Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Kaspersky gaat derde partijen inzage in broncode geven

Beveiligingsbedrijf Kaspersky gaat zogenoemde transparantiecentra opzetten in Europa, AziŽ en de VS. Derde partijen kunnen hier inzage krijgen in de broncode van software van het bedrijf. Het bedrijf laat zijn broncode volgend jaar onderzoeken door een onafhankelijk bedrijf.

De stap is onderdeel van Kaspersky's Wereldwijde Transparantie Initiatief. In de drie centra kunnen klanten, partners en overheden inzage krijgen in de broncode en andere software. Volgend jaar begint het bedrijf met de oprichting van het eerste centrum, tegen 2020 moeten de faciliteiten in Europa, de VS en Azië geopend zijn.

In het eerste kwartaal van 2018 laat Kaspersky zelf zijn broncode doorlichten door een onafhankelijk bedrijf. Ook software-updates en de detectieregels voor bedreigingen komen onder de loep. In het kwartaal krijgen ook andere praktijken van het bedrijf een onafhankelijke review, zoals de manieren waarop het bedrijf intern data verwerkt. Het van oorsprong Russische bedrijf verhoogt daarnaast de beloning voor het aandragen van ernstige kwetsbaarheden tot honderdduizend dollar.

Kaspersky benadrukt dat dit slechts de eerste fase van zijn initiatief is en dat later, in de tweede helft van 2018, een volgende fase in gang gezet moet worden. Het bedrijf roept partners en klanten op hier input voor te geven. Met de maatregelen hoopt Kaspersky het vertrouwen in zijn software en diensten te herwinnen. "We willen laten zien dat we compleet open en transparant zijn. We hebben niets te verbergen", zegt oprichter Eugene Kaspersky.

Dat vertrouwen liep in de afgelopen maanden een ernstige deuk op, doordat het Amerikaanse Department of Homeland Security het gebruik van Kaspersky-software voor overheidsdiensten verbood vanwege zorgen over de banden van het bedrijf met de Russische overheid. In navolging hierop besloot Best Buy de software niet meer te leveren aan klanten. The Wall Street Journal en The New York Times schreven in de afgelopen weken dat inlichtingendiensten van Israël en de VS na onderzoek tot de conclusie waren gekomen dat Russische hackers via Kaspersky-software geheime documenten hadden weten te stelen. Onder andere NSA-informatie zou via Kaspersky-software gestolen zijn.

De rol die het bedrijf daar zelf in speelde, is niet duidelijk. Kaspersky zelf beweert niet van de Russische activiteiten geweten te hebben en nooit hulp te bieden aan overheidsdiensten bij spionagepraktijken.

Door

NieuwscoŲrdinator

68 Linkedin Google+

Submitter: AnonymousWP

Reacties (68)

Wijzig sortering
Goed stap, al denk ik dat we er nog niet zijn. Wat mij betreft is Vrije Software het gewenste einddoel.
Het is ontzettend moeilijk om software te controleren, het is ontzettend moeilijk om te controleren of source en binary bij elkaar horen, het is ontzettend moeilijk om te controleren of een bepaalde binary ook echt op een bepaald apparaat draait.

