Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Deel broncode Windows 10 stond tijdelijk online

Door , 100 reacties, submitter: Iekozz

De broncode van Windows 10 is mogelijk uitgelekt. Het zou gaan om niet-openbare installatie-images en 'softwareblauwdrukken', schrijft The Register. Met de broncode in handen kunnen kwaadwillenden makkelijker ernstige kwetsbaarheden in het os opsporen en uitbuiten.

Volgens The Register gaat het om 32TB aan data, hoewel de website waar de data op stond, BetaArchive.com, zegt dat dat een misrekening is en het om 1,2GB gaat. Daarom zou het dus ook niet kunnen gaan om de volledige broncode van Microsofts nieuwste besturingssysteem. De site stelt dat The Register waarschijnlijk aan die 32TB komt door de formaten van alle oude bètaversies van Windows 10 bij elkaar op te tellen, maar die bètaversies vormen helemaal geen gevaar voor Microsoft en het os.

Wel bevestigt de administrator van de website dat het om de Shared Source Kit gaat, een softwarepakket dat alleen bestemd is voor vertrouwde zakenpartners van Microsoft, zoals grote bedrijven, systeembouwers en overheden. Microsoft heeft zelf tegenover The Register ook bevestigd dat het gaat om een deel van de Shared Source.

Het zou onder andere gaan om drivers, PnP-code, usb- en wifi-stacks, opslagdrivers en OneCore-kernelcode voor arm. Ook zou de Windows 10 Mobile Adaptation Kit erbij zitten. Die wordt gebruikt om het os draaiende te krijgen op mobiele apparaten. Volgens The Register dateren de gegevens van maart van dit jaar. Het is momenteel onduidelijk of de data in handen van kwaadwillenden zijn gekomen. Volgens BetaArchive is de arrestatie van twee Britten die meerdere pogingen hebben gedaan om Microsoft te hacken niet gerelateerd aan deze zaak.

24 juni 2017 11:01

100 reacties

Submitter: Iekozz

Linkedin Google+

Reacties (100)

Wijzig sortering
https://www.betaarchive.com/forum/viewtopic.php?t=37283

De enige "source code" die ertussen stond is uit Microsofts eigen shared source initiative. Dat is een onderdeel waarbij ze een deel van hun broncode openstellen voor OEM en andere ontwikkelaars. Tot zover niks zorgwekkends, alleen een leak van source code die MS sowieso al aan 3de partijen beschikbaar stelt en waar ze denk ik rekening mee houden qua security.
Ja, alleen wordt die normaal gesproken alleen selectief aan enkele vertrouwde partijen beschikbaar gesteld. Nu stond hij blijkbaart (kort) voor iedereen online.

Dat kan potentieel wel degelijk (zeer) zorgwekkend zijn, als partijen met foute intenties hun handen hier op kunnen leggen kan men daar in potentie grof misbruik van maken middels exploits etc.

Laten we hopen dat het allemaal meevalt.
Ja, alleen wordt die normaal gesproken alleen selectief aan enkele vertrouwde partijen beschikbaar gesteld. Nu stond hij blijkbaart (kort) voor iedereen online.
Ik vermoed dat 99%+ van iedereen er helemaal niets mee kan. Van die minder dan 1% zal een groot gedeelte het alleen interessant vinden om er in te kijken, slechts een klein deel doet er daadwerkelijk wat mee. Van dat miniscule deel van het internet zal daar ook weer een deel daadwerkelijk er wat kwaadwillig mee willen doen, ook weer een klein deel daarvan kan dat daadwerkelijk ook.

Het is na´ef om te denken dat dat soort mensen nog geen toegang hebben tot die sourcecode...

imho is dit een storm in een glas water.

Het grootste probleem is dan ook niet aan de sourcecode komen, maar er daadwerkelijk wat mee kunnen doen. Vergeet niet dat het om enorme hoeveelheden unassembled code gaat. En veiligheidsgaten zitten over het algemeen niet in een stukje code dat je herkent als verkeerd geschreven, maar hoe verschillende stukken code met elkaar samenwerken. Is imho alleen maar nuttig als je heel specifiek en gericht code wil inzien.

[Reactie gewijzigd door Cergorach op 24 juni 2017 12:08]

Ho ho, dat zou betekenen dat statische code analyse niet zou werken. En dat haalt potentieel wel degelijk veel fouten uit code, zowel voor Microsoft als voor kwaadwillenden.

