Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Kaspersky wil VS inzage in broncode geven om spionagezorgen weg te nemen

Door , 64 reacties

Eugene Kaspersky is bereid om de Amerikaanse autoriteiten inzage te geven in de broncode van zijn beveiligingsproducten om daarmee zorgen weg te nemen dat het bedrijf de software kan gebruiken voor spionage voor de Russische overheid.

De topman van beveiligingsbedrijf Kaspersky Lab zou daarnaast delen van de onderzoeksafdeling willen verhuizen naar de VS, als dat zou helpen het vertrouwen te herstellen en ook toont hij zich bereid om te getuigen bij hoorzittingen. "Ik doe alles om te bewijzen dat we ons niet kwaadaardig gedragen", zegt hij tegen Associated Press.

Kaspersky doet de uitspraken na toenemende zorgen van de Amerikaanse autoriteiten over de banden van het Russische beveiligingsbedrijf met de Russische overheid. De NSA doet onderzoek naar het bedrijf en de FBI bezocht tientallen Kaspersky-medewerkers in de afgelopen weken. Daarnaast ligt er een voorstel van het Amerikaanse Congress dat het gebruik van Kaspersky-software door het Pentagon verbiedt.

Mocht het voorstel aangenomen worden, dan neemt Moskou tegenmaatregelen, liet Rusland vorige week weten volgens Bloomberg. Kaspersky heeft enige bemoeienis van de Russische overheid in zijn bedrijfsvoering altijd ontkend. Deels komen de geruchten voort uit het verleden van Eugene Kaspersky: hij zat op een door de KGB gesponsorde school en werkte voor het Russische ministerie van Defensie.

Olaf van Miltenburg

Nieuwscoördinator

Reacties (64)

Wijzig sortering
De imagoschade die Kaspersky heeft opgelopen door de beweringen van de NSA is toch al niet meer terug te draaien. Veel gebruikers zullen denken: "waar rook is, is vuur" en uitwijken naar een ander pakket.
Door de inzage in de broncode te geven, kan Kaspersky niet alleen de onschuld bewijzen, maar maakt het bedrijf het ook wel heel makkelijk voor de NSA om gebruik te maken van eventuele tekortkomingen.
De schade is inderdaad gedaan. Spyware in welke vorm dan ook is eenvoudig te overscrhrijven met een update. Daarnaast is niet gezegd dat er niet een externe club gebruik zou kunnen maken van kwetsbaarheden in de broncode om alsnog zijn eigen scripts uit te voeren.

Als ze blijkbaar aan de amerikanen de broncode zo makkelijk laten zien, heeft Putin die ook gezien..

toevoeging: wat ik zorgwekkend vind is de ontwikkeling dat overheidorganen in de VS uitspraken doen zonder geldige onderbouwing. Dit volgende hoofdstuk in de soap-serie Trump, zal dit voor het Russische bedrijf een enorme klap zijn. Ik ben benieuwd wat voor staartje dit gaat krijgen.

[Reactie gewijzigd door dwarfangel op 3 juli 2017 09:36]

Er is tot op heden geen sprake van spyware, dus welke schade hebben we het over?

Voor mij zou het daarnaast wel degelijk iets toevoegen dat er inzage geven wordt, want dat geeft echt wel meer duidelijkheid voor de huidige versie.

Dat 'Putin' de code ook kan hebben gezien is niet relevant.

Dat er mogelijk kwetsbaarheden in zitten is ook niet relevant want dat is met alle software.
De schade, is de economische schade omdat mensen door de negatieve berichtgeving in de VS hun abo niet zullen verlengen. Dan kan je praten als een brugman, maar het geeft nooit meer 100% herstel van vertrouwen bij iedereen terug.

Als de software broncode nu schoon is, dan zullen de amerikanen toch niets vinden, en is het dus een schijn-actie. Feit blijft dat wanneer er kwetsbaarheden zitten in de software, de applicatie wel degelijk gebruikt kan zijn als vehicle voor spionage.
Ik denk dat bedrijven die Kaspersky gebruiken zich weinig zorgen maken over wat de VS van Kaspersky vindt.
Wat freaxje zegt.

Als er een wet nodig is om de verantwoordelijken binnen het Pentagon te dwingen Kaspersky niet meer te gebruiken, kun je dat ook opvatten als: Zelfs de militaire top heeft blijkbaar alle vertrouwen in Kaspersky.

Daarnaast krijgen de Amerikanen altijd al zoveel fake news en 'gekleurde' media te zien dat ze niet meer zo snel onder de indruk zijn geruchten — want tot nu toe is dat alles.

