Kaspersky gaat derde partijen inzage in broncode geven

Beveiligingsbedrijf Kaspersky gaat zogenoemde transparantiecentra opzetten in Europa, Azië en de VS. Derde partijen kunnen hier inzage krijgen in de broncode van software van het bedrijf. Het bedrijf laat zijn broncode volgend jaar onderzoeken door een onafhankelijk bedrijf.

De stap is onderdeel van Kaspersky's Wereldwijde Transparantie Initiatief. In de drie centra kunnen klanten, partners en overheden inzage krijgen in de broncode en andere software. Volgend jaar begint het bedrijf met de oprichting van het eerste centrum, tegen 2020 moeten de faciliteiten in Europa, de VS en Azië geopend zijn.

In het eerste kwartaal van 2018 laat Kaspersky zelf zijn broncode doorlichten door een onafhankelijk bedrijf. Ook software-updates en de detectieregels voor bedreigingen komen onder de loep. In het kwartaal krijgen ook andere praktijken van het bedrijf een onafhankelijke review, zoals de manieren waarop het bedrijf intern data verwerkt. Het van oorsprong Russische bedrijf verhoogt daarnaast de beloning voor het aandragen van ernstige kwetsbaarheden tot honderdduizend dollar.

Kaspersky benadrukt dat dit slechts de eerste fase van zijn initiatief is en dat later, in de tweede helft van 2018, een volgende fase in gang gezet moet worden. Het bedrijf roept partners en klanten op hier input voor te geven. Met de maatregelen hoopt Kaspersky het vertrouwen in zijn software en diensten te herwinnen. "We willen laten zien dat we compleet open en transparant zijn. We hebben niets te verbergen", zegt oprichter Eugene Kaspersky.

Dat vertrouwen liep in de afgelopen maanden een ernstige deuk op, doordat het Amerikaanse Department of Homeland Security het gebruik van Kaspersky-software voor overheidsdiensten verbood vanwege zorgen over de banden van het bedrijf met de Russische overheid. In navolging hierop besloot Best Buy de software niet meer te leveren aan klanten. The Wall Street Journal en The New York Times schreven in de afgelopen weken dat inlichtingendiensten van Israël en de VS na onderzoek tot de conclusie waren gekomen dat Russische hackers via Kaspersky-software geheime documenten hadden weten te stelen. Onder andere NSA-informatie zou via Kaspersky-software gestolen zijn.

De rol die het bedrijf daar zelf in speelde, is niet duidelijk. Kaspersky zelf beweert niet van de Russische activiteiten geweten te hebben en nooit hulp te bieden aan overheidsdiensten bij spionagepraktijken.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 23-10-2017 14:06
68 • submitter: Anonymoussaurus

23-10-2017 • 14:06

68

Submitter: Anonymoussaurus

Lees meer

Kaspersky overweegt Nederland aan te klagen wegens antivirussoftwareverbod
Kaspersky overweegt Nederland aan te klagen wegens antivirussoftwareverbod Nieuws van 13 november 2018
Kaspersky verliest rechtszaken over opheffen van softwareverbod in VS
Kaspersky verliest rechtszaken over opheffen van softwareverbod in VS Nieuws van 31 mei 2018
Kaspersky verplaatst infrastructuur naar Zwitserland - update
Kaspersky verplaatst infrastructuur naar Zwitserland - update Nieuws van 15 mei 2018
Nederlandse Rijksoverheid mag Kaspersky-antivirussoftware niet meer gebruiken
Nederlandse Rijksoverheid mag Kaspersky-antivirussoftware niet meer gebruiken Nieuws van 14 mei 2018
Twitter weert advertenties van Kaspersky
Twitter weert advertenties van Kaspersky Nieuws van 20 april 2018
Kaspersky: mogelijk hadden anderen toegang tot pc van NSA-onderaannemer
Kaspersky: mogelijk hadden anderen toegang tot pc van NSA-onderaannemer Nieuws van 16 november 2017
Kaspersky vond NSA-malware via scan door eigen beveiligingssoftware op privé-pc
Kaspersky vond NSA-malware via scan door eigen beveiligingssoftware op privé-pc Nieuws van 25 oktober 2017
'Israël waarschuwde VS dat Russische hackers via Kaspersky-software spioneerden'
'Israël waarschuwde VS dat Russische hackers via Kaspersky-software spioneerden' Nieuws van 11 oktober 2017
'Hackers stalen NSA-geheimen van thuiscomputer onderaannemer'
'Hackers stalen NSA-geheimen van thuiscomputer onderaannemer' Nieuws van 5 oktober 2017
Rusland kreeg inzage in beveiligingssuite die Pentagon gebruikt
Rusland kreeg inzage in beveiligingssuite die Pentagon gebruikt Nieuws van 2 oktober 2017
Senaat VS verbiedt overheid Kaspersky-software te gebruiken
Senaat VS verbiedt overheid Kaspersky-software te gebruiken Nieuws van 19 september 2017
Amerikaanse regering stopt met gebruik van Kaspersky-software
Amerikaanse regering stopt met gebruik van Kaspersky-software Nieuws van 14 september 2017
VS vraagt overheidsinstanties om inzage in documentatie rondom Kaspersky
VS vraagt overheidsinstanties om inzage in documentatie rondom Kaspersky Nieuws van 29 juli 2017
Meer producten en artikelen
Netwerk en systeembeheer Kaspersky Lab Internet Security Anti-Virus