Enige voordeel is dat Microsoft waarschijnlijk zelf al veel scans heeft uitgevoerd. Maar ja, helemaal up-to-date ben je nooit.

Verder ben ik het helemaal niet eens dat code alleen tussen componenten interessant zijn; er zijn zat lokale problemen met software, zeker als die in C/C++ zijn geschreven.
Ho ho, dat zou betekenen dat statische code analyse niet zou werken. En dat haalt potentieel wel degelijk veel fouten uit code, zowel voor Microsoft als voor kwaadwillenden.
Sure, fouten. Maar fouten zijn nog geen exploits waar je wat mee kan. Een fout is meestal gewoon een fout waar je eigenlijk niet veel verder mee komt.
[...]
Een fout is meestal gewoon een fout waar je eigenlijk niet veel verder mee komt.
Een indicatie van een mogelijke buffer overflow of gebruik van niet geinitialiseerde variabelen is toch zeker wel heel handig om een exploit voor te schrijven.
Sterker nog, elk beetje software-bedrijf schrijft zeer regelmatig stukjes code om zulke dingen te testen, danwel aan te tonen in het kader van continuous integration tests, of Test driven development.
Dat kan potentieel wel degelijk (zeer) zorgwekkend zijn, als partijen met foute intenties hun handen hier op kunnen leggen kan men daar in potentie grof misbruik van maken middels exploits etc.
Hoeveel gaten zijn er gevonden in Linux dankzij de beschikbare source? Ik denk dat dat wel meevalt, tenzij er een bewuste en gedocumenteerde backdoor in die sources staat..Maar dat zal wel niet als het code uit het shared sourece initiative is.
Duizenden. Vele duizenden.

Alleen is Linux een van de weinige goed functionerende open source projecten waarbij de community loyaal en competent genoeg is om dit op te pikken en goed, degelijk en snel af te handelen. Aan de andere kant van het spectrum heb je projecten als Wordpress waarbij het OS zijn met name handig is om bij iedere release eenvoudig de nieuwe blunders te kunnen vinden, en de community zich met name bezig houdt met plugins in plaats van de fundamentele en structurele problemen oplossen.

Bij Linux is de kwaliteit van de community en de inzage tijdens het ontwikkelproces een grote push op de kwaliteit van de code. Windows heeft geen participerende developer community, en een veel groter marktaandeel, en het zou hier om code te gaan die al op tientallen procenten van de wereldwijde computers exploitable is. Dat maakt code leaks een idioot groot risico relatief.
Bij linux is dit meer 'verdenken dat dit zo is zonder bewijs', en wanneer er bewijs is wordt de O.S. geupdate door een medelevende mens. Bij MS weet je per definitie hoe de zaken staan.
Ik denk niet dat je je zorgen hoeft te maken om "partijen met foute intenties" hoor. Die komen linksom of rechtsom (bijv. via patriot act) toch wel aan de sourcecode, hebben ze zo'n lek als dit echt niet voor nodig.
Joh maak je niet druk hoe eerder iets uitlekt hoe eerder daar actie op ondernomen kan worden.
Dat is zeg maar code waar ze niet de NSA backdoors in hebben verwerkt. Handig.

https://en.wikipedia.org/wiki/NSAKEY

[Reactie gewijzigd door Texamicz op 24 juni 2017 13:13]

Tijd om al onze software te open sourcen?
Als de broncode van Windows is gelekt, en IBM en SAP en dergelijke bedrijven gedwongen worden om hun broncode te delen (bv door Rusland) is het dan niet verstandiger om maar te accepteren dat die code niet langer geheim is?
Stel alle broncode voor iedereen beschikbaar. De black hats komen er toch wel bij dus geef de white hats ook een kans!
Ze worden niet gedwongen door Rusland om te delen, de broncode wordt alleen in een speciaal lab ingezien.
Stel alle broncode voor iedereen beschikbaar
Alsof er 1 autoriteit is die dat voor het zeggen heeft. Doe meteen even het klimaat verdrag wereldwijd, oh ja en stop de oorlog en hongersnoden nu je toch bezig bent.