Ik kan me zelfs voorstellen dat al deze extra media-aandacht uiteindelijk in het voordeel van Kaspersky werkt, zoals ze nu bezig zijn met openheid van zaken geven en er geen harde bewijzen bij de aantijgingen op tafel komen.
Als ze blijkbaar aan de amerikanen de broncode zo makkelijk laten zien, heeft Putin die ook gezien..
Nou en? Is dat een probleem, dat iemand je broncode heeft ingezien?
Nee hoor.. geen probleem.. kijken mag altijd.. Ik zou niet weten waarom je de broncode niet zou mogen bekijken, als je vervolgens toch niet van plan bent om de software te hacken om je eigen scripts uit te voeren en iedere detectie te omzeilen omdat je precies ziet waar bepaalde delen worden geactiveerd.

Dus nee.. niks mis mee. maar het is wel de reden dat ik geen kaspersky meer zal overwegen... denk dat daar een probleem zit voor hen ;)
Je lijkt te suggereren dat software waarvan de broncode kan gelezen worden, onveilige software hoeft te zijn. Dat is niet zo.

Ik heb de broncode van Kasersky niet gezien, dus kan ik weinig over de kwaliteit er van zeggen. Maar moest de broncode van de virusscanner voor mij inkijkbaar gemaakt worden, wil dat nog niet zeggen dat de virusscanner onveilig wordt.

Voorts wat betreft detectie omzeilen zijn het aantal dingen die kunnen gedetecteerd worden beperkt in aantal. Alles wat beperkt is in aantal, kan stelselmatig onderzocht worden. Om te weten hoe je Kaspersky's virusscanner kan omzeilen hoeft een security-researcher dus geen broncode te zien. Enkel tijd en mankracht. Wanneer het over overheidsgeheimediensten gaat is er zowel tijd als mankracht als de combinatie van de twee als ook de wilskracht om het te onderzoeken en de noodzaak. Dat is dus onderzocht.

Tot slot kan je altijd disassemblen en de code m.b.v. assembler instructies bestuderen. Daar zijn ook handige tools voor die compilers herkennen (en delen terug naar functionele blokjes code kunnen herleiden, en/of functies, loopjes, etc etc kunnen herkennen, en zo verder).
Right, security by obscurity dus. Newsflash: je hoeft broncode niet per se in te kunnen zien om dat soort dingen te vinden. Het maakt het alleen makkelijker, maar niet mogelijk.
Dit is dus een van die gevolgen die je krijgt met dat in het wilde weg slagen van een administratie als die van trump; bedrijven die altijd bij de vooraanstaand zijn geweest als het over security ging (zo zijn er tal van security-pakketten die de engine van kaspersky gebruiken bvb) worden gewoon neergehaald zonder dat ze ook maar iets fout hebben gedaan of dat daar bewijs van is.

Kaspersky toont aan dat ze maar zo open willen zijn als mogelijk en gaan veel verder dan andere security-bedrijven. Wie zegt er bvb dat panda of bullguard geen gegevens aan hun regeringen doorspelen, enkel maar omdat ze niet Russisch zijn? Bovendien; wie verzekert ons momenteel dat een Mcafee of Norton niet met onze privégegevens aan het rommelen is op Amerikaanse bodem?

IPV alle ogen op Kaspersky te richten zouden ze beter ook eens kijken wat er allemaal gebeurt met onze privegegevens (en die van de amerikanen uiteraard). Ik hoop in ieder geval dat Kaspersky hier niet te veel schade aan over houdt, ze verdien dat niet
Inderdaad. Het is alleen wel de vraag hoeveel bedrijven hierop zullen reageren en ben eigenlijk benieuwd wat de Nederlandse overheid gaat doen. Ik weet namelijk dat deze op bepaalde ministeries Kaspersky gebruiken.

Daarnaast vraag ik mij af of het wel echt schade zal leveren. Ik vraag mij namelijk af hoe bedrijven hier op zullen reageren in de US. Vaak volgen deze wel de movements van de overheid.

[Reactie gewijzigd door tom.cx op 3 juli 2017 10:25]

De Nederlandse overheid doet niks, tenzij er duidelijke bewijzen komen dat er iets mis is met het pakket.
De Nederlandse overheid staat er niet bekend om, een vuist te maken tegen de Russen. De overste steen van vlucht MH17 ligt immers nog ook gewoon onder en die blijft daar ook liggen. De woorden van onze overheid zijn helaas al vele decennia groter dan de daden.
Waar zijn die duidelijke bewijzen dan? want ik zie alleen maar veel geschreeuw van Amerika, zonder goeie onderbouwing. Niet dat ik wel weet dat Kaspersky veilig is ofzo, maar totdat er wat onafhankelijk onderzoek is neem ik alle beschuldigingen met een grote korrel zout, als er iemand de boel graag belazerd is het wel Amerika, Rusland is ook zeker geen lieverdje, maar in het beste geval zijn ze even erg, en volgens mij is het eerder dat Amerika de ergste is.
Volgens mij schreef ik ook dat de overheid niets doet, voordat er duidelijke bewijzen zijn en nergens dat er duidelijke bewijzen zijn...
Zullen veel consumenten deze berichtgeving meekrijgen dan?