Reacties (68)

-Moderatie-faq
68
64
38
5
1
19
Wijzig sortering
CAPSLOCK2000
23 oktober 2017 15:16
Goed stap, al denk ik dat we er nog niet zijn. Wat mij betreft is Vrije Software het gewenste einddoel.
Het is ontzettend moeilijk om software te controleren, het is ontzettend moeilijk om te controleren of source en binary bij elkaar horen, het is ontzettend moeilijk om te controleren of een bepaalde binary ook echt op een bepaald apparaat draait.

Er zijn zo ontzettend veel manieren waarop het fout kan gaan dat er in ultimo maar één oplossing is en dat is zelf de broncode (laten) controleren, compileren en installeren. Niet dat iedere huisvader z'n eigen software moet gaan compileren, ik heb het over het leger en de regering en dat soort spelers.
De enige manier om (bijvoorbeeld) te zorgen dat de Russen geen "grapjes" uithalen is de Amerikanen en de Chinezen mee laten kijken. Andersom is software van die andere landen ook alleen te vertrouwen als een aantal andere landen hun goedkeuring er aan heeft gegeven.
Als zowel de Russen, als de Amerikanen, als de Chinezen, als <ieder ander land in de wereld> de software genoeg vertrouwen om deze onveranderd te draaien, dan denk ik dat het wel goed zit. Als een land opeens niet meer mee wil doen, dán moeten we gaan opletten.
Blokker_1999
@CAPSLOCK200023 oktober 2017 18:11
Dan moet je weer vertrouwen op je compiler tenzij je die zelf in assembler gaat schrijven of volledig nakijken. De bijkomende transparantie is leuk, maar ik denk dat we de afgelopen jaren ook voldoende gezien hebben dat open zijn geen garantie is voor goede of veilige code.
CAPSLOCK2000
@Blokker_199923 oktober 2017 18:24
Dan moet je weer vertrouwen op je compiler tenzij je die zelf in assembler gaat schrijven of volledig nakijken.
We doen wat we kunnen, ergens houdt het op. Hopelijk is er een overheid of universiteit die wel z'n eigen assembler schrijft.
De bijkomende transparantie is leuk, maar ik denk dat we de afgelopen jaren ook voldoende gezien hebben dat open zijn geen garantie is voor goede of veilige code.
Garanties zijn er inderdaad niet, ik zie het ook meer als basisvoorwaarde dan als tovermiddel. Zonder Free/OpenSource Software denk ik dat we nooit een goede oplossing vinden.
Ik vergelijk het wel eens met het wetenschappelijke proces. Het wetenschappelijke proces volgen is geen garantie dat je een mooie wetenschappelijke ontdekking doet; maar als je het niet volgt dan is het haast uitgesloten dat je een goed artikel gepubliceerd krijgt. Zelfs als je uit het niks een geweldig idee krijgt dan zul je als nog het wetenschappelijke proces moeten volgen om je idee te bewijzen en anderen te overtuigen van je gelijk.

Het huidige ontwikkelproces is meer als alchemie. Iedereen belooft goud, maar op de een of andere manier komt het nooit uit de kelders van het kasteel.
xorpd @Blokker_199924 oktober 2017 12:14
Ken Thompson's Hack:

1. Create a backdoor in the login command
2. Modify the compiler to include the backdoor in login each time it's compiled
3. Modify the compiler to include the backdoor in the compiler each time it's compiled
litebyte @CAPSLOCK200023 oktober 2017 15:31
Vrije softwware op gebied van veiligheid en communicatie. Je zou eigenlijk een wereldwijde onafhankelijke organisatie moeten hebben die software test op basis van betrouwbaarhedi en veiligheid en er ook een keurmerk aan kan geven.
dwarfangel @litebyte24 oktober 2017 09:31
Altijd leuk, zo'n insteek. Maar het maakt niet op uit op welk niveau je denkt... of het gaat om je eigen familie of overheid, of globaal level: wie controleert de controleur. En ik kan je wel vertellen dat bij een Wereldwijde organisatie, Nederland niet zo heel veel te zeggen heeft.. we mogen dan misschien wel mee aan tafel en onze stem uitbrengen, maar daar houdt het dan ook op.
Wanneer ons eigen leger zelf zijn software zou compileren, vermoed ik dat je minder kosten hebt én meer zeggenschap over hóe en wát er met die software gebeurd. Lijkt mij beter...
groter is niet altijd beter..
dupy @CAPSLOCK200025 oktober 2017 15:25
Je kunt je eigen regering niet eens vertrouwen. Ga je uit van een landsbelang dan zou je moeten stellen dat je Nederlandse data ook in Nederland blijft. Ook hier gaat alles fout. Er moet een overkoepelend orgaan komen welke niet zozeer transparantie nastreven maar veel meer een internationaal claimrecht geven aan een gedupeerd individu waarbij eventueel toegediende cq veroorzaakte schade met fikse boetes, verhaald kunnen worden op overheden en bedrijven. Om ons nu nog druk te maken over privacy? Die "strijd" hebben we al heel lang geleden verloren. Fikse boetes bij ongeoorloofd of slordig gebruik van data is de enige remedie om weer een wat veiliger internet te verkrijgen. De transparantie zou dan kunnen bijdragen in het aanwijzen van de "schuldige".
CAPSLOCK2000
@dupy25 oktober 2017 15:35
Om ons nu nog druk te maken over privacy? Die "strijd" hebben we al heel lang geleden verloren.
Het privacy-probleem is gelukkig (nou ja) deel van een groter probleem. Computerbeveiliging in het algemeen is erg slecht. Dat probleem moeten we sowieso ooit een keer oplossen. Als dat lukt dan wordt het ook weer een stuk makkelijker om serieus met privacy om te gaan.
Niet dat alle problemen dan zijn opgelost, wat Facebook doet heeft niks te maken met gebrekkige beveiliging, maar het helpt een hoop.

Tot we zo ver zijn blijf ik vechten voor privacy. Als we het nu opgeven komt het ook nooit meer terug. Tot op zekere hoogte is het ook zelfverdediging. Als jij niet meer voor de tijger wil wegrennen dan vind ik dat jammer voor jou maar uiteindelijk geeft het mij meer kans om er ongeschonden van af te komen.

Misschien dat er een dag komt dat ik het gevecht ook op geef, maar eerst mogen anderen het uitproberen en dan kijk ik de kat wel uit de boom.
JohnKarma 23 oktober 2017 18:18
Het is mogelijk dat Kaspersky dusdanig goede detectie had dat de NSA tegen de lamp liep door zogenaamde silent signatures, maar het is ook mogelijk dat Kaspersky gebruikt is door de russen voor fourth party collection. Tegelijkertijd is Kaspersky natuurlijk ook gewoon geinfiltreerd door de Israeli's. Het is niet voor het eerst dat de Amerikanen proberen allerlei beveiliging proberen te verzwakken. En blijkbaar is Kaspersky nogal goed in het ontdekken van de geavanceerde NSA malware. Dusdanig goed dat het soms zelfs mogelijk is weerstand te bieden aan de NSA.

"The NSA has long been aware of the potential risk Kaspersky’s cloud capability and silent signatures pose to its own operations. The former intelligence analyst tells The Intercept that during his time in the intelligence community, whenever an NSA hacker encountered a target machine that had Kaspersky software with cloud-reporting capability installed on it, they had to get special permission from a mission director to proceed with the intrusion."

https://theintercept.com/...rsky-software-russia-nsa/

Is er nu meer of minder reden om Kaspersky software te gebruiken. Denk er zelf eens over na zou ik zeggen.
dupy @JohnKarma25 oktober 2017 15:26
Afhankelijk van de persoon in kwestie wordt het meer de vraag: Wie is je grootste "vijand".
dupy @JohnKarma5 november 2017 20:56
Waarom OF OF. Het kan net zo goed EN EN zijn
Verwijderd 23 oktober 2017 14:11
Er zit een best groot verschil tussen een backdoor en een exploit in een antivirus kitje. Een backdoor is een bewust ingebouwd *iets* waardoor toegang eenvoudig kan worden verleend via de software. Een exploit is misbruik maken van een nog niet gemeld of gepatched lek binnenin de antivirus software. Iedere antivirus is eigenlijk kwetsbaar voor zo'n exploit. Gewoon lang genoeg zoeken en een virus schrijven voor je antivirus om het zo te omzeilen.