Er zijn zo ontzettend veel manieren waarop het fout kan gaan dat er in ultimo maar ťťn oplossing is en dat is zelf de broncode (laten) controleren, compileren en installeren. Niet dat iedere huisvader z'n eigen software moet gaan compileren, ik heb het over het leger en de regering en dat soort spelers.
De enige manier om (bijvoorbeeld) te zorgen dat de Russen geen "grapjes" uithalen is de Amerikanen en de Chinezen mee laten kijken. Andersom is software van die andere landen ook alleen te vertrouwen als een aantal andere landen hun goedkeuring er aan heeft gegeven.
Als zowel de Russen, als de Amerikanen, als de Chinezen, als <ieder ander land in de wereld> de software genoeg vertrouwen om deze onveranderd te draaien, dan denk ik dat het wel goed zit. Als een land opeens niet meer mee wil doen, dŠn moeten we gaan opletten.
Dan moet je weer vertrouwen op je compiler tenzij je die zelf in assembler gaat schrijven of volledig nakijken. De bijkomende transparantie is leuk, maar ik denk dat we de afgelopen jaren ook voldoende gezien hebben dat open zijn geen garantie is voor goede of veilige code.
Dan moet je weer vertrouwen op je compiler tenzij je die zelf in assembler gaat schrijven of volledig nakijken.
We doen wat we kunnen, ergens houdt het op. Hopelijk is er een overheid of universiteit die wel z'n eigen assembler schrijft.
De bijkomende transparantie is leuk, maar ik denk dat we de afgelopen jaren ook voldoende gezien hebben dat open zijn geen garantie is voor goede of veilige code.
Garanties zijn er inderdaad niet, ik zie het ook meer als basisvoorwaarde dan als tovermiddel. Zonder Free/OpenSource Software denk ik dat we nooit een goede oplossing vinden.
Ik vergelijk het wel eens met het wetenschappelijke proces. Het wetenschappelijke proces volgen is geen garantie dat je een mooie wetenschappelijke ontdekking doet; maar als je het niet volgt dan is het haast uitgesloten dat je een goed artikel gepubliceerd krijgt. Zelfs als je uit het niks een geweldig idee krijgt dan zul je als nog het wetenschappelijke proces moeten volgen om je idee te bewijzen en anderen te overtuigen van je gelijk.

Het huidige ontwikkelproces is meer als alchemie. Iedereen belooft goud, maar op de een of andere manier komt het nooit uit de kelders van het kasteel.
Ken Thompson's Hack:

1. Create a backdoor in the login command
2. Modify the compiler to include the backdoor in login each time it's compiled
3. Modify the compiler to include the backdoor in the compiler each time it's compiled
Vrije softwware op gebied van veiligheid en communicatie. Je zou eigenlijk een wereldwijde onafhankelijke organisatie moeten hebben die software test op basis van betrouwbaarhedi en veiligheid en er ook een keurmerk aan kan geven.
Altijd leuk, zo'n insteek. Maar het maakt niet op uit op welk niveau je denkt... of het gaat om je eigen familie of overheid, of globaal level: wie controleert de controleur. En ik kan je wel vertellen dat bij een Wereldwijde organisatie, Nederland niet zo heel veel te zeggen heeft.. we mogen dan misschien wel mee aan tafel en onze stem uitbrengen, maar daar houdt het dan ook op.
Wanneer ons eigen leger zelf zijn software zou compileren, vermoed ik dat je minder kosten hebt ťn meer zeggenschap over hůe en wŠt er met die software gebeurd. Lijkt mij beter...
groter is niet altijd beter..
Je kunt je eigen regering niet eens vertrouwen. Ga je uit van een landsbelang dan zou je moeten stellen dat je Nederlandse data ook in Nederland blijft. Ook hier gaat alles fout. Er moet een overkoepelend orgaan komen welke niet zozeer transparantie nastreven maar veel meer een internationaal claimrecht geven aan een gedupeerd individu waarbij eventueel toegediende cq veroorzaakte schade met fikse boetes, verhaald kunnen worden op overheden en bedrijven. Om ons nu nog druk te maken over privacy? Die "strijd" hebben we al heel lang geleden verloren. Fikse boetes bij ongeoorloofd of slordig gebruik van data is de enige remedie om weer een wat veiliger internet te verkrijgen. De transparantie zou dan kunnen bijdragen in het aanwijzen van de "schuldige".
Om ons nu nog druk te maken over privacy? Die "strijd" hebben we al heel lang geleden verloren.
Het privacy-probleem is gelukkig (nou ja) deel van een groter probleem. Computerbeveiliging in het algemeen is erg slecht. Dat probleem moeten we sowieso ooit een keer oplossen. Als dat lukt dan wordt het ook weer een stuk makkelijker om serieus met privacy om te gaan.
Niet dat alle problemen dan zijn opgelost, wat Facebook doet heeft niks te maken met gebrekkige beveiliging, maar het helpt een hoop.