Zakelijk is het misschien veel zwaarder
Het zijn juist de volume licenties in de zakelijke markt waar ze het van moeten hebben. Consumenten grijpen toch wel veelal terug op gratis alternatieven zoals AVG.
Door de inzage in de broncode te geven, kan Kaspersky niet alleen de onschuld bewijzen, maar maakt het bedrijf het ook wel heel makkelijk voor de NSA om gebruik te maken van eventuele tekortkomingen.
Ten eerste is de broncode niet zo belangrijk als je kwade opzet hebt; als "black hat" hoef je maar één gat te vinden. Voor de verdediging is de broncode veel belangrijker. De verdediging moet alle gaten vinden, snappen wat de programmeur bedoelt en onderzoeken of de code daar ook aan voldoet.

Ik ga er van uit dat de NSA al toegang heeft, zonder medewerking van Kaspersky. Dat kunnen ze alleen niet publiekelijk toegeven. Als de NSA al zou willen helpen dan kunnen ze dat formeel niet. Als ze officieel inzage krijgen in de broncode wel.

Ik denk dat het Kaspersky om het even is of het nu de Russen, de Amerikanen of de Chinezen zijn; er zijn landen met toegang. Ook landen zonder toegang kunnen toch wel gaten vinden in hun product. Als je dan toch één geheime dienst toegang moet geven dan kun je ze maar beter allemaal uitnodigen en ze tegen elkaar uitspelen. Wie een gat vindt moet er van uit gaan dat de andere landen dat gat ook hebben gevonden. In dat geval kun je het maar beter melden zodat het gesloten wordt, anders wordt het alleen maar tegen je gebruikt.
Je gaat er vanuit dat er gaten in zitten en dat die ook gevonden zijn. Kan, maar hoeft natuurlijk niet.

Het is enerzijds altijd de veiligste benadering om uit te gaan van gaten, maar anderzijds heb je daar niet zo veel aan omdat je zonder software van derden niet veel aan je computer hebt.

Je kan het ook zó bekijken: Als er één bedrijf is wat verstand heeft van (anti)virussen, malware en trojans etc. herkennen — en zich er dus goed tegen zou moeten kunnen wapenen — dan is het zo ongeveer Kaspersky wel.
Langs de andere kant: Kaspersky is er vaak als eerste bij om complexe malware bloot te leggen.
Absoluut. Ik was tevreden klant bij Kaspersky, maar gezien de mogelijke link met Rusland ben ik toch overgestapt naar andere AV.
Denk dat je andere AV weer lekken heeft waar de NSA gebruik van kan maken.. Ten zij je een open source AV hebt en alle code zelf doorkijkt ben je nooit helemaal veilig.
Ben al jaren een tevreden gebruiker van Kaspersky en heb zelfs recent mijn abo verlengd voor twee jaar voor 10 apparaten. Het gegeven dat ze hun sourcecode willen laten zien, geeft voor mij aan dat Kaspersky gewoon niks op dit gebied te verbergen heeft.

Ik doe er privé alles aan om mijn machines zo dicht mogelijk te krijgen voor onbevoegden, maar als de NSA mijn machines willen hacken met hun rekencapaciteiten en kennis, dan komen ze toch wel binnen....helaas...
Door de inzage in de broncode te geven, kan Kaspersky niet alleen de onschuld bewijzen
Dit is pertinent onwaar.
Zonder dat je die sources zelf tot een binary kan bakken en de binary met de gereleasde versie(s) kunt vergelijken heb je in feite niet zo veel aan het inzien van sources.
Precies, en dan komt er nog bij dat de NSA (of wat voor Amerikaanse overheids instantie) nu de mogelijkheid heeft zelf versies van Kaspersky software met ingebouwde achterdeuren te gaan verspreiden..

Ik had lekker gezegd 'dan maar geen Kaspersky software verkopen in Amerika', jammer van de misgelopen inkomsten maar zoals jij ook al aanhaalt, de schade is al gedaan, een doorsnee 'patriot' gaat echt niet aan de Kaspersky software.
Door de inzage in de broncode te geven, kan Kaspersky niet alleen de onschuld bewijzen, maar maakt het bedrijf het ook wel heel makkelijk voor de NSA om gebruik te maken van eventuele tekortkomingen.
Want de NSA heeft vast nog geen toegang tot deze broncode...
Kan er ook spionagesoftware toegevoegd worden na de installatie van de broncode? Het kan toch best zijn dat de basis schoon is maar het totaalpakket vervuild?
Vooropgesteld: alles kan natuurlijk, maar als de installatie bijv. de spyware zou downloaden dan is daar toch iets van in de broncode terug te vinden. Als de compiler - zoals hieronder omschreven - spyware zou toevoegen dan zou de hash van het gecompilede bestand niet overeen komen met degene die nu ter download wordt aangeboden. Tenzij de NSA de besmette compiler zou gebruiken en daar niet de broncode van hebben. Nee, met de broncode kom je toch wel een heel eind om te controleren of de software doet wat ie zou moeten doen, en niet meer.
En zelfs zonder hash kan je de source code compileren en dan de object-files terug disassemblen om precies hetzelfde te doen met de gedistribueerde binary. Daarna vergelijk je de twee gedissasembelde resultaten.