[Reactie gewijzigd door dezwarteziel op 24 juni 2017 12:14]

Ik moest al bijna lachen/huilen toen ik dit in het nieuwsbericht zag staan:
Wel bevestigt de administrator van de website dat het om de Shared Source Kit gaat, een softwarepakket dat alleen bestemd is voor vertrouwde zakenpartners van Microsoft, zoals grote bedrijven, systeembouwers en overheden.
nieuws: 'IBM, Cisco en SAP geven Russische overheid inzage in broncode software'

Dat zou in een cleanroom gebeuren, maar dat bedrijf heeft banden met het Russische leger. Dat is dan ook de reden die Symantec opgeeft om haar broncode niet te delen.
Ik zie niet zo goed wat het probleem is aan het inzage geven in broncode.
In Rusland zitten goeie IT'ers, maar ze kunnen niet toveren. Is niet gevaarlijker dan dit "lek".
Het ging mij in de 1e quote dat overheden als betrouwbaar gezien worden..

Dat Symantec niet haar broncode aan Rusland wil laten zien is omdat ze denken dat Rusland fouten die ze vinden voor eigen gewin gebruikt.
Dat lijkt me een hele goede reden om geen software van Symantec te gebruiken.
Alsof er 1 autoriteit is die dat voor het zeggen heeft. Doe meteen even het klimaat verdrag wereldwijd, oh ja en stop de oorlog en hongersnoden nu je toch bezig bent.
Ik zeg niet dat iemand ze moet dwingen, ik denk dat de grote bedrijven vroeg of laat gaan inzien dat ze hun code beter zelf kunnen publiceren. Gewoon puur omdat ze zo meer kunnen verdienen met minder gedoe.
Nee daar is het geen tijd voor. Opensource of closedsource maakt voor iemand die weet waar die mee bezig is geen zak uit, alleen voor 'scriptkiddies' maakt het uit. Het is niet alsof opensource veiliger is, dat is wel gebleken.
Nee daar is het geen tijd voor. Opensource of closedsource maakt voor iemand die weet waar die mee bezig is geen zak uit, alleen voor 'scriptkiddies' maakt het uit. Het is niet alsof opensource veiliger is, dat is wel gebleken.
Voor de "black hats" maakt het weinig uit maar voor de "white hats" maakt het heel veel uit. Vanuit het beveilingsperspectief is het dus alleen maar gunstig om je code vrij te geven. Je verliest er niks aan en misschien win je een hoop.
Hoezo zou het voor een white hat wel uitmaken en voor een blackhat niet? decompileren kan die whitehatter toch ook..... Je wint er juist helemaal niets mee.
Whitehats hebben meer taken dan alleen het zoeken naar gaten.

Als aanvaller hoef je alleen maar gaten te vinden, als verdediger moet je het gat afsluiten. Gaten vinden gaat prima zonder de source, ze oplossen niet.

Om de kwaliteit van programmatuur te beoordelen is de oorspronkelijke source ook veel prettiger dan gedecompileerde code. Soms is het niet nodig om concrete gaten te vinden maar is het al genoeg om te zien dat de structuur zo rot is dat je software beter kan weggooien.

Daarbij gaat het werk van whitehats in praktijk verder dan alleen beveiliging. De meeste whitehats zijn gewoon systeembeheerder of zo en security is maar een deel van hun werk. Ook fouten die geen security issue zijn moeten worden opgelost.

Commentaar van de programmeur, handige variabele namen, structuur. Allemaal zaken waar je de bedoeling van de programmeur uit af kan leiden. Veel programmeerfouten rusten op het feit dat de code iets anders doet dan wat de programmeur denkt.

Vaak is ook niet duidelijk of een bepaalde bug nu ook security-implicaties heeft of niet, soms is de manier om zo'n bug te exploiten bijzonder complex. Daarom kun je maar beter het zekere voor het onzekere nemen en alle bugs patchen, zelfs als het geen beveiligingsprobleem lijkt te zijn.
uhh, een whitehatter heeft helemaal niet meer taken.. Dat is weer afhankelijk van de whitehatter. whitehatter betekend alleen dat je geen slechte bedoelingen hebt ten opzichte van een blackhatter. Niets meer, niets minder.
uhh, een whitehatter heeft helemaal niet meer taken.. Dat is weer afhankelijk van de whitehatter. whitehatter betekend alleen dat je geen slechte bedoelingen hebt ten opzichte van een blackhatter. Niets meer, niets minder.
Theorie en praktijk. Volgens de definitie heb je gelijk maar in werkelijkheid zijn de meeste whitehats niet 100% van hun tijd met hacken bezig maar doen het als onderdeel van een groter takenpakket.
in de praktijk zijn ook niet 100% van de blackhatters hun tijd met hacken bezig..
Waarom ga je er van uit dat black hats de code al hebben? Waarop is die aanname gebaseerd? Je moet als software bedrijf wel rekening mee houden dat black hats code kunnen hebben, maar dat is nog niet hetzelfde dat black hats de code werkelijk zouden hebben, laat staan alle code/genoeg code om daar wat mee te kunnen doen.