Tot we zo ver zijn blijf ik vechten voor privacy. Als we het nu opgeven komt het ook nooit meer terug. Tot op zekere hoogte is het ook zelfverdediging. Als jij niet meer voor de tijger wil wegrennen dan vind ik dat jammer voor jou maar uiteindelijk geeft het mij meer kans om er ongeschonden van af te komen.

Misschien dat er een dag komt dat ik het gevecht ook op geef, maar eerst mogen anderen het uitproberen en dan kijk ik de kat wel uit de boom.
Het is mogelijk dat Kaspersky dusdanig goede detectie had dat de NSA tegen de lamp liep door zogenaamde silent signatures, maar het is ook mogelijk dat Kaspersky gebruikt is door de russen voor fourth party collection. Tegelijkertijd is Kaspersky natuurlijk ook gewoon geinfiltreerd door de Israeli's. Het is niet voor het eerst dat de Amerikanen proberen allerlei beveiliging proberen te verzwakken. En blijkbaar is Kaspersky nogal goed in het ontdekken van de geavanceerde NSA malware. Dusdanig goed dat het soms zelfs mogelijk is weerstand te bieden aan de NSA.

"The NSA has long been aware of the potential risk Kaspersky’s cloud capability and silent signatures pose to its own operations. The former intelligence analyst tells The Intercept that during his time in the intelligence community, whenever an NSA hacker encountered a target machine that had Kaspersky software with cloud-reporting capability installed on it, they had to get special permission from a mission director to proceed with the intrusion."

https://theintercept.com/...rsky-software-russia-nsa/

Is er nu meer of minder reden om Kaspersky software te gebruiken. Denk er zelf eens over na zou ik zeggen.
Afhankelijk van de persoon in kwestie wordt het meer de vraag: Wie is je grootste "vijand".
Waarom OF OF. Het kan net zo goed EN EN zijn
Er zit een best groot verschil tussen een backdoor en een exploit in een antivirus kitje. Een backdoor is een bewust ingebouwd *iets* waardoor toegang eenvoudig kan worden verleend via de software. Een exploit is misbruik maken van een nog niet gemeld of gepatched lek binnenin de antivirus software. Iedere antivirus is eigenlijk kwetsbaar voor zo'n exploit. Gewoon lang genoeg zoeken en een virus schrijven voor je antivirus om het zo te omzeilen.

Dit gebeurd bij ieder pakket, AVG, Windows defender, Norton en noem maar op. Het enige verschil is is dat blijkbaar de overheid gebruik maakte van Kaspersky en kwaadwilligen een exploit blijkbaar hebben gevonden.
Dat is moreel gezien een groot verschil, maar voor Kaspersky maakt het op dit moment niet veel uit.
Als het een backdoor en samenwerking met de Russissche overheid is, is Kaspersky onbetrouwbaar.
Als het een door de Russische overheid uitgebuit lek is, is hun product onbetrouwbaar en ongeschikt voor zijn taak want dit is precies het soort ding dat het zou moeten voorkomen.

Nou zou je met het laatste nog weg kunnen komen want "alle software heeft bugs", maar niet als het om een high profile geval als dit gaat.
Beide mogelijkheden zijn in dit geval dus reputatie killers en kunnen lijden leiden tot de ondergang van Kaspersky.

[Reactie gewijzigd door locke960 op 23 oktober 2017 16:31]