Zitten daar grote verschillen in, onderzoek die verschillen dan met argusogen. Dat is immers waarschijnlijk de backdoor code.
Daarna vergelijk je de twee gedissasembelde resultaten.
Ik bouw twee Lego-modellen (executable code). De ene geef ik aan jou, de andere aan iemand anders. Jullie maken allebei een bouwinstructie-boekje (disassemblen). Als die boekjes totaal niet op elkaar lijken, waren de modellen dan verschillend? Of hebben jij en die andere persoon gewoon andere keuzes gemaakt bij het oplossen van een (algorithmisch gezien) zeer lastig probleem en daardoor twee verschillende (maar allebei correcte) oplossingen gevonden voor precies hetzelfde probleem?

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Bij het compilen van code worden gigantische aantallen keuzes gemaakt. Daarna wordt de code geoptimaliseerd, wat voor nog veel grotere verschillen zorgt. Als je precies dezelfde executable krijgt (uiterst onwaarschijnlijk; zie mijn eigen reactie op Aikon), dan ben je meteen klaar en is disassemblen niet nodig. Als je wel gaat disassemblen dan begin je dus per definitie met twee verschillende versies van (mogelijk) hetzelfde programma.

Daarnaast zijn assemblen en disassemblen niet het perfecte tegenovergestelde van elkaar: source code --[assemblen]--> object code --[disassemblen]--> compleet andere source code
(Ter vergelijking, bestanden inpakken en uitpakken is wel echt "tegenovergesteld": ruwe data --[zippen]--> gecomprimeerde data --[unzippen]--> precies dezelfde ruwe data.)

Dus je kunt je wel voorstellen dat als je al begint met twee verschillende programma's en die allebei door een disassembler haalt, dat daar dan sowieso twee compleet verschillende resultaten uitkomen, of de ene nu wel of geen backdoor heeft.

[Reactie gewijzigd door robvanwijk op 4 juli 2017 01:04]

Als de NSA (of in het algemeen, een onderdeel van de Amerikaanse overheid) de code compilet dan komt daar hoe dan ook niet dezelfde executable uit als degene die Kaspersky heeft. Als ze verschillende compilers gebruiken (of verschillende instellingen), dan is het natuurlijk helemaal hopeloos, maar zelfs dezelfde compiler met dezelfde instellingen die je twee keer dezelfde broncode laat compilen zal normaal gesproken twee verschillende resultaten geven; het is opvallend lastig om te garanderen dat je twee identieke files krijgt. Voor meer informatie, google maar eens naar "reproducible builds".

Als de NSA (of wie dan ook) een kopie krijgt van de compiler die Kaspersky zelf gebruikt, dan loop je inderdaad tegen Ken Thompson aan (zie de post van Icekiller2k6 voor details).

Maar misschien wel het grootste probleem: het bovenstaande is volkomen irrelevant. Het artikel zegt alleen "inzage". Dat doet mij vermoeden dat medewerkers van de NSA (of zo) bij Kaspersky op kantoor langs mogen komen (daar hun telefoons, laptops en waarschijnlijk zelfs horloges in moeten leveren) en in een hokje mogen plaatsnemen waar ze, op apparatuur van Kaspersky, de code mogen bestuderen. Daarna gaan ze (zonder aantekeningen, of hooguit met grondig gecontroleerde en goedgekeurde aantekeningen) terug naar huis. Ik geloof er niks van dat Kaspersky bereid is om daadwerkelijk een kopie van hun source code uit handen te geven.
Sterker nog, stel je eens voor dat een compiler spyware injecteert elke keer dat de software gecompiled wordt? De grap is, een nieuwe compiler moet ook compiled worden waardoor je eigenlijk niet van de spyware af kan komen.
http://wiki.c2.com/?TheKenThompsonHack ;)
je kunt in feite niets vertrouwen wat uw PC maakt... :D zelfs al bouw je je pc zelf logic gate per logic gate
Ik had die inderdaad gelezen, wist de naam niet meer en kon daardoor ook niet zo snel de link vinden. Dank :)
Interessant artikel. Maar wat ik uit het artikel haal is juist dat je alleen je pc kunt vertrouwens als je hem zelf met logic gates maakt. Ook lijkt het er op dat als het vermoeden bestaat dat een compiler de KTH bevat, er verschillende truuks kunnen worden uitgevoerd om dit te testen waar het dan praktisch gezien wel uit zal blijken.
Het gaat niet zozeer om het opbouwen uit gates; hoewel het natuurlijk zeker mogelijk is om backdoors in hardware in te bouwen gaat dit verhaal puur over software. Maar als je je zorgen maakt over die kant... er is geen haalbare methode om "100% vertrouwde" hardware te bouwen; wafer scanners worden aangestuurd door computers, dus je zult een computer moeten bouwen zonder een enkele chip erin. "Ik wens je veel succes" om het voorzichtig uit te drukken.

De kern van Thompson's verhaal is dat je (als je om de een of andere reden je hardware vertrouwt) je nog steeds met de hand (bijvoorbeeld via DIP-switches: "schrijf deze waarde naar dit adres"), een op papier geschreven assembler moet invoeren, waarmee je dan een "volwaardige" assembler maakt, waarmee je een rudimentaire compiler maakt, waarmee je een "volwaardige" compiler maakt... en dáármee kun je vervolgens je code compileren. Uiteraard pas nadat je elke regel code (voor zowel de "echte" assembler als de "echte" compiler wil je waarschijnlijk een bestaand project gebruiken) hebt bestudeerd en er zeker van bent dat er geen (goed verstopte) backdoor in de code zit.

Ja, er zijn in de loop der tijd trucs bedacht om te detecteren of de compiler die je gebruikt besmet is met deze hack. Maar van hoeveel leveranciers heb jij code op je systeem draaien? Je maakt mij niet wijs dat die allemaal dat soort voorzorgsmaatregelen hebben genomen.

Waar het vandaag de dag in de praktijk op neerkomt:
  • van geen enkele computer kun je de hardware 100% vertrouwen
  • van geen enkele computer kun je de software 100% vertrouwen
  • we hebben geen flauw idee voor een werkbare oplossing (voor de overheid en grote bedrijven; voor consumenten kun je het sowieso vergeten)
  • er zijn niet zo gek veel mensen die naar zo'n oplossing zoeken

[Reactie gewijzigd door robvanwijk op 4 juli 2017 00:32]

Dat geldt dan ook voor elk Amerikaans software.
Dus Windows verbieden?
Onderzoek, OK. Maar nu, voordat dat is afgerond, al een voorstel om het te verbieden? Dat lijkt me erg voorbarig en laat wel zien hoe paranoïde maar ook vijandig tegenover Rusland de Amerikaanse overheid nog steeds is. Niet alleen de Amerikaanse overigens...
Onderzoek, OK. Maar nu, voordat dat is afgerond, al een voorstel om het te verbieden? Dat lijkt me erg voorbarig en laat wel zien hoe paranoïde maar ook vijandig tegenover Rusland de Amerikaanse overheid nog steeds is. Niet alleen de Amerikaanse overigens...
.
Er zullen wel gerede redenen zijn om zich zorgen te maken.

Iedereen doet hier soms net alsof Rusland zich als land en overheid heel netjes gedraagt.
Rusland is GEEN land met gigantisch veel openheid en vrijheid. Laten we niet vergeten dat er dagelijks oppositieleden worden opgepakt en dat persoonlijke vrijheden slechts heel beperkt zijn.

Sterker nog het land wordt geleid door oligarchen en lijkt in veel opzichten meer op een dictatuur, dan op een vrije democratie. De KGB of wat tegenwoordig dan FSB heet is evenmin een 'frisse' organisatie, Uiteindelijk niets anders dan de NSA met dezelfde doelstellingen om alles van iedereen te willen weten.

Wie denkt dat Rusland een 'braaf' jongetje in de klas is, heeft zijn hoofd in het zand gestoken.

Je kunt het paranoide noemen, maar uiteindelijk is er gewoon een tweede koude oorlog gaande die digitaal wordt uitgevochten. Al die cyberaanvallen van de laatste tijd komen niet van een enkele persoon, maar zijn strak geleid om met opzet grote economische schade aan een land aan te richten. Dat gaat op voor zowel Oost als West. Dus ik wil niets voor één van beide grootmachten iets goedpraten.

Ik denk dat veel mensen zich niet bewust zijn dat er momenteel eigenlijk gewoon een digitale oorlog woedt, die tussen verschillende grootmachten wordt uitgevochten voor economische eigenbelang.

[Reactie gewijzigd door p0pster op 3 juli 2017 08:53]

Vervang Rusland door de Verenigde Staten en je verhaal klopt nog steeds.
Nee want in de VS kan je openlijk demonstreren tegen bijvoorbeeld een Trump, kan een homo gewoon over straat en is er een pers welke niet door de staat wordt gecontroleerd. Het heeft wettelijke middelen om de democratie te beschermen etc. Het is volledig misplaatst om de VS gelijk te zetten met Rusland.

