Onderzoekers schakelen Intel Management Engine uit via ongedocumenteerde functie

volgens jouw definitie is windows dan geen closed source, want er zijn genoeg partijen (overheden en hardware-leveranciers) die de source mogen inkijken (met NDA's en andere restricties, maar het mag)

De hele wereld kan meekijken, maar het leeuwendeel kijkt niet mee zoals @SunnieNL ook al opmerkt; of kijkt wel maar heeft er de ballen verstand van en weten niet waar ze nou naar kijken. Er zijn relatief niet zo superveel mensen die écht weten waar ze t over hebben en dan bijdragen. Sure, er zijn grote projecten waar veel experts aan bijdragen; maar ook die auditen vaak delen en niet ‘t geheel dus ALLES wat er bij komt kijken. Dat gebeurt weinig, en dan kan je ‘t ook omdraaien: die groep die dat doet, doet dit vaak in eigen tijd als t uitkomt en hebben niet speciaal hiervoor financiële middelen, terwijl een professioneel bedrijf werknemers heeft die niets anders doen dan auditing, hebben daar t geld voor en investeren tevens in krachtige computers om vele simulaties en geautomatiseerde pentests en behaviour analysis uitvoeren. De werknemers worden getraind.

Dus tja, ik denk dat t elkaar weinig ontloopt eigenlijk. De POTENTIE van opensource is, helaas, niet wat we terug zijn in de praktijk. De hele wereld kijkt niet mee, zo simpel is het helaas.

Dat hoef ik niet te doen; maar de hele Open Source community in zijn totaal kan dat wel. Bij Closed Source kan dat niet (reverse engineering kost simpelweg veel teveel tijd. Voor zover al mogelijk).

Dat kan, maar dat t ook echt gebeurt is een tweede, en wat de kwaliteit is (van hun kennis em hoe diep/ver ze gaan) is de derde factor.
Decompilen kost niet al teveel, maar t klopt dat niet iedereen ernaar kan kijken; in hoeverre dat gegeven echter de veiligheid beinvloedt is NOOIT bewezen. In alle onderzoeken komt naar voren dat qua veiligheid en aantal problemen CS en OS niet tot nauwelijks schelen van elkaar, en dat zegt wat.

Als je Closed Source gebruikt, weet je zeker dat de code niet door grote groepen gerenomeerde programmeurs/veiligheidsspecialisten bekeken is. Daarom is Open Source een voorwaarde voor optimale veiligheid.

Nee, dat weet je niet zeker... Dat ligt eraan wie eraan werken en wie het allemaal auditen. En andersom kan ik die stelling ook maken: bij opensource weet je t ook niet zeker dat het door grote groepen, etc. etc.. Dus wederom scheelt dat niet van elkaar. Nogmaals, de potentie van opensource en OS auditing mag je niet 1 op 1 doortrekken alszijnde “dit is ook de situatie in de praktijk.”. Als je t OS project niet vertrouwt, en enige skepsis is altijd gezond, dan moet je...? Het laten auditen! Als je t CS project niet vertrouwt, en enige skepsis is altijd gezond, dan moet je...? Het laten auditen!
Same shit, different day.

Als Closed Source ook door een prof auditing bedrijf laat bekijken (en niet alleen door de community), da's natuurlijk nog beter.

Optimaal is langdurig open source, veel vanuit de community bekeken en vervolgens nog een audit.

Kijk, in perspectief: je hebt verschillende scenario’s:
1) FOSS en niet geaudit
2) CS en niet geaudit
3) FOSS en geaudit
4) CS en geaudit
5) Hybrides, maar die vergeten we ff

1 en 2; Gelijkwaardig, maar mild voordeel voor FOSS
1 en 4: Gelijkwaardig, maar mild voordeel voor CS.
2 en 3: FOSS wint
3 en 4: Gelijkwaardig, maar FOSS heeft een voordeel als de expert community, hopelijk, ook meekijkt. Doen ze dat niet tot nauwelijks dan is het gewoon gelijkspel tussen deze twee.
Noot: dit zegt niets over de veiligheid, enkel iets over risico’s. Immers, een niet-geaudit CS project kan best super veilig zijn terwijl een compleet geaudit FOSS project zo lek als een vaatdoek kan zijn. Het zegt dus enkel iets over risicovermindering dat een lek over t hoofd wordt gezien, maar garanties zijn er niet op veiligheid noch onveiligheid. (Derhalve mijn eerdere punt: CS kan super veilig zijn en FOSS super onveilig; en vice versa, je weet het gewoon NOOIT zeker en daarom ontlopen ze elkaar qua algemene veiligheid totaal niet. Hoe groter het project, hoe groter de gok; zowel bij foss als cs.)