[Reactie gewijzigd door kdekker op 26 juni 2017 11:24]

Waarom ga je er van uit dat black hats de code al hebben?
Dat doe ik niet, ik denk dat je iets verkeerd hebt begrepen, of ik heb het verkeerd uitgelegd.

Ik zeg dat het weinig uitmaakt of ze de code hebben of niet, gaten vinden gaat ook zonder de code prima. Let wel, weinig, niet niks. Het is wel degelijk voordelig als ze de code wel hebben. De whitehats hebben de code echter veel harder nodig. De voordelen van code beschikbaar hebben voor whitehats (en anderen) zijn in mijn ogen groter dan het nadeel dat de blackhats toegang tot de code kregen.
Zo is het duidelijker. Sowieso is het maken van exploit op basis van buffer overflows zeer complex (niet weggelegd voor script kiddies).
Tja, de code an sich is natuurlijk niet geheim, daar zit hem het verdienmodel niet in immers.
Zolang jij met een zak met goud aankomt, zal MS heus wel de code aan je geven, met een dikke NDA e.d. erbij. ;)

Door de code opensource te maken, kan iedereen er weliswaar b ij en er aan ontwikkelen, maar kunnen kwaadwillenden dat ook. ;)

[Reactie gewijzigd door CH4OS op 24 juni 2017 13:11]

Ik heb een aantal jaar geleden ook gewoon toegang gehad tot de sourcecode van Windows (nog in de tijd van Vista). Alleen nooit de behoefte gehad om er in te kijken om heel eerlijk te zijn. Destijds kregen Microsoft MVP's de mogelijkheid om de software in een beveiligde omgeving in te zien. Wel gewoon thuis op je eigen computer, maar met speciale software. Screenshots maken was bv niet mogelijk en het beeld was zo gemaakt dat een fotocopy of foto maken lastig was.
Dat is wel erg vreemd. Als het voor het oog leesbaar is is het op te nemen, daar ga je in ieder geval van uit wat betreft veiligheid.
De vraag is dan of de voordelen groter zijn dan de nadelen. Over het algemeen wordt er gedacht dat de "black hats" de broncode niet echt nodig hebben, een gaatje vinden om uit te buiten lukt ook wel zonder, terwijl de "white hats" wel enorm profiteren van inzicht in de broncode.

Dan heb ik het puur over het beveiligingsaspect. Er kunnen ook nog andere aspecten een rol spelen, zoals vertrouwen (dat de software geen gekke dingen doet) of de mogelijkheden om andere software compatible te maken of te integreren.
Met de broncode in handen kunnen kwaadwillenden makkelijker ernstige kwetsbaarheden in het os opsporen en uitbuiten.
Dat kan je dan evengoed van Linux zeggen, waar men altijd heilig van overtuigd is O-) . Zoals eerder vermeld snijdt het mes hier aan 2 kanten. Het verschil met Linux is dat men op basis hiervan verbeteringen kan doorvoeren, maar kwetsbaarheden evenzeer misbruikt kunnen worden en dus kan ik beide gelijkstellen (opensource Linux en de gelekte code) in dit geval. Dat is natuurlijk mijn mening daarover.
Dat kan je dan evengoed van Linux zeggen, waar men altijd heilig van overtuigd is O-)
Dan snap je het probleem niet.