Ik beweeer overigens niet dat de Vs een braaf jongetje is.
kan een homo gewoon over straat
Maar bakkers hebben het recht om geen taart voor zijn bruiloft te maken en zijn werkgever mag hem op staande voet ontslaan. (En als naast zijn seksuele geaardheid ook zijn huidskleur "tegenzit" mag een agent hem zonder aanleiding doodschieten.)
Het heeft wettelijke middelen om de democratie te beschermen
Die dankzij een combinatie van hun twee-partijen-stelsel en "partijbelang voor landsbelang / kiezersbelang" simpelweg niet gebruikt worden.
Vorig jaar weigerde het congres simpelweg om een nieuw lid van het Hooggerechtshof aan te stellen, dat is één van hun grondwettelijke taken, maar ze kwamen er mee weg. Trump lapt de grondwet keihard aan zijn laars (het makkelijkst aan te tonen voorbeeld is het overtreden van "the Emoluments Clause"), maar wordt niet afgezet.
Het is volledig misplaatst om de VS gelijk te zetten met Rusland.
Het is onmogelijk om het zeker te weten, maar ik hou rekening met de mogelijkheid dat we harder gehacked worden door onze "bondgenoot" de VS dan door Rusland. Zijn ze precies gelijk? Nee, dat niet. Maar stinken ze allebei een uur in de wind? Ja, in dat opzicht lijken ze tegenwoordig behoorlijk op elkaar. :(
Dat schrijft hij toch ook? Een JIJ-bak ( https://nl.wikipedia.org/wiki/Tu_quoque ) is niet echt een goede manier om naar Rusland te kijken. Als de een crimineel is, dan is de ander niet ineens onschuldig, maar heb je twee criminelen.
Dat schrijft hij toch ook? Een JIJ-bak ( https://nl.wikipedia.org/wiki/Tu_quoque ) is niet echt een goede manier om naar Rusland te kijken. Als de een crimineel is, dan is de ander niet ineens onschuldig, maar heb je twee criminelen.
Precies - De één is niet braver dan de andere.
Beide grootmachten doen fout, en via slimme PR - fake news - en propaganda wordt de één ook niet ineens een liever jongetje in de klas dan de andere.

Ik vind het zelfs heel dom om het in dit soort kwesties voor de één of de ander op te nemen.
Dat wil dan namelijk zeggen dat je dan je roze bril al op hebt gezet en je oordeel over die andere partij dan al klaar hebt liggen. Je bent dan dus juist al beinvloedt, terwijl je in dit soort zaken juist beide kanten goed moet afwegen.

Het gaat hier uiteindelijk gewoon om een cyberoorlog en spionage is niet iets van vandaag de dag.

[Reactie gewijzigd door p0pster op 3 juli 2017 09:21]

Een les die de politiek hier in west-europa nog niet helemaal geleerd lijkt te hebben, als je ziet hoe slaafs Europa de Verenigde Staten in veel dingen volgt (invasie Irak, invasie Afghanistan etc). Het begint er eindelijk een beetje op te lijken dat Europa z'n eigen blok gaat vormen, maar dat gaat erg langzaam.

En dan heb je nog de generaties van rond en net na WO2 die argumenten gebruiken als 'ja, maar de Amerikanen hebben ons wel bevrijd' of 'zonder de Amerikanen spraken we nu allemaal Russisch' om alles goed te praten. Dat zijn toch nooit redenen om niet meer kritisch te zijn?
Er zullen wel gerede redenen zijn om zich zorgen te maken.
Och komaan, de maker komt niet uit de VS, dat is "reden" genoeg om het niet te vertrouwen. We hebben het hier over het land waar "commentaar op de overheid", "opmerken dat de VS niet perfect is" en "andere landen hebben een betere oplossing voor hetzelfde probleem gevonden; misschien moeten wij hun aanpak overwegen" meteen worden bestempeld als "on-patriottisch" (net één stapje onder "jij vuile terrorist!!!111"). Het land waar je alleen president mag worden als je er geboren bent; er minimaal X jaar wonen, genaturaliseerd zijn en een paspoort hebben is niet genoeg (met andere woorden, een "gij zult discrimineren" clausule in de grondwet...) hoewel dit over het presidentschap gaat heeft het niks met Trump te maken. Het land waar buitenlanders niet voor Nasa of SpaceX mogen werken: raketten zijn wapens en daar kun je buitenlanders "natuurlijk" niet mee vertrouwen (andersom zijn het juist uitsluitend Amerikanen die onze F16s en tanks bouwen).

Persoonlijk ben ik mij niet bewust van een reden om Kaspersky te vertrouwen (ik heb nooit iets gehoord over een onafhankelijke review, met openbare resultaten, van hun source code bijvoorbeeld). Maar ik ben mij ook niet bewust van een reden om Kaspersky te wantrouwen (bij mijn beste weten is er bijvoorbeeld nooit een verband tussen hen en de Russische overheid aangetoond). Dit onderzoek verandert daar niets aan: "waar de VS zegt dat rook is, hoeft echt geen vuur te zijn".
Wie denkt dat Rusland een 'braaf' jongetje in de klas is, heeft zijn hoofd in het zand gestoken.
Ik ben de laatste die dat zal beweren, maar let op dat "Rusland" in die zin een soort van afkorting is voor "de Russische overheid". Dat ze gevestigd zijn in een land met een niet-zo-frisse overheid betekent nog niet dat er iets mis is met Kaspersky zelf. Als je desondanks ("het zekere voor het onzekere") uit voorzorg toch liever een andere leverancier kiest dan is dat natuurlijk jouw goed recht, maar laten we alsjeblieft wel het verschil in het oog houden tussen "voorzorgsmaatregel" en "er is echt iets mis".