Wat zien we? In optimale omstandigheden wint FOSS vaker op het gebied van laag risico dat een lek over het hoofd wordt gezien. (Wederom: GEEN garanties! Onthoud dat altijd.). Maar drie belangrijke voorwaarden:
- De community MOET actief meedoen en je moet dat kunnen controleren
- De optimale situatie doet zich lang niet zo vaak voor als we willen binnen FOSS
- Zelfs in de optimale situatie worden zaken over het hoofd gezien, waardoor het geen garanties biedt. Dit terwijl in suboptimale situaties bij audits soms juist niets is gemist. (Sure, ook daar worden zaken over t hoofd gezien, maar we moeten t eerlijkheidshalve wél vermelden dat de situatie zich kan voordoen. Het werkt netjes twee kanten op. )
- Een cop-out, maar ik moet hem noemen want het is een feit: FOSS levert niet enkel voordelen op risicobeperking, maar kan ook een risicovergroting zijn! Opensource kan juist averechts werken omdat een aanvaller ook de gehele source kan zien, kan besluiten niets te zeggen en t lek exploiten. Dit kan bij CS 100% ook (vandaar dat ik ook zei dat in de itsec wereld de bron als bonus wordt gezien ipv vereiste , alleen zal daar meer werk inzitten omdat je niet het lek direct kan zien. Dit klinkt haast als “security by obscurity is security!” maar dat zeg ik expliciet niet, want t blijft een beveiligingslek, het is eerder “staying obscure/unnoticed (for a longer period of time than with source access) due to obscurity”. Dus in de ene situatie is FOSS beter en CS vervelender omdat bij CS veiligheidslekken meer moeite kosten om te vinden zonder dat je bron toegang hebt (zoals een audit bedrijf); maar andersom in een andere situatie kan CS beter zijn en FOSS vervelender, juist omdat het makkelijker is om sneller lekken te vinden terwijl dat bij CS meer tijd kost. Snap je wat ik bedoel?

Waardoor je in zijn algemeenheid concluderend, en nogal complex, kan stellen: opensource en closed source doen niet per definitie aan elkaar onder qua veiligheid/betrouwbaarheid, en verlaagd risico is enkel van toepassing als de optimale situatie behaalt wordt, maar zowel bij foss als cs, geaudit of niet, heb je altijd risico en nul garanties.
Zowel FOSS als CS hebben hun voor en nadelen, en je kan derhalve nooit stellen dat FOSS per definitie veiliger of betrouwbaarder is dan CS; want andersom kan t ook prima t geval zijn. Beiden kunnen zowel veilig als onveilig zijn, zonder dat je dat per definitie zeker kan weten of zekerder kan zijn van je zaak (doordat de bron open is). Dat mensen meekijken levert geen substantiële extra veiligheid op by design, en als dat t wel doet dankzij optimum situatie: dan nog komt t weer in evenwicht door de mogelijke nadelen die diezelfde openheid als neveneffect kent. Kortom: ja, open heeft wat mij betreft ondanks de nadelen de voorkeur. Nee de een is nooit per definitie veiliger dan de ander. En als t dus de keuze is tussen een random FOSS project zonder audit en/of weinig community activity: dan is een CS programma gelijkwaardig qua veiligheid, en na audit zelfs superieur. Kies dus altijd met wijsheid en veel research welke software je gaat gebruiken, of t nou FOSS of CS is: bekijk t bewijs, de aanwijzingen en de track record qua veiligheidsproblemen, en maak daarna pas je keus voor t juiste pakket. Is de uitkomst toevallig dat je closed source app wss veiliger is? Kies dan niet voor de open variant puur omdat die open is!!

Ik val in herhaling een stukje hierboven, maar ik kan niet hard genoeg benadrukken dat men zeer voorzichtig moet zijn met de aanname dat FOSS per definitie veilig is of een voorwaarde moet zijn om veiligheid te kunnen behalen.

Dit standpunt zie je trouwens in vrijwel alle onderzoeken naar FOSS vs CS terug. Om verschillende redenen wijzen de statistieken uit dat ze niet onder doen aan elkaar qua veiligheid/betrouwbaarheid, en dat is heel logisch verklaarbaar met o.a. de punten hierboven genoemd. De conclusie is dan ook altijd: foss vs cs? Indefinite. Er kan geen winnaar gekozen worden, het ligt aan meerdere factoren; zoek dus altijd t beste via onderzoek, ongeacht bron toegang of geen bron toegang. En laat het open zijn van de bron je geen vals gevoel van veiligheid geven, en t ontbreken van de bron je geen vals gevoel voor onveiligheid. Je moet gewoon altijd paranoïde zijn en onderzoeken, en dan pas t juiste kiezen; ongeacht de bronstatus.

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 06:50]

Sorry maar dat is schijnveiligheid. Ook in opensource projecten kunnen, soms verrekte slimme, backdoors zitten. Is het risico groter om gepakt te worden? Sure, maar dat is geen reden om aan te nemen dat die backdoor ook (snel) gevonden wordt. Er bestaan geen garanties dat opensource software backdoor of veiligheidslek vrij is. Nogmaals, zie heartbleed. Dat was, voor zover we weten, geen backdoor: maar neem voor de lol eens aan dat dat het wel was. In hoeverre heeft het open zijn van de bron je dan al die jaren dat de bug er in zat beschermd? Dat kan je toch geen garantie noemen? Het is uiteindelijk gelukkig gevonden, maar men vindt ook fouten en beveiligingslekken in closed source software, ook zonder directe toegang tot de bron.

search: debian backdoors en je krijgt gelijk dit:

https://www.google.nl/amp...-is-owned-by-the-nsa/amp/

RedHat en Debian dus uit den boze.

Aanvullend:
Als ik zelf opensource niet kan lezen/gebrijpen kan ik wel iemand inhuren (die ik vertrouw) omdat voor mij te beoordelen.
Desnoods door 2 of 3 onafhankelijke partijen die als het goed is tot dezelfde conclusie komen.
Ik kan closed source alleen laten beoordelen door de leverancier, of op voorwaarden van de leverancier.
Dit vereist 100% blind vertrouwen in de leverancier...., dat betekent dan ook dat die leverancier een rimpelloos trackrecord zou moeten laten zien.

Dat auto's zonder wielen inherent veiliger zijn dat klopt wel, bij dergelijke auto's is een discussie over airbags vrijwel zinloos, sterker nog de triggers die dan een airbag open laten gaan dan wel de zelf ontplooiende airback zijn veel gevaarlijker dan het niet hebben van een airbag.