt.
Of Symantec geeft dit nu als argument, terwijl er in werkelijkheid backdoors verstopt zitten die ze liever niet gevonden zien worden. Het is een lastige keuze voor bedrijven. MS geeft overheden al jaren inzicht in hun source code, en ik ben er van overtuigd dat andere bedrijven dat ook doen. Denk je dat Symantec ook 'nee' zegt tegen de Amerikaanse overheid? Ik betwijfel het.
Marty007 @the_shadow23 juni 2017 16:23
Inderdaad. Well said..
Mensen gaan gelijk weer met het vingertje wijzen naar de Russen. Heb ik zo de pest aan he.. geïndoctrineerde westerlingen..

Ik schaam me soms voor de mede tweakers. ..

Het is nu al lang bewezen dat de lijst met overtredingen en smerige trucks van Amerika eindeloos lang begint te worden. Maar oh jee als Rusland wat dan ook zegt of doet of vraagt is het gelijk weer... die russen...

Mensen plz.. als je niet in staat bent om objectief te blijven ga dan lekker ergens anders haat lopen zaaien.
De hoeveelheid Rusland haters is op tweakers veel te hoog terwijl de meeste van diezelfde mensen geen flauw idee hebben waar ze het over hebben en op welke schaal andere landen misbruik maken van weer diezelfde mensen . ..

Rusland spioneerd Alles..
Klopt waarschijnlijk ja... Dus?
Leg dat nu eens naast de lijst met vuile was van Amerika. .. of de Engelse geheime dienst... of zelfs de aivd die als een opgewonden vrouwelijke hond achter de nsa aan huppeld en alles maar braaf doet zoals de big USA het zegt. .

Mijn mening...
Ja.. waarschijnlijk zal er genoeg ingezien en gekopieerd worden..
Met andere woorden... Rusland doet dus hetzelfde als Amerika. . En China. . Die dit al veel langer deden om toegang tot de markt te krijgen...
Dus wat is het punt nu ?
Als het erop aankomt heb je geen zak aan Amerika in welke vorm dan ook.
Oh ja wacht...het zijn onze redders in wo2 .
Totdat je beseft dat het Rusland was die het enorme leger van duitsland grotendeels versloeg... niet de Amerikanen.

Wees jezelf en blijf eerlijk.
Of
Leef naar standaarden opgelegd Door derde partijen en geloof klakkeloos alles wat die beweren.

Jouw eigen keuze.
WonnaPlay @Marty00723 juni 2017 18:32
Amen.

Om alleen nog toe te voegen, dat het enkel (hoog waarschijnlijke)) assumptie is, wat we denken van Russische surveillance.
Bij de Amerikanen is dit een bewezen feit.
PcDealer
@the_shadow23 juni 2017 16:10
[...]
MS geeft overheden al jaren inzicht in hun source code, en ik ben er van overtuigd dat andere bedrijven dat ook doen.
Iedereen kan de sourcecode (van Windows) inzien, zolang je maar het juiste contract hebt en genoeg betaalt:
https://www.microsoft.com...ce-licensing-program.aspx
Lennart-IT @kwakzalver24 juni 2017 05:11
Je bent ze kwijt omdat ze je niet vinden met hun standaard scans. Als men een Wordpress site als doelwit heeft, gaat men natuurlijk veel dieper kijken.

[Reactie gewijzigd door Lennart-IT op 31 juli 2024 23:57]

amigob2 23 juni 2017 14:20
En hoe controleren ze dat de software die ze in mogen zien ook echt op de routers staat ?
sirotilc @amigob223 juni 2017 16:09
Simpel, compile de code in de 'clean room', en bereken de md5 hashes, welke de onderzoekers wel mogen onthouden en later kunnen vergelijken met de hashes van de software op een aangeschafte router ;)
amigob2 @sirotilc24 juni 2017 09:22
en hoe weet je dan dat er geen ander software opstaat,
Wie designd het compile process, ja de fabrikant, die kan dus alles gewoon iedere hash geven die ze willen.
Het is veel moeilijker dan je denk.

En Md5 hash is ook te reproduceren
CAPSLOCK2000 @amigob223 juni 2017 15:27
Hele goede vraag, voor zover ik weet is dat nog geen enkele goede oplossing voor. Ik denk dat je rijk kan worden als je eentje weet te bedenken. Dat geldt eigenlijk voor alle gevallen waarin je de source onderzoekt maar deze niet zelf kan compileren en installeren (en zelfs dan... moet je je compiler en andere infrastructuur kunnen vertrouwen: www.c2.com/cgi/wiki?TheKenThompsonHack)
CEx 23 juni 2017 14:03
De Russische overheid controleert de software op backdoors van andere overheden in zogenoemde 'clean rooms', laboratoria waar de controleurs de software niet kunnen kopiëren of wijzigen, meldt Reuters.
Staat in het artikel.
Doh, was als reactie bedoeld op Macfreak101

[Reactie gewijzigd door CEx op 31 juli 2024 23:57]

MaxxBass @CEx23 juni 2017 14:11
Ja, moet je alleen de clean room nog vertrouwen. Maar e.e.a. zal wel contractueel vastgelegd zijn...
lighting_ 23 juni 2017 14:04
Vanuit Rusland en China oogpunt snap ik het wel.
Dat de EU als een makke schaap niks doet vind ik eerder irritant.
Tuurlijk SAP is Duits maar de EU geeft de grote Amerikaanse software bedrijven onbeperkt toegang en stimuleert niet eens de EU ict bedrijven zelf wat te ontwikkelen.
Concurrentie is eenmaal goed.
Marty007 @lighting_23 juni 2017 16:26
De eu heeft geen ict of veiligheidsdiensten..
Dit zijn slechts dependances van de Amerikanen. :+
Verwijderd 23 juni 2017 17:47
Gezien onderstaande artikel vind ik het niet zo raar

http://www.washingtonexam...re-report/article/2626892
glatuin 23 juni 2017 19:31
Die bedrijven zijn hartstikke gek, de kracht was juist geweest als ze het allemaal niet hadden gedaan.
Hulde aan Symantec. Overigens vind ik wel dat we dezelfde eisen aan Russische bedrijven mogen stellen, dan is het eerlijk.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq