Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'IBM, Cisco en SAP geven Russische overheid inzage in broncode software'

Door , 47 reacties

IBM, Cisco en SAP zouden de Russische overheid toegang hebben gegeven tot de vertrouwelijke broncode van hun software, zo meldt persbureau Reuters. De Russische overheid vroeg dat ook van Symantec, maar het bedrijf weigerde.

De Russische overheid controleert de software op backdoors van andere overheden in zogenoemde 'clean rooms', laboratoria waar de controleurs de software niet kunnen kopiëren of wijzigen, meldt Reuters. Dat moet voorkomen dat de Russische overheid later voordeel kan hebben van de inzage in de broncode. De Russische overheid vraagt die inzage als voorwaarde om de software te kunnen verkopen op de Russische markt.

Symantec weigerde de inzage, omdat het gebruikte laboratorium zakelijke relaties onderhoudt met het Russische leger en daardoor niet onafhankelijk zou kunnen opereren. Symantec is bovendien bang dat de controleurs tijdens de audit kwetsbaarheden vinden en die niet melden, maar gebruiken bij cyberaanvallen.

IBM, Sap en Cisco zouden wel toegeven, omdat de Russische markt groot is en daardoor veel omzet kan opleveren, claimt Reuters. De bedrijven hebben dat niet bevestigd. De Chinese overheid zou bij veel bedrijven om dezelfde soort inzage vragen. Het is niet voor het eerst dat de mogelijke Russische inzage in de broncode van gesloten software in het nieuws komt. Zo wilde Rusland eerder toegang tot de broncode van onder meer Apple-software en Microsoft Office.

Rusland gaat bovendien in toenemende mate over op alternatieven voor Amerikaanse software. Zo stopt het met Android ten faveure van het Finse Sailfish OS en dumpt de overheid Outlook voor een Russische mailclient.

Echelon-complex in Moskou, waar inzage plaatsvindt

Door Arnoud Wokke

Redacteur mobile

23-06-2017 • 13:59

47 Linkedin Google+

Reacties (47)

Wijzig sortering
Ligt het nu aan mij of verspeel je zo de broncode van jaren van technologische ontwikkeling gratis aan de russen? Tenminste, ik neem aan dat daar wel een kopie van gemaakt gaat worden...
Mijn gedacht. Het zou naÔef zijn om het niet te denken.

Je weet dat de Russen tijdens de Olympische Spelen in Sochi een geheim gat in de muur in het labo hadden ingebouwd om de stalen van de Russische sporters te kunnen verwisselen? :+
A colleague stationed next door in the sample collection room would retrieve the correct bottles and pass them into the storage room through a circular hole cut through the wall near the floor, Dr. Rodchenkov said. During the day, he said, the hole was concealed by a small imitation-wood cabinet.
https://www.nytimes.com/2...-sochi-olympics-2014.html
Dan zul je de code moeten onthouden. Want je mag geen datadragers mee nemen ik zulke "clean rooms" neem ik aan.
Maar die coders kunnen dan ook onthouden van "Goh, als ik zus en zo probeer, dan kan ik zeer waarschijnlijk beveiliging omzeilen".
Security through obscurity is dan ook nergens goed voor ;)
Een software systeem is pas veilig als iemand die alle kennis heeft over het programma het in de praktijk niet kan misbruiken.
Niet mee eens. Als je de inlogpagina van een website verandert van de standaard /wp-login url naar /netEvenIetsAnders ben je alvast 99,99% van de hack-bots en script-kiddies die proberen in te loggen kwijt.

Daarbij: In feite is een wachtwoord gebruiken ook een vorm van obscurity. Toch is dat een heel geaccepteerde vorm van beveiliging.
Ja, maar heb je dan je beveiliging verbeterd? Ga je mij tegenhouden daarmee als ik je doelbewust wil hacken?

En een wachtwoord is geen obscurity, het is een bewijs van identiteit.
Het belangrijkste gevaar bij het populairste CMS voor websites (WordPress) is ordinaire brute force login (pogingen). Als je dat kan voorkomen, heb je inderdaad je beveiliging al verbeterd.

En nee, een wachtwoord is (helaas) geen bewijs van identiteit. Afluisteren, dan wel brute force-en van wachtwoorden is wat hackers proberen en als dat lukt zegt dat toch niets over de identiteit van degene die inlogt?
Klopt. Maar een 2FA authenticatie proxy voor je hele infrastructuur blokkeert brute force aanvallen ook EN is daadwerkelijk veiliger.
Je tikt de spijker op zijn kop.
Het eerste waar ik aan moest denken na het lezen van het artikel is namelijk:
Geef ze gewoon de normale software, en laat ze vervolgens zelf de bron code maar zien te achterhalen / eruit zien te halen.
Lukt ze dit laatste niet, dan is de software "backdoor proof" lijkt mij.
En als ze echt de broncode in de zo'n "clean-room" zouden willen kopiŽren, dan lukt ze dat hoogstwaarschijnlijk toch wel.
Met Alt-printscreen kom je vaak al een heel eind namelijk, alleen zul je het achtaf dan wel allemaal weer moeten gaan zitten overtypen, maar goed.
Dus even kort samengevat, Sla de gehele lap aan broncode op in meerdere foto's, en tadaa, je hebt na de tijd alle tijd van de wereld om em weer opnieuw te laten compileren.
Maar goed, ik kan het mis hebben natuurlijk, maar dit was echt het eerste waar ik aan moest denken.
:)
Overtypen? OCR!
De normale software hebben ze uiteraard al. Het gaat er nou net om dat ze inzage willen in de broncode en anders mag je je product in Rusland of China niet verkopen..

Screendumps maken is geen optie want ze mogen niets meenemen uit het lab. Dat is tenminste het uitgangspunt:
laboratoria waar de controleurs de software niet kunnen kopiŽren of wijzigen
Over dergelijke trucjes hebben beide partijen uiteraard ook al nagedacht. Screendumps maken van wat in de vele miljoenen regels code kan lopen zou enorm veel tijd kosten. Dat zou op zijn minst opvallen. Je mag aannemen dat er ook van de kant van de software-leverancier iemand bij blijft.

Je weet de afspraken verder niet maar ik stel me voor dat de software-leverancier een paar laptops met de broncode er op meeneemt naar het lap en dat de inspecteurs daarop mogen kijken. Hierdoor kan de leverancier zorgen dat de laptops zodanig zijn ingericht, dat er niet even snel een kopietje naar een USB-stick, CD-rom, WiFi, BlueTooth of iets dergelijks gemaakt kan worden.
Ja, en ondanks dat het ongelooflijk weinig voorkomt, zullen ze waarschijnlijk wel "iemand" hebben met een bijna Eidetic Memory (in de volksmond ook wel fotografisch geheugen genoemd, ondanks dat daar een aantal verschillen in zitten).

En anders vinden ze uiteraard wel een andere manier om toch de sourcecode te kunnen fotograferen//downloaden/kopiŽren/manipuleren, dat is geen alu-hoedje, dat is gewoon "good practice" vanuit RU gezien.

VS zou omgekeerd precies hetelfde doen. (of NL,BE,GB, wie dan ook als ze de mogelijkheid hebben)

[Reactie gewijzigd door zion op 23 juni 2017 16:56]

Ach, de chinezen hebben ook de broncode van W10 gezien en het resultaat daarvan is dat MS een speciale W10 versie hebben ontwikkeld speciaal voor de chinese overheid.