Windows is nooit ontwikkeld met de gedachte dat de broncode vrij in te zien is. Daardoor zijn er veel securityproblemen die 'onder de mat' geschoven zijn. Microsoft kan het zich dus veroorloven om 'security through obscurity' toe te passen.
En als die broncode dan vrijkomt dan levert dat mogelijkiheden om erg vervelende en potentieel OS brekende malware te schrijven. Dit zou zomaar eens de dood van windows 10 kunnen betekenen.
Eerst en vooral, Windows wordt wel degelijk ontwikkeld met het gedachtengoed dat Microsoft het vroeg of laat gewoon allemaal online kan gooien (wat ze met enkele onderdelen ook al hebben gedaan, zoals Chakra). Ten tweede, je "onder de mat"-opmerking is natuurlijk pure onzin. Daarbij is dit lek absoluut niks ernstig en gaat het zeker niet "de dood van Windows 10 betekenen". Nog niet eens een deukje.
Eerst en vooral, Windows wordt wel degelijk ontwikkeld met het gedachtengoed dat Microsoft het vroeg of laat gewoon allemaal online kan gooien (wat ze met enkele onderdelen ook al hebben gedaan, zoals Chakra).
Onderdelen, ja.
Maar welke windows is in zn geheel als broncode beschikbaar? Lijkt me niet dat ze hier van uitgaan.
Verder heeft Chakra volgens mij niks met het OS zelf te maken. Het is een jscript engine die bovenop het OS draait.
Ten tweede, je "onder de mat"-opmerking is natuurlijk pure onzin.
Gezien het soort bugs die mensen tegenkomen in de verschillende windows versies is dit zeker geen onzin. Er worden regelmatig dingen onder de mat geschoven.
Maar welke windows is in zn geheel als broncode beschikbaar? Lijkt me niet dat ze hier van uitgaan.
Ik denk niet dat ze er van uit gaan, maar dat ze er wel rekening mee houden. De algehele trend is dat er steeds meer open source komt en dat we vooral betalen voor dienstverlening en ondersteuning, niet zo zeer voor de software zelf.
Ik ga er van uit dat MS over allerlei toekomstscenario's nadenkt, bv de mogelijkheid dat Linux een directe (gratis) concurrent op de desktop wordt. Dat is nu nog niet echt een grote bedreiging, maar het zou in de toekomst kunnen gebeuren.
Een ander mogelijk scenario is dat mensen niet meer willen betalen voor een OS maar verwachten dat het "gratis" bij iedere computer zit. Voor veel mensen werkt het nu al zo.
Een derde scenario is dat we alles online gaan doen en niemand nog iets van een lokaal OS wil weten.

Zo kan ik er nog wel een paar bedenken.
Als er dan toch geen geld meer verdient kan worden met de verkoop van Windows, dan kun je het misschien beter gratis weggeven en open sourcen.

Ik zeg niet dat het zo zal gaan, maar ik denk dat de strategen van MS weldegelijk met dit soort scenario's rekening houden.
Ik zeg niet dat het zo zal gaan, maar ik denk dat de strategen van MS weldegelijk met dit soort scenario's rekening houden.
Ik denk niet dat ze dit als strategie zien. Mischien voor een verre toekomst. Het wordt denk ik intern wel besproken.
Maar zo te zien is microsofts strategie erop gericht een speeltuin in eigen beheer te hebben. Met windows 10 is de afstand tussen gebruiker en os verder vergroot. Dat suggereert dat microsoft een gesloten platform probeert te maken, a la apple, inclusief een eigen winkel waar je spullen voor hun os kunt kopen, inclusief koppeling naar hun eigen mobile platform.

Een andere belangrijke reden om niet alles te open sourcen is dat ze geinvesteerd hebben in ofwel intern ontwikkelde technologieen ofwel gelicenceerde technologieen die in hun sources zijn opgenomen. Het zou raar zijn om dat werk zomaar open source te maken. Die sources vertegenwoordigen dus werkelijk een stukje vermogen voor microsoft.
Muha, er is wel vaker source code gelekt van de NT kernel bijvoorbeeld. Scheen dat die code echt super netjes geschreven is. Het is geen rommelpotje daar hoor.
Muha, er is wel vaker source code gelekt van de NT kernel bijvoorbeeld.
Ja, en NT wordt nu toch echt niet meer als veilig beschouwd.
Scheen dat die code echt super netjes geschreven is. Het is geen rommelpotje daar hoor.
Nou, een rommelpotje heb ik het ook niet genoemd. En de code wordt ook heel netjes geschreven, anders kan je niet heel veel mensen aan dezelfde code laten werken.

Maar soms zijn er designbeslissingen die niet uitpakken zoals men dat had gewild en wordt de boel met (soms conceptuele) kunstgrepen weer rechtgebreid.
Ook worden er onder druk van backwards compatibility soms rare dingen gedaan die het daglicht niet kunnen verdragen.

Daarnaast is code sowiso al niet bug-vrij te krijgen onder dat soort omstandigheden (deadlines, financiele overwegingen, etc).
Het is een beetje heel rare vergelijking hier om de vrijgekomen code te vergelijken met Linux.

Linux is een kernel.

De source code die nu vrijgekomen is bestaat uit van alles behalve de kernel van Windows.

Het vergelijk is mank. En daarom m.i. de meeste aangedragen argumenten ook.

Kunnen kwaadwillende mensen hier iets mee? Ik betwijfel of dit iets gaat toevoegen aan de kennis die de mensen, die er iets mee zouden kunnen, reeds bezitten.
Ik heb het woord linux geloof ik nergens gebruikt... :*)
Maar op zich wel een valide observatie dat windows uit veel meer bestaat dan een kernel.
Als jij weet dat de vrijgekomen code geen kernelcode bevat dan is een vergelijking met linux kernel inderdaad niet op zn plaats.
Nee hoor, de echte hackers decompileren/debuggen de dll's etc gewoon en gaan dan op zoek naar lekken. Enige voordeel van de broncode is dat je iets makkelijker kunt lezen wat ze bedoelen, maar ook dat is weer afhankelijk van de gebruikte taal en of er bv een obfuscator is gebruikt bij het compileren (hoop .net developers hebben niet door dat je gewoon met variabelennamen de code kunt terughalen als je niet apart een obfuscator gebruikt (die dus niet meegeleverd wordt)).
Enige voordeel van de broncode is dat je iets makkelijker kunt lezen wat ze bedoelen, maar ook dat is weer afhankelijk van de gebruikte taal en of er bv een obfuscator is gebruikt bij het compileren (hoop .net developers hebben niet door dat je gewoon met variabelennamen de code kunt terughalen als je niet apart een obfuscator gebruikt (die dus niet meegeleverd wordt)).
Decompileren brengt lang niet altijd soelaas.
Zeker met talen als C en C++ kan veel afhankelijk zijn van runtime en kan dan lastig te volgen zijn.
Dat er inderdaad mensen zijn die dat allemaal proberen uit te pluizen snap ik. Maar met source code erbij wordt het echt een heel andere bezigheid.
Microsoft doet er alles aan om veilige software te ontwikkelen.
Daarom geloof ik zo niet in onder de mat geschoven beveiligingsproblemen.
Overigens geloof ik ook niet persÚ dat linux beter ontwikkeld is omdat het opensource is. Er is immers weinig structurele code review gefocust op specifieke aspecten (zoals veiligheid), iets wat ze bij Microsoft (en andere softwarehuizen) zeker wel doen. Er leeft in de opensource wereld een beetje het idee dat het open is en er d˙s wel iemand met de nodige kennis naar gekeken zal hebben, dat is jammer genoeg niet altijd zo.
Microsoft doet er alles aan om veilige software te ontwikkelen.
Dat kan helemaal niet. Dan had windows nooit uitgekomen.
Ze doen er alles aan binnen de financiele grenzen die ze hebben gesteld.
En dat betekent dat sommige dingen afgeraffeld zullen worden. Kan niet anders. Is anders niet financieel haalbaar.
Alles binnen hun mogelijkheden ;)
Ik zou je echt willen aanbevelen je in te lezen in de reden waarom nt4 ontwikkeld werd, de sdl en z'n geschiedenis en de werking van de verschillende 'security' afdelingen van Microsoft.
Er wordt geen Únkele lijn code gepubliceerd die niet automatisch getest werd en meerdere code reviews heeft doorstaan.
En toch komen er maandelijks security updates. Het kan dus niet zo zijn dat alles aan de code wordt getest. En dat kan dus ook niet in eindige tijd.
Klopt. Maar dat is toch heel wat anders dan onder de mat schuiven ;)
Nee, dat heb ik ook niet gezegd. Wat dit je wel heel duidelijk zou moeten maken is dat ondanks de rigureuze tests er toch bakken met securityleaks te vinden zijn in de binaries. Ze kunnen eigenlijk vooral de meer triviale problemen vinden met testen.

Daarmee is het dus heel duidelijk dat al dat testen en al die schrijfregeltjes die ze intern hanteren toch niet voor perfecte code zorgen.
Met andere woorden, die testen helpen wel, maar zijn geen absoluut vangnet voor een hoop problemen. Dat kan ook helemaal niet.
Bij complexe software is het onmogelijk voor een testprogramma om het volledige gedrag van een ander programma te voorspellen. Is geloof ik gerelateerd ana het halting probleem.
Dus geautomatiseerde tests hebben hun grenzen en er zijn hele classes problemen die ze niet af kunnen vangen.

En ja, er worden door elke programmeur dagelijks beslissingen genomen die 'onder de mat schuiven' genoemd kunnnen worden. Ze zijn alleen lang niet altijd opzichtig, zelfs voor de programmeur zelf.
Je denkt soms iets slim en makkelijk op te lossen, maar dat blijkt dan een ondetecteerbare securityprobleem op te leveren. Gebeurt best vaak. En bij mij valt dit onder 'onder de mat schuiven' omdat je dan als programmeur verzuimd hebt je probleem en oplossing volledig te formuleren. Had je dat wel gedaan dan kwam je er achter dat je slimme en makkelijke oplossing voor problemen zorgt.
Vergeet niet dat al die unit tests enzo allemaal niet in je hoofd kunnen kijken en conceptuele problemen niet altijd makkelijik kunnen aankaarten. O.a. daarom dat er regelmatig patches moeten plaatsvinden.
Daardoor zijn er veel securityproblemen die 'onder de mat' geschoven zijn. Microsoft kan het zich dus veroorloven om 'security through obscurity' toe te passen.
O-)
Microsoft schuift geen problemen onder de mat...
Dat dat niet wil zeggen dat ze 100% veilige software ontwikkelen heb ik ook nooit beweerd hoor.
Wel dat ze er alles aan doen wat ze kunnen.
EDIT: Never mind, rare gedachtekronkels van mij die nergens op uit leken te draaien. Het is laat. ;p

[Reactie gewijzigd door ChromeBallz op 25 juni 2017 04:28]

Het zal allemaal wel loslopen, volgens mij wordt er veel te spastisch gedaan over die broncode.
Mijn besturingssysteem stond op dag 1 al volledig online en alle broncode is altijd beschikbaar geweest, inclusief alle applicaties. Dusver zijn er geen rampen gebeurd.
Misschien is het naief maar ik verwacht dat MS z'n code wel een beetje op orde heeft en dat er voor aanvallers weinig te halen is. Niet niks, alleen al kennis van hoe het intern precies werkt is veel waard, zelfs als je niet direct gaten vindt. Daar staat tegenover dat als die code inderdaad publiek beschikbaar wordt dat de "good guys" de bugs ook kunnen vinden en aan MS melden.
Mijn besturingssysteem stond op dag 1 al volledig online en alle broncode is altijd beschikbaar geweest, inclusief alle applicaties.
En dat besturingssysteem is dus in de basis al ontwikkeld met de gedachte dat de broncode kan worden ingezien.
Denk dat dat bij windows een stuk minder het geval is.
Dit gaat nog niet eens om bugs, dit gaat om de hele interne infrastructuur van het os. Potentieel met ongedocumenteerde calls etc.
Zal ook bij windows wel meevallen, aangezien voor een hoop dingen externe partijen ook de interne structuur moet kennen. En undocumented calls zijn leuk en aardig, maar de meeste worden redelijk snel door hackers etc gevonden, en als developer moet je sowieso heel voorzichtig zijn om deze calls te gebruiken, want zekerheid dat die in een volgende versie/update nog aanwezig/gelijk is, is maar de vraag.
Dat het voor GNU/Linux prima werkt, betekend natuurlijk niet dat iedereen maar die kant op moet gaan. Daarnaast is GNU/Linux gewoon te klein om er kwaadwillende software voor te gaan schrijven (al is de groep wel groeiende en begint dus potentieel te krijgen). De groep Windows-gebruikers is immers nog altijd vele malen groter en dus interessanter om bijvoorbeeld informatie te harvesten. Ik zie linkshandige computer gebruikers bijvoorbeeld geen GNU/Linux installeren op hun machine. :)

[Reactie gewijzigd door CH4OS op 24 juni 2017 13:13]

hahaha. Dat het het 'klein' is in de particuliere markt wil niet zeggen dat het 'klein' is.
Particuliere systemen zijn sowieso niet interessant voor serieus hack werk. Alleen voor een beetje losgeld.
http://www.zdnet.com/arti...tinues-to-rule-the-cloud/

https://www.forbes.com/si...n-the-cloud/#1ef39381ae50

[Reactie gewijzigd door Conzales op 24 juni 2017 13:32]

De link waar jij naar verwijst, gaat over het gebruik van OS'es in de cloud, geen idee hoe dat verder relevant is, gezien de discussie voornamelijk over desktop (en dus thuisgebruik) ging.