Nou zou je met het laatste nog weg kunnen komen want "alle software heeft bugs", maar niet als het om een high profile geval als dit gaat.
Ik denk dat het een fundamenteel probleem is. Je hebt gelijk dat alle software bugs heeft en dat het heel moeilijk is om vast te stellen of zo'n fout opzet is of niet. Iemand blind vertrouwen dat software goed is kun je dus eigenlijk sowieso niet. Beter is het om systemen zo in te richten dat je zo min mogelijk componenten hoeft te vertrouwen, en zo veel mogelijk kan controleren. (Al is dat makkelijker gezegd dan gedaan).
Wat als de backdoor als vulnerability wordt ingebouwd die vervolgens gebruikt kan worden om toegang tot systemen te krijgen?
Dan heet dat een backdoor. 8-)
Opvallend, aangezien Symantec juist 2 weken geleden aankondigde hiermee te stoppen.
Dit zijn derde partijen, niet specifiek overheden. Toch heb je wel gelijk, want de volgende punten worden meegenomen:
  1. Initiating an independent review of the company’s source code by Q1 2018, with similar reviews of the company’s software updates and threat detection rules to follow;
  2. Commencing an independent assessment of (i) the company’s secure development lifecycle processes, and (ii) its software and supply chain risk mitigation strategies by Q1 2018;
  3. Development of additional controls to govern the company’s data processing practices in coordination with an independent party that can attest to the company’s compliance with said controls by Q1 2018;
  4. Formation of three Transparency Centers globally, with plans to establish the first one in 2018, to address any security issues together with customers, trusted partners and government stakeholders; the centers will serve as a facility for trusted partners to access reviews on the company’s code, software updates, and threat detection rules, along with other activities. The Transparency Centers will open in Asia, Europe and the U.S. by 2020;
  5. Increasing bug bounty awards up to $100,000 for the most severe vulnerabilities found under Kaspersky Lab’s Coordinated Vulnerability Disclosure program to further incentivize independent security researchers to supplement the company’s vulnerability detection and mitigation efforts, by the end of 2017.
Bron: https://www.kaspersky.com...l-transparency-initiative

[Reactie gewijzigd door AnonymousWP op 23 oktober 2017 14:20]

Dit zijn derde partijen, geen overheden.
Dit zijn derde partijen, inclusief overheden:
In de drie centra kunnen klanten, partners en overheden inzage krijgen in de broncode en andere software.
Toch heb ik wel het idee dat dit net wat anders gaat dan hoe Symantec dit doet, maar vooralsnog is het bedoelt om openheid van zaken te geven, wat Kaspersky nu hard nodig heeft en Symantec niet meer.
Heb m'n bericht aangepast om het te verduidelijken. Dank.
De ironie is dat ik door dit soort acties meer vertrouwen heb ik Kaspersky dan in Symantec.
Het geeft een beetje het "zoals de waard is vertrouwt hij z'n gasten".
Inderdaad, Symantec doet een beetje "af".

Aan de andere kant vind ik het moeilijk te geloven dat een bedrijf in Rusland zo'n bak aan waarde kan hebben (namelijk mogelijke toegang tot de systemen van "concurrerende" landen) en verhoudingsgewijs vrij weinig last van de overheid heeft (ten opzichte van Yandex, Acronis etc.). Als je daar het nieuws een beetje volgt hebben alle wat groteren wel wat gedoe met belastingdienst of andere overheidsinstanties.
Het verhaal van VKontakte is ook wel een interessante, en ook kleine ondernemers lopen nog wel tegen wat vervelende bureaucratie aan die vaak met corruptie te omzeilen is; ondernemen doe je in ieder geval in Moskou nooit alleen :+

Ik zou hoe dan ook altijd kritisch blijven, en dan doel ik op zaken als:
- wie zegt dat de code die ingezien kan worden ook de code is die gecompileerd wordt?
- wat voor compiler wordt er gebruikt (zit daar nog spannende code in)?

etcetera.

[Reactie gewijzigd door kakanox op 23 oktober 2017 17:34]

Aan de andere kant vind ik het moeilijk te geloven dat een bedrijf in Rusland zo'n bak aan waarde kan hebben (namelijk mogelijke toegang tot de systemen van "concurrerende" landen) en verhoudingsgewijs vrij weinig last van de overheid heeft (ten opzichte van Yandex, Acronis etc.).
Ik denk dat ze wel degelijk last hebben maar erg goed zijn om het stilletjes en binnenkamers op te lossen. Een bedrijf als dit drijft op vertrouwen. Het nieuws dat de overheid alleen al probeert om binnen te komen is al slecht voor dat vertrouwen. Ik denk dat ze hun uiterste best doen omdat soort nieuwtjes zo snel mogelijk in de doofpot te stoppen.
Daarbij is het ook niet handig om te provoceren. Als je van alle daken schreeuwt dat je onkwetsbaar bent voor de overheid dan bestaat het risico dat die overheid het nodig vindt om een voorbeeld te stellen. Dat hoeft niet technisch te zijn, een honkbalknuppel werkt ook...
Je weet dat een Russisch bedrijf moet voldoen aan de eisen van de Russische overheid. Heeft aldus niet zoveel te maken met vertrouwen in welk Russisch bedrijf dan ook maar meer met vertrouwen in de Russische overheid.
Mwah, op zich heeft CAPSLOCK2000 wel een punt.
Toch blijft ondernemen in Rusland lastig. Ambtenaren zijn altijd een onzekere factor.