Dit gebeurd bij ieder pakket, AVG, Windows defender, Norton en noem maar op. Het enige verschil is is dat blijkbaar de overheid gebruik maakte van Kaspersky en kwaadwilligen een exploit blijkbaar hebben gevonden.
locke960 @Verwijderd23 oktober 2017 14:36
Dat is moreel gezien een groot verschil, maar voor Kaspersky maakt het op dit moment niet veel uit.
Als het een backdoor en samenwerking met de Russissche overheid is, is Kaspersky onbetrouwbaar.
Als het een door de Russische overheid uitgebuit lek is, is hun product onbetrouwbaar en ongeschikt voor zijn taak want dit is precies het soort ding dat het zou moeten voorkomen.

Nou zou je met het laatste nog weg kunnen komen want "alle software heeft bugs", maar niet als het om een high profile geval als dit gaat.
Beide mogelijkheden zijn in dit geval dus reputatie killers en kunnen lijden leiden tot de ondergang van Kaspersky.

[Reactie gewijzigd door locke960 op 23 juli 2024 00:11]

CAPSLOCK2000
@locke96023 oktober 2017 18:14
Nou zou je met het laatste nog weg kunnen komen want "alle software heeft bugs", maar niet als het om een high profile geval als dit gaat.
Ik denk dat het een fundamenteel probleem is. Je hebt gelijk dat alle software bugs heeft en dat het heel moeilijk is om vast te stellen of zo'n fout opzet is of niet. Iemand blind vertrouwen dat software goed is kun je dus eigenlijk sowieso niet. Beter is het om systemen zo in te richten dat je zo min mogelijk componenten hoeft te vertrouwen, en zo veel mogelijk kan controleren. (Al is dat makkelijker gezegd dan gedaan).
baz_ @Verwijderd23 oktober 2017 14:17
Wat als de backdoor als vulnerability wordt ingebouwd die vervolgens gebruikt kan worden om toegang tot systemen te krijgen?
twilex @baz_23 oktober 2017 17:08
Dan heet dat een backdoor. 8-)
P1nGu1n 23 oktober 2017 14:10
Opvallend, aangezien Symantec juist 2 weken geleden aankondigde hiermee te stoppen.
Anonymoussaurus @P1nGu1n23 oktober 2017 14:12
Dit zijn derde partijen, niet specifiek overheden. Toch heb je wel gelijk, want de volgende punten worden meegenomen:
  1. Initiating an independent review of the company’s source code by Q1 2018, with similar reviews of the company’s software updates and threat detection rules to follow;
  2. Commencing an independent assessment of (i) the company’s secure development lifecycle processes, and (ii) its software and supply chain risk mitigation strategies by Q1 2018;
  3. Development of additional controls to govern the company’s data processing practices in coordination with an independent party that can attest to the company’s compliance with said controls by Q1 2018;
  4. Formation of three Transparency Centers globally, with plans to establish the first one in 2018, to address any security issues together with customers, trusted partners and government stakeholders; the centers will serve as a facility for trusted partners to access reviews on the company’s code, software updates, and threat detection rules, along with other activities. The Transparency Centers will open in Asia, Europe and the U.S. by 2020;
  5. Increasing bug bounty awards up to $100,000 for the most severe vulnerabilities found under Kaspersky Lab’s Coordinated Vulnerability Disclosure program to further incentivize independent security researchers to supplement the company’s vulnerability detection and mitigation efforts, by the end of 2017.
Bron: https://www.kaspersky.com...l-transparency-initiative

[Reactie gewijzigd door Anonymoussaurus op 23 juli 2024 00:11]

P1nGu1n @Anonymoussaurus23 oktober 2017 14:14
Dit zijn derde partijen, geen overheden.
Dit zijn derde partijen, inclusief overheden:
In de drie centra kunnen klanten, partners en overheden inzage krijgen in de broncode en andere software.
Martinspire @P1nGu1n23 oktober 2017 16:02
Toch heb ik wel het idee dat dit net wat anders gaat dan hoe Symantec dit doet, maar vooralsnog is het bedoelt om openheid van zaken te geven, wat Kaspersky nu hard nodig heeft en Symantec niet meer.
Anonymoussaurus @P1nGu1n23 oktober 2017 14:20
Heb m'n bericht aangepast om het te verduidelijken. Dank.
CAPSLOCK2000
@P1nGu1n23 oktober 2017 15:08
De ironie is dat ik door dit soort acties meer vertrouwen heb ik Kaspersky dan in Symantec.
Het geeft een beetje het "zoals de waard is vertrouwt hij z'n gasten".
kakanox @CAPSLOCK200023 oktober 2017 17:31
Inderdaad, Symantec doet een beetje "af".