[Reactie gewijzigd door CH4OS op 24 juni 2017 13:30]

Hoe klein is GNU/Linux? Draait zowat op elke webserver die je tegenkomt. Al is GNU/Linux niet sterk vertegenwoordigd bij de thuisgebruiker, deze thuisgebruiker maakt vrijwel altijd gebruik van diensten die wel op GNU/Linux machines draaien, en daarmee indirect wel kwetsbaar mochten er zwakheden in GNU/Linux zitten.
Voor het geval je het nog niet wist, maar nog steeds draaien ook heel veel webservers op windows.
Als ik hier zo kijk https://w3techs.com/technologies/overview/web_server/all zo'n dikke 11% Microsoft-IIS. Volgens deze https://trends.builtwith.com/web-server is het 15% IIS. Veel, okÚ, maar heel veel?
Schijnbaar valt het dus wel mee wat er gelekt is. Was meer voor partners bedoeld dan zo zeer het publiek.

[Reactie gewijzigd door MMaster23 op 24 juni 2017 11:19]

Dat het voor partners bedoeld was, klopt, net alsdat het niet voor het grote publiek bedoeld was.

Maar het was dus kortstondig wel beschikbaar voor iedereen, en nu kunnen dus kwaadwillenden (lees: hackers, schrijvers van exploits etc) er dus mogelijk ook in gaan rondneuzen, en op die manier er mogelijk misbruik van maken.

Het hoeft natuurlijk niet in handen gevallen te zijn van kwaadwillenden, maar de kans is wel degelijk aanwezig. We zullen moeten afwachten of dit in de (nabije) toekomst nog consequenties gaat krijgen in de vorm van exploits en attacks.
De code van de hardware drivers, de USB en Wifi stack en het storage subsysteem is niet echt een klein dingetje.

En bovendien gaat het lek schijnbaar nog verder dan dat, volgens The Register:
In addition to this, top-secret builds of Windows 10 and Windows Server 2016, none of which have been released to the public, have been leaked among copies of officially released versions. The confidential Windows team-only internal builds were created by Microsoft engineers for bug-hunting and testing purposes, and include private debugging symbols that are usually stripped out for public releases.

This software includes, for example, prerelease Windows 10 "Redstone" builds and unreleased 64-bit ARM flavors of Windows. There are, we think, too many versions now dumped online for Microsoft to revoke via its Secure Boot mechanism, meaning the tech giant can't use its firmware security mechanisms to prevent people booting the prerelease operating systems.
Als dat laatste klopt, en The Register geeft op Twitter aan dat ze achter de inhoud van het gehele artikel staan, is praktisch geen enkele Windows installatie meer veilig tenzij Microsoft daadwerkelijk alle bugs heeft gefixed die er in die builds zaten. Voor een ervaren hacker is het immers kinderlijk eenvoudig om een debugger op die builds los te laten en mogelijke exploits te vinden.

Ik zou in ieder geval serieus gaan bekijken in hoeverre het mogelijk is om zakelijk over te stappen op Linux en OSX.

[Reactie gewijzigd door mindcrash op 24 juni 2017 17:10]

The Register
Dus al die sensatie over speciale builds en debug symbols betekent in feite dat het om een paar interne builds gaat? Zijn er niet dagelijks 1760 Windows builds op hun build systeem nu?
Voor een ervaren hacker is het immers kinderlijk eenvoudig om een debugger op die builds los te laten en mogelijke exploits te vinden.
Updaten zoals altijd en het komt wel goed dus? Behalve bij de NHS natuurlijk.
Hoezo zou de openbaring van de broncode tot gevaar leiden?

Security through obscurity is serieus een argument bij closed-source developers...?
Nee, enkel een drempel, geen muur.
Geen weldenkend software bedrijf vertrouwt op security through obscurity.
(Neemt niet weg dat het geen kwaad kan om als extra drempel op te werpen in sommige kritieke delen).
Met de broncode in handen kunnen kwaadwillenden makkelijker ernstige kwetsbaarheden in het os opsporen en uitbuiten.
En goedwillenden kunnen ze ook opsporen. Met openbare broncode snijdt het mes aan twee kanten.
Ook zou de Windows 10 Mobile Adaptation Kit erbij zitten. Die wordt gebruikt om het os draaiende te krijgen op mobiele apparaten.
Ik hoop dat dit gedeelte bij XDA terecht komt. En dat ze er wat mee weten te doen. Al zal het dan wel stuklopen op drivers, maar misschien is daar wel een oplossing voor.
Het kan potentieel inderdaad een gevaar zijn. Al ben ik van mening dat als je computer achter een router/ firewall hangt het gevaar vermindert wordt. Daarnaast gezond verstand is ook belangrijk.

Desondanks hoop ik niet dat grote gevolgen heeft.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*