Je kan vrij goed uitzoeken wat die overheid officieel wil (al is het lang niet zo duidelijk als die boekwerken die je hier op o.a. www.belastingdienst.nl vindt), maar onofficieel willen ze nog weleens wat meer, of andere dingen. Als je dan weigert, krijg je plotselinge onderzoeken naar fraude (die je bedrijfsvoering dus half lam leggen), of - erger - je wordt er als directeur uitgebonjourd en je bedrijf wordt overgenomen.

Er valt over de twisten of dat de Russen minder betrouwbaar of juist betrouwbaarder maakt dan de Amerikanen: In de VS zou iets altijd in het geniep gebeuren (de NSA die backdoors probeert te regelen bijv.)
Ze kregen een goede deal van Kaspersky om de centra over te nemen ;)
En hoe weet ik of mijn Kaspersky installatie op basis van diezelfde broncode is gecompileerd?
dat heb ik dus ook altijd haha, heel leuk zon source code showcase. Maar staat die code ook gecompileerd op mijn systeem? geen idee
Gewoon dit gebruiken https://reproducible-builds.org/. Men kan prima in dat source code center een set tools toelaten om de build van de net gereviewde code te reproducen. Zo kan men de binaries vergelijken met de gepubliceerde binaries.

Gaan de reviewers terug buiten, dan gaan de tools en de binaries en de source code de prullenbak in.

Komen de reviewers binnen, dan laten ze even hun tools (zoals die van reproducible-builds.org) zien en gaan ze aan de slag.

Niets raar aan. Vrij standaard zelfs.

Er zijn ook technieken om binaries te analyseren. Desnoods. Stukjes source naar binary terugvinden is heus te doen. Als er plots een stukje tussenzit waar geen source code voor gevonden kan worden, dan kan men daar een stuk of 100 extra ogen opzetten en bij die 50 mensen een goed boek over assembler op de bureau leggen.
Maar als de broncode echt te controleren is is daarmee de kous af? Zou er in het programma (en niet in de broncode) stukken code inzitten die "kwaadaardig" zijn?
Het programma en de broncode zijn hetzelfde. Een "programma" is de broncode in gecompileerde vorm. Om te verifiŽren of de broncode identiek is aan het programma, heb je reproducable builds.

Is een build reproducable dan kan je telkens opnieuw het identieke programma uit identieke source code halen. Dus als men een programma krijgt, en men krijgt broncode, en men gebruikt een reproducable build; dan zal het resulterende programma, gemaakt aan de hand van de gekregen broncode, identiek zijn aan het reeds gekregen programma. Indien niet, dan was het gekregen programma haar broncode niet identiek aan de broncode die men net kreeg.
Ah oke, bedankt voor de informatie. Ga ik zeker in mijn bookmarks plaatsen. Nog een vraagje. Wat zou een MD5 Checksum hierin kunnen betekenen?
Je vergelijkt bv de md5 checksum van de gereproduceerde binary met de opgeleverde binary.
Maar zou dit dan antwoord kunnen zijn op de vraag met dat ik hiermee kan controleren of dat wat op mijn systeem staat ook overeen komt met wat zij presenteren in hun open source code showcase?
Precies. Iemand die jij vertrouwt en die toegang heeft tot een reproducable build en source code kan bv. de checksums publiceren. Jij kan daarna van jouw binaries een checksum maken en vergelijken
Het is misschien een goed idee dat ze er een escrow build verification proces aan koppelen.
Ze moeten de broncode deponeren in een (derden) depot. Op basis van die code wordt inzage toegestaan en worden de builds gemaakt. Die builds moeten verifieerbaar zijn, bijvoorbeeld met Authenticode. Er zijn bedrijven (zoals NCC Group) die dit commercieel aanbieden. Als ze dat niet doen, dan is het een wassen neus.