Aan de andere kant vind ik het moeilijk te geloven dat een bedrijf in Rusland zo'n bak aan waarde kan hebben (namelijk mogelijke toegang tot de systemen van "concurrerende" landen) en verhoudingsgewijs vrij weinig last van de overheid heeft (ten opzichte van Yandex, Acronis etc.). Als je daar het nieuws een beetje volgt hebben alle wat groteren wel wat gedoe met belastingdienst of andere overheidsinstanties.
Het verhaal van VKontakte is ook wel een interessante, en ook kleine ondernemers lopen nog wel tegen wat vervelende bureaucratie aan die vaak met corruptie te omzeilen is; ondernemen doe je in ieder geval in Moskou nooit alleen :+

Ik zou hoe dan ook altijd kritisch blijven, en dan doel ik op zaken als:
- wie zegt dat de code die ingezien kan worden ook de code is die gecompileerd wordt?
- wat voor compiler wordt er gebruikt (zit daar nog spannende code in)?

etcetera.

[Reactie gewijzigd door kakanox op 23 juli 2024 00:11]

CAPSLOCK2000
@kakanox23 oktober 2017 18:11
Aan de andere kant vind ik het moeilijk te geloven dat een bedrijf in Rusland zo'n bak aan waarde kan hebben (namelijk mogelijke toegang tot de systemen van "concurrerende" landen) en verhoudingsgewijs vrij weinig last van de overheid heeft (ten opzichte van Yandex, Acronis etc.).
Ik denk dat ze wel degelijk last hebben maar erg goed zijn om het stilletjes en binnenkamers op te lossen. Een bedrijf als dit drijft op vertrouwen. Het nieuws dat de overheid alleen al probeert om binnen te komen is al slecht voor dat vertrouwen. Ik denk dat ze hun uiterste best doen omdat soort nieuwtjes zo snel mogelijk in de doofpot te stoppen.
Daarbij is het ook niet handig om te provoceren. Als je van alle daken schreeuwt dat je onkwetsbaar bent voor de overheid dan bestaat het risico dat die overheid het nodig vindt om een voorbeeld te stellen. Dat hoeft niet technisch te zijn, een honkbalknuppel werkt ook...
Verwijderd @CAPSLOCK200023 oktober 2017 20:02
Je weet dat een Russisch bedrijf moet voldoen aan de eisen van de Russische overheid. Heeft aldus niet zoveel te maken met vertrouwen in welk Russisch bedrijf dan ook maar meer met vertrouwen in de Russische overheid.
kakanox @Verwijderd23 oktober 2017 21:37
Mwah, op zich heeft CAPSLOCK2000 wel een punt.
Toch blijft ondernemen in Rusland lastig. Ambtenaren zijn altijd een onzekere factor.

Je kan vrij goed uitzoeken wat die overheid officieel wil (al is het lang niet zo duidelijk als die boekwerken die je hier op o.a. www.belastingdienst.nl vindt), maar onofficieel willen ze nog weleens wat meer, of andere dingen. Als je dan weigert, krijg je plotselinge onderzoeken naar fraude (die je bedrijfsvoering dus half lam leggen), of - erger - je wordt er als directeur uitgebonjourd en je bedrijf wordt overgenomen.

Er valt over de twisten of dat de Russen minder betrouwbaar of juist betrouwbaarder maakt dan de Amerikanen: In de VS zou iets altijd in het geniep gebeuren (de NSA die backdoors probeert te regelen bijv.)
dwarfangel @P1nGu1n24 oktober 2017 09:34
Ze kregen een goede deal van Kaspersky om de centra over te nemen ;)
lvmeijer 23 oktober 2017 14:13
En hoe weet ik of mijn Kaspersky installatie op basis van diezelfde broncode is gecompileerd?
Netrunner @lvmeijer23 oktober 2017 14:16
dat heb ik dus ook altijd haha, heel leuk zon source code showcase. Maar staat die code ook gecompileerd op mijn systeem? geen idee
Verwijderd @Netrunner23 oktober 2017 14:38
Gewoon dit gebruiken https://reproducible-builds.org/. Men kan prima in dat source code center een set tools toelaten om de build van de net gereviewde code te reproducen. Zo kan men de binaries vergelijken met de gepubliceerde binaries.

Gaan de reviewers terug buiten, dan gaan de tools en de binaries en de source code de prullenbak in.