Misschien ook goed om te vermelden: Kaspersky is zich er terdege van bewust dat ze op dit moment niet populair zijn, puur omdat ze een Russisch bedrijf zijn. Als er morgen het kleinste flintertje bewijs aan het licht komt over samenwerking tussen de FSB (nieuwe naam KGB) en Kaspersky, dan is overmorgen Kaspersky failliet. Dat meen ik zo letterlijk als het klinkt; kijk maar naar Diginotar hoe snel dat soort dingen kunnen gaan. Van Kaspersky kan ik zo snel even geen voorbeeld vinden, maar hier is wat Mikko Hyppönen (van F-Secure) zegt over dat oude gerucht over antivirus-leveranciers die zelf virussen schrijven: "if you get caught for doing that you're out of the business forever"; ik vermoed dat een vraag over het installeren van backdoors voor een geheime dienst precies hetzelfde antwoord zou krijgen.

[Reactie gewijzigd door robvanwijk op 4 juli 2017 01:53]

Dat geldt voor Rusland tov van de VS ook. De Russische overheid wl ook af van het gebruik van Office.
Als Kaspersky hun inzage geeft op de bron code dan heeft de Amerikaans overheid niks te klagen toch?
Als ze dat voor iedere update doen, geeft het iig een redelijk vertrouwen, maar ik kies al lang voor een pakket dat niet uit de VS of Russische Federatie komt, hoewel dat ook geen zekerheid geeft. Zeker lijkt niets meer op het gebied van software, het enige dat zeker is, is het feit dat ik doodga en naar de WC moet.
Broncode zegt vrij weinig, het gaat om data.
Kaspersky heeft in principe toegang tot enorm veel data van zijn gebruikers, meer dan andere virusscanners, omdat ze op een ingrijpende manier data verzamelen tijdens het surfen. (Via javascript injecties die continue heen en weer verbinding maken met Kaspersky servers. Weet niet of dit nog steeds het geval is, maar Kaspersky was hier flink mee bezig en maakte het de gebruikers moeilijk om deze *feature* uit te schakelen.)
Ik denk niet dat er bedrijven in Rusland zijn die niet in meer of mindere mate *kuch* 'te maken hebben' met de Russische overheid. Die macht is vrijwel totaal of anders. Gezien de lage liquidate-rate onder Kaspersky medewerkers zou ik er ook niet gerust op zijn.

Anderzijds hebben we een land met de Patriot-act die bedrijven kan verplichten iets te doen zonder dat ze dat mogen publiceren. Wellicht zijn de VS gewoon jaloers of missen ze wat toegang.

Het zegt trouwens niets over de kwaliteit of gevaren van de software. Het kan natuurlijk ook zijn dat Rusland het prima vindt dat er een goed pakket komt vanuit de landsgrenzen. Een beetje staatshacker heeft dat ook niet nodig als je al een zwembad aan zero days hebt.

[Reactie gewijzigd door Basszje op 3 juli 2017 09:15]

Veiligheidsdiensten gaan toch -soms- wel subtieler te werk. Subjecten worden ongeneselijk ziek, plegen zelfmoord of er overkomt hun een noodlottig ongeval, als er echt iemand weg moet.
In minder dringende gevallen is het vaak voldoende om met bewijzen te komen dat subjecten slecht omgaan met bedrijfsgegevens of ze chantabel te maken en ze zelf eieren voor hun geld te laten kiezen.
Dat geldt voor de Russen nauwelijks. Denk maar aan de beroemde casus Livenenko met Polonium. Of Nemstov vorig jaar. De regering hoeft nul verantwoording af te leggen, dus geen reden om subtiel te handelen. Het is niet alsof het daar zo in de media komt.

Zelfs hier in Kyiv staat de teller alweer op 2 of 3 dit jaar ( achtergrond - http://foreignpolicy.com/...as-dissidents-in-ukraine/ ) .
'Inzage in broncode' voor beveiligingsdoeleinden heeft alleen nut als de broncode gebruikt kan worden om dezelfde binaries te compileren als die in productie gebruikt worden, en als dit na elke update (die broncode wijzigt) herhaalt wordt. Elk andere manier van werken met broncodeverificatie is een wassen neus.

[edit]
Er is misschien een alternatief. Een fabrikant laat broncode compileren door een notaris. De fabrikant heeft alleen de mogelijkheid om broncode te uploaden en compileeracties te starten. Een notaris kan inzage geven in broncode, bijbehorende binaries en de exacte buildomgeving op verzoek van autoriteiten. Natuurlijk hoeft dit alleen voor releases gedaan te worden en niet voor ontwikkeling.