[Reactie gewijzigd door lvmeijer op 23 oktober 2017 14:19]

Simpel, dat weet je niet. Daar moet je op vertrouwen.

[Reactie gewijzigd door P1nGu1n op 23 oktober 2017 14:16]

Je kan de code in de review toch compileren en daar een checksum van berekenen en daarna controleren of die overeenkomt met de chechsum van de programma die je dan gaat gebruiken ;)
Je kan de code in de review toch compileren en daar een checksum van berekenen en daarna controleren of die overeenkomt met de chechsum van de programma die je dan gaat gebruiken ;)
Dat gaat helaas niet werken. De kans dat twee verschillende compilers op verschillende computers op de bit nauwkeurig dezelfde code genereren is nihil.

Zie bijvoorbeeld: https://superuser.com/que...-for-bit-identical-binary
Daar zijn tools (compiler timestamp zero) en instellingen voor (geen random padding).
Daar zijn tools (compiler timestamp zero) en instellingen voor (geen random padding).
Dat lost het probleem dat verschillende compilers op verschillende computers andere keuzes maken mbt optimalisatie niet op.
Compilers zijn deterministisch (afgezien van de uitzonderingen die ik hierboven vermeldde), waardoor dezelfde compiler (die trek je natuurlijk uit een image) dezelfde code zal genereren bij dezelfde instellingen (inclusief optimalisaties). Je gaat natuurlijk niet een instelling gebruiken die optimaliseert aan de hand van de host cpu (-mtune=native).
Dan blijf je toch met hetzelfde probleem zitten: je weet nog steeds niet of die checksum berekend is over de gereviewde code
Hoezo, als die chechsum overeenkomt zou het moeten kloppen zeker als je die zelf waar je bij staat met jou software genereert. er is natuurlijk een mogelijkheid voor een collision attack maar met de juiste algoritme is er te weinig rekenkracht hier op aarde om dat uit te voeren.

[Reactie gewijzigd door Tjahneee op 23 oktober 2017 14:33]

Dan moet je toelaten dat de reviewer in dat centrum zijn tools gebruikt om ťťn en ander te compileren, en dat die tools ook inzichtbare source code hebben (en zelf te bouwen zijn op controleerbare manier).

Om dit in de open source / Linux wereld te doen heb je https://reproducible-builds.org/

Als hobbyisten het kunnen in de open source wereld, dan moet een waarachtig professioneel groots en geweldig knap beveiligingsbedrijf dat toch ook kunnen? Niet? </sarcasm>
Jij niet, ik ook niet.
Maar wees er gerust op dat er instanties zijn die dat wel doen. Al was het maar concurrenten van Kaspersky. , om ... aan te tonen dat...