Een kopie maken lijkt mij ook niet zo heel nuttig, de meeste closed-source protocollen die Cisco bijvoorbeeld gebruikt hebben een open-source tegenhanger dus is het kopiŽren van hun code niet bepaald nodig :p
Er staat letterlijk: "De Russische overheid controleert de software op backdoors van andere overheden in zogenoemde 'clean rooms', laboratoria waar de controleurs de software niet kunnen kopiŽren of wijzigen". Geen enkel bedrijf gaat het goed vinden als even jaren aan ontwikkeling gratis wordt weggegeven.
Nee, 'clean rooms' worden ook vaak gebruikt in de advocatuur als een bedrijf een ander bedrijf wilt kopen. In de clean room krijgen ze dan bedrijfsassets te zien en andere vertrouwelijke informatie. De bezoekende partij en de advocaten mogen echt helemaal niks meenemen in de clean room waardoor geen gegevens gekopieert kunnen worden.
De Russische overheid controleert de software op backdoors van andere overheden in zogenoemde 'clean rooms', laboratoria waar de controleurs de software niet kunnen kopiŽren of wijzigen, meldt Reuters.
Lezen
Heeft het wel zin? Gevoelige zooi eruit slopen, afgeven aan de controleurs en met een update er weer aan toevoegen.
Je kunt ook een hele compilatieketen erbij geven. Zo van: Dit is de sourcecode. Die is gemaakt met versie X van compiler Y. De auditor kan de compiler en de executable als iedere consument gewoon aanschaffen. Met de instructies van de leverancier moet ie dan in staat zijn om de source code te compilen zodat ie identiek is aan de versie die hij eerder zelf kocht. Daarmee is bewezen dat ie de juiste source code heeft gekregen.
Maar doen moeten ze wel aan deterministic compilation (ook bekend als reproducible builds) doen.
Dat heeft ook weinig zin als de NSA zendingen van Cisco gewoon onderschept en er dan hun eigen backdoors aan toevoegt. Dan zouden die dingen ook een soort van gesloten bootloader moeten hebben.
En moet je source code gekopieerd hebben om later de gedecompilede build te vergelijken met jet origineel.

Echt wat een gedoe. Toont wel absoluut aan wat meeste mensen in de IT allang weten dat open source software de toekomst is.

Het is onverantwoord dat men door proprietary software te gebruiken de veiligheid van landen nog steeds in gevaar brengt. Moet echt verboden worden.
Probleem alleen is wel dat op het moment er 2 aspecten worden gecombineerd in het concept Open Source:
  • Vrije toegang tot de broncode
  • Vrij (als in onbeperkt, maar ook als in gratis) gebruik van de code
Bedrijven die geld verdienen met Open Source (zoals Red Hat) verkopen je een niet-Open Source licentie als je de commerciŽle versie kiest. Hier krijg je dan support op e.d.

Maar het is begrijpelijk dat commerciele bedrijven niet dit in de licentie van hun software willen zetten:
1. Free Redistribution
The license shall not restrict any party from selling or giving away the software as a component of an aggregate software distribution containing programs from several different sources. The license shall not require a royalty or other fee for such sale.
Bron: Open Source Initiative

De tekst 'The license shall not require a royalty or other fee' maakt het onmogelijk om gebruik zonder te betalen te verbieden.

Wat er eigenlijk nodig is, is een Commercial Open Source licentie. Eťn waarbij wel toegang tot de broncode gegarandeerd wordt, maar dit niks afdoet van de verplichting om te betalen voor het gebruik. Dan zouden bedrijven zoals genoemd in dit artikel zo'n licentie aan de software kunnen hangen zonder het recht om betaling voor het gebruik te eisen te verliezen. Op het moment is dat niet zo. Alle Open Source software is per definitie gratis.
Het is onverantwoord dat men door proprietary software te gebruiken de veiligheid van landen nog steeds in gevaar brengt. Moet echt verboden worden.
Als je software verdeelt in proprietary vs Open Source dan is bovenstaande dus een probleem. Feitelijk zeg je dat betaling vereisen voor gebruik van software verboden zou moeten worden.

Als men het tweede aspect, gratis te gebruiken, zou lostrekken van Open Source door software in drie categorieŽn in te delen in plaats van twee, dan zou ik volledig achter je opmerking staan:
  • Proprietary, source may not be available
  • Commercial Open Source: source available, but software is not free
  • Open Source: source available and software can be used for free
Echter op het moment wordt betaling en source available altijd aan elkaar gekoppeld helaas. Wat het lastig maakt voor commerciŽle bedrijven.