[Reactie gewijzigd door The Zep Man op 3 juli 2017 08:44]

'Inzage in broncode' voor beveiligingsdoeleinden heeft alleen nut als de broncode gebruikt kan worden om dezelfde binaries te compileren als die in productie gebruikt worden, en als dit na elke update (die broncode wijzigt) herhaalt wordt. Elk andere manier van werken met broncodeverificatie is een wassen neus.
Als je dit onderwerp interessant vind moet je eens wat lezen over "reproducible builds". Zelfs als je de broncode kan compilen hoeft daar nog niet exact hetzelfde uit te komen als wanneer iemand anders compileert, bijvoorbeeld omdat je een andere compiler gebruikt. De Debian Linux distributie heeft zichzelf als doel gesteld om "reproducible builds" te produceren; het is nog niet af maar na een paar jaar werk is een flink deel van die distributie "reproducible".

Dit soort werk is ook erg belangrijk voor medische apparatuur, stemcomputers (yuk), wapentuig, zelfrijdende auto's en andere gevallen waar je de werking van software wil garanderen.
De tijd dat een notaris altijd gelijk staat met integer handelen ligt helaas al ver achter ons.
Ik denk dat integer handelen überhaupt niet bestaat, misschien wel op persoonlijk niveau maar zeker niet op een hele branche.
Waar ik zelf niet aan kan laten te denken is het volgende scenario:
- Kaspersky levert de broncode
- Een Amerikaanse overheids organisatie voegt hier zelf achterdeuren in toe
- Deze aangepaste versie word vervolgens als download aangeboden (via meewerkende sites/ISP's) ipv de echte versie

Oftewel Amerika krijgt hierdoor dus de mogelijkheid om via Kaspersky software mensen in de gaten te gaan houden, zonder dat dit ooit echt zichtbaar kan worden..

Ik had als ik meneer Kaspersky was gewoon gezegd 'dan maar geen Kaspersky voor Amerika', ik snap helemaal dat hij de naam wil zuiveren, maar het gevaar van het delen van de broncode met een land wat consistent de boel belazerd onder het mom terrorisme bestrijding weegt volgens mij niet echt op tegen hoeveel Kaspersky gebruikers er nou echt zijn in Amerika, uiteindelijk zal de doorsnee 'patriot' zich toch niet met Russische software inlaten, dus ik kan me niet echt voorstellen dat er veel inkomsten misgelopen worden.
Daar heeft Amerika geen broncode voor nodig. Dat kan Amerika ook zo aan de binaries toevoegen.
ach ik zie het probleem niet zo...wat maakt het uit wat de motieven zijn!? een regering is toch vrij een pakket te kiezen...of juist niet te kiezen!
Ik ben net overgestapt van Bitdefender Total Security naar Kaspersky Total Security gewoon omdat ik daar meer vertrouwen in heb, gebruik daarnaast Hitman Pro en Hitman Pro Alert en zorg er gewoon voor dat Windows, programma's en drivers 'up to date' zijn!
Verder maak ik geen gebruik van sociale media om het risico op aanvallen te verkleinen en de privacy te vergroten,
De Amerikanen zijn gewoon paranoia omdat ze zelf niet te vertrouwen zijn.
Ik ben net overgestapt van Bitdefender Total Security naar Kaspersky Total Security gewoon omdat ik daar meer vertrouwen in heb, gebruik daarnaast Hitman Pro en Hitman Pro Alert en zorg er gewoon voor dat Windows, programma's en drivers 'up to date' zijn!
Verder maak ik geen gebruik van sociale media om het risico op aanvallen te verkleinen en de privacy te vergroten,
De Amerikanen zijn gewoon paranoia omdat ze zelf niet te vertrouwen zijn.
Wij gebruiken prive al jarenlang Kaspersky. Op het werk gebruiken we Trend Micro. Beide zijn uitstekend.

M.b.t. niet te vertrouwen:

https://www.bleepingcompu...ass-21-security-products/

[Reactie gewijzigd door litebyte op 3 juli 2017 15:56]

Apart, goed natuurlijk dat Kaspersky zo ver wil gaan, maar ik zou zelf een beetje zoiets hebben van 'dan maar geen Kaspersky voor Amerika', uiteindelijk zal de gemiddelde patriottische amerikaan toch geen interesse hebben in het Kaspersky pakket volgens mij?

En hoe zit dat dan met Amerikaanse antivirus pakketten? word de code daarvan dan ook gedeeld met Rusland en Europa? Want ik kan me bijvoorbeeld van Norton van Symantec goed voorstellen dat dat ding de hele tijd info doorstuurt (zou goed verklaren waarom dat pakket altijd zo overdreven veel resources gebruikt)

Mja, raar verhaal, maar hulde voor Kaspersky dat die zo door het stof wil gaan, ik had het niet gedaan.

[Reactie gewijzigd door olivierh op 3 juli 2017 13:50]

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*