Dat Symantec dit niet meer wil, is voor mij meer een reden on Symantec te mijden.
Niet... plus dat product wordt continu geŁpdatet, dus op elk moment kan er een backdoor worden gepusht naar specifieke pc's.
Overigens, de signatures van een av-product zijn simpelweg code, dus op die manier kan je ook heel eenvoudig een backdoor plaatsen.
Dan moeten onafhankelijke partijen ook de mogelijkheid krijgen de software te compileren en te signen zodat dit vergeleken kan worden met de software die kaspersky dan ter beschikking stelt. De mogelijkheid tot het inkijken in de code is geen garantie dat eventuele backdoors in de uiteindelijke versie alsnog even toegevoegd worden.
Dan moet je er wel op vertrouwen dat de signs ook daadwerkelijk van de gecompileerde software zijn, en de gecompileerde software ook daadwerkelijk op de source gebaseerd is. Volgens mij verplaats je alleen maar de vertrouwensvraag.
Hoe bedoel je at precies? Als je als onderzoeker alles zelf in de hand hebt dan is er toch geen twijfel mogelijk. Als onderzoeker kan je de source inkijken, daarna deze source zelf compileren en signen. Hoe verplaats je dan de vertrouwensvraag? Afgezien van een gemanipuleerde machine die onderwater dingen doet die je niet door zou hebben lijkt het mij vrij waterdicht. Deze signs kunnen geopenbaard worden zodat die vergeleken kan worden met versies die kaspersky uitgeeft, als er iets is gewijzigd dan komen de signs niet overeen.
De onderzoeker weet dan dat de gecompileerde versie overeenkomt met de broncode, en heeft een sign van de gecompileerde versie. Dan is het voor de eindgebruiker, die niet over de broncode beschikt, nog steeds onmogelijk om vast te stellen dat die sign bij de broncode hoort.
Ik ga er vanuit dat de eindgebruiker, ik neem aan dat je de consument bedoelt, niet onder de noemer 'derde partijen' valt die in dit artikel genoemd worden. Voor die groep blijft het onduidelijk ja, dat klopt. Voor die groep rest slechts vertrouwen in de producent of in de partij die eventueel signs openbaar maakt, als dat zou mogen, al zouden deze signs wel door een andere partij geverifieerd kunnen worden, al moet die ook weer te vertrouwen zijn. Zo blijf je bezig natuurlijk. :)
Het in laten kijken in de source is uiteindelijk ook maar bedoelt voor bepaalde 'derde partijen', ik neem aan overheden, geheime diensten, veiligheidinstanties, misschien ook bedrijven. Ik verwacht niet dat je er als consument ook maar iets aan hebt, al kan je je bedenkingen hebben als bepalde instanties de software opeens niet meer gebruiken na een sourcecode-inzage.
Kaspersky heeft denk ik gewoon te veel van het cybervermogen van de United States en Israel blootgelegd. Daar betalen ze nu de prijs voor. https://en.wikipedia.org/wiki/Equation_Group
Misschien kregen ze hulp van de Russische overheid, misschien ook niet.
Dat verklaart in ieder geval waarom er 3 zerodays zijn gebruikt om Kaspersky te hacken, die dingen zijn niet bepaald goedkoop.
Ik vind het allemaal maar hoogst dubieus. De VS haalde zo'n streek ook al uit met Huawei, die zich vervolgens maar van de Amerikaanse markt terugtrok (wat netwerkspul betreft). Ook van Huawei wordt van alles beweerd, maar nog nooit aangetoond. Toch gelooft men de aantijgingen. Hoe convenient, met een producent als Cisco van eigen bodem.

Ook de aantijgingen richting Kaspersky zijn pikant, als je bedenkt dat zij, samen met Symantec (dacht ik) indertijd Stuxnet bekend maakte en daar veel analysewerk aan verrichte. Het huidige klimaat maakt dat de meeste mensen redelijk kritiekloos een dergelijke aantijging voor waar aanneemt. En hoewel de Russische regering niet bepaald een modelregering is, doen zij wat spionage betreft niet veel meer dan andere grootmachten doen. Niet dat dat het goed maakt, maar het is een verhaal van de pot verwijt de ketel.

Wie garandeert mij dat Symantec clean is? Of Norton? Of dat verrotte ding van Microsoft?
Dat hele gedoe rondom Kaspersky is niets anders dan een voorbeeld van Amerikaanse Rusofobie. Ongelooflijk hoe dom mensen kunnen zijn. Kaspersky gebruikte ik al in 2006 want het was en is een prachtig stuk software als je het met de rest vergelijkt. Als mens het niet wilt gebruiken, prima! Er zijn zat diegenen die de waarde van deze antivirus inzien.
Kaspersky heeft nog niet willen zeggen of ze ook de versies uit de lente van dit jaar willen laten onderzoeken. Zonder het slechtste te willen denken, dat is een beetje je huis te laten doorzoeken nadat je een paar maanden hebts kunnen opruimen. Ik ben er zeker van dat er begin volgend jaar geen malware meer in zal zitten maar dat zegt niets over de zware verdenkingen die er nu liggen.

Alleen transparantie van Kaspersky zal antwoord kunnen geven. Ik gok erop dat die niet zal komen.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Samsung Galaxy S9 Dual Sim OnePlus 6 Battlefield V Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*