[Reactie gewijzigd door OddesE op 24 juni 2017 14:14]

het is moeilijk om mensen te verbieden software te gebruiken als de broncode publiek beschikbaar is en ze het zelf kunnen compilen. je kunt hooguit doen wat red hat nu doet en mensen laten betalen als ze support willen.
Ja wellicht. Consumenten zullen niet snel betalen dan. Maar goed als het Open Source is ook niet. Echter overheden en grote bedrijven zouden wel gewoon netjes de portemonnee trekken vermoed ik. En op deze manier kun je als overheid gewoon stellen dat je alleen nog (Commercial) Open Source gaat gebruiken en dan bedrijven de keuze bieden: of een dergelijke licentie gebruiken of gewoon afvallen als mogelijkheid. Echter op het moment zit er niks tussen alles closed en gratis.
Maar dan kun je toch niet meer garanderen dat de Russen de code niet kopiŽren? Mijns inziens is het extreem moeilijk om enerzijds een volledige test inclusief compilatie toe te staan aan de Russen, en er tegelijkertijd voor zorgen dat ze niets kunnen kopiŽren. Je kunt b.v. iets wijzigen aan het bestand van de compiler die wordt gebruikt, omdat je de Russen immers alleen toestaat om jouw computers te gebruiken en niet hun eigen: met die laatste zouden ze immers dingen kunnen kopiŽren.

[Reactie gewijzigd door Cerberus_tm op 23 juni 2017 16:56]

Maar dan kun je toch niet meer garanderen dat de Russen de code niet kopiŽren?
Ach dan kon je toch sowieso al niet eigenlijk. Want de binaries kopiŽren is super easy. Makkelijker dan de broncode compileren waarschijnlijk. Wil je echt weten wat de code doet (en niet alleen gratis gebruiken) dan kun je deze ook nog decompileren. De echt complexe algoritmen kun je dan zo achterhalen. De eenvoudigere stukken code zijn eigenlijk de moeite van het kopiŽren nauwelijks waard.
Maar zij krijgen de code niet. Ze mogen ze alleen maar inzien in een clean room waar ze dus ook niets anders kunnen doen dan kijken. Ze mogen geen kopie maken en ze kunnen zelf ook geen software draaien of installeren op de systemen die ze ter beschikking krijgen.
Dat dus. Tenzij je het zelf compiled kan je eigenlijk niet weten of de broncode hetzelfde is als de geleverde software.
volgens mij lijkt het erop dat Symantec het als enige snapt.

Het gaat wellicht niet alleen om mogelijke ingebouwde backdoors door vreemde mogendheden...
Het hebben van de broncode geeft mogelijkheden backdoors te vinden en/of te ontwikkelen. Zowel voor gebruikers in de eigen markt als de buitenlandse markt.
volgens mij lijkt het erop dat Symantec het als enige snapt.
Of Symantec geeft dit nu als argument, terwijl er in werkelijkheid backdoors verstopt zitten die ze liever niet gevonden zien worden. Het is een lastige keuze voor bedrijven. MS geeft overheden al jaren inzicht in hun source code, en ik ben er van overtuigd dat andere bedrijven dat ook doen. Denk je dat Symantec ook 'nee' zegt tegen de Amerikaanse overheid? Ik betwijfel het.
Inderdaad. Well said..
Mensen gaan gelijk weer met het vingertje wijzen naar de Russen. Heb ik zo de pest aan he.. geÔndoctrineerde westerlingen..

Ik schaam me soms voor de mede tweakers. ..

Het is nu al lang bewezen dat de lijst met overtredingen en smerige trucks van Amerika eindeloos lang begint te worden. Maar oh jee als Rusland wat dan ook zegt of doet of vraagt is het gelijk weer... die russen...

Mensen plz.. als je niet in staat bent om objectief te blijven ga dan lekker ergens anders haat lopen zaaien.
De hoeveelheid Rusland haters is op tweakers veel te hoog terwijl de meeste van diezelfde mensen geen flauw idee hebben waar ze het over hebben en op welke schaal andere landen misbruik maken van weer diezelfde mensen . ..

Rusland spioneerd Alles..
Klopt waarschijnlijk ja... Dus?
Leg dat nu eens naast de lijst met vuile was van Amerika. .. of de Engelse geheime dienst... of zelfs de aivd die als een opgewonden vrouwelijke hond achter de nsa aan huppeld en alles maar braaf doet zoals de big USA het zegt. .

Mijn mening...
Ja.. waarschijnlijk zal er genoeg ingezien en gekopieerd worden..
Met andere woorden... Rusland doet dus hetzelfde als Amerika. . En China. . Die dit al veel langer deden om toegang tot de markt te krijgen...
Dus wat is het punt nu ?
Als het erop aankomt heb je geen zak aan Amerika in welke vorm dan ook.
Oh ja wacht...het zijn onze redders in wo2 .
Totdat je beseft dat het Rusland was die het enorme leger van duitsland grotendeels versloeg... niet de Amerikanen.

Wees jezelf en blijf eerlijk.
Of
Leef naar standaarden opgelegd Door derde partijen en geloof klakkeloos alles wat die beweren.

Jouw eigen keuze.
Amen.

Om alleen nog toe te voegen, dat het enkel (hoog waarschijnlijke)) assumptie is, wat we denken van Russische surveillance.
Bij de Amerikanen is dit een bewezen feit.
[...]
MS geeft overheden al jaren inzicht in hun source code, en ik ben er van overtuigd dat andere bedrijven dat ook doen.
Iedereen kan de sourcecode (van Windows) inzien, zolang je maar het juiste contract hebt en genoeg betaalt:
https://www.microsoft.com...ce-licensing-program.aspx
Je bent ze kwijt omdat ze je niet vinden met hun standaard scans. Als men een Wordpress site als doelwit heeft, gaat men natuurlijk veel dieper kijken.

[Reactie gewijzigd door Lennart-IT op 24 juni 2017 05:11]

En hoe controleren ze dat de software die ze in mogen zien ook echt op de routers staat ?
Simpel, compile de code in de 'clean room', en bereken de md5 hashes, welke de onderzoekers wel mogen onthouden en later kunnen vergelijken met de hashes van de software op een aangeschafte router ;)
en hoe weet je dan dat er geen ander software opstaat,
Wie designd het compile process, ja de fabrikant, die kan dus alles gewoon iedere hash geven die ze willen.
Het is veel moeilijker dan je denk.

En Md5 hash is ook te reproduceren
Hele goede vraag, voor zover ik weet is dat nog geen enkele goede oplossing voor. Ik denk dat je rijk kan worden als je eentje weet te bedenken. Dat geldt eigenlijk voor alle gevallen waarin je de source onderzoekt maar deze niet zelf kan compileren en installeren (en zelfs dan... moet je je compiler en andere infrastructuur kunnen vertrouwen: www.c2.com/cgi/wiki?TheKenThompsonHack)
De Russische overheid controleert de software op backdoors van andere overheden in zogenoemde 'clean rooms', laboratoria waar de controleurs de software niet kunnen kopiŽren of wijzigen, meldt Reuters.
Staat in het artikel.
Doh, was als reactie bedoeld op Macfreak101

[Reactie gewijzigd door CEx op 23 juni 2017 14:03]

Ja, moet je alleen de clean room nog vertrouwen. Maar e.e.a. zal wel contractueel vastgelegd zijn...
Vanuit Rusland en China oogpunt snap ik het wel.
Dat de EU als een makke schaap niks doet vind ik eerder irritant.
Tuurlijk SAP is Duits maar de EU geeft de grote Amerikaanse software bedrijven onbeperkt toegang en stimuleert niet eens de EU ict bedrijven zelf wat te ontwikkelen.
Concurrentie is eenmaal goed.
De eu heeft geen ict of veiligheidsdiensten..
Dit zijn slechts dependances van de Amerikanen. :+
Gezien onderstaande artikel vind ik het niet zo raar

http://www.washingtonexam...re-report/article/2626892
Die bedrijven zijn hartstikke gek, de kracht was juist geweest als ze het allemaal niet hadden gedaan.
Hulde aan Symantec. Overigens vind ik wel dat we dezelfde eisen aan Russische bedrijven mogen stellen, dan is het eerlijk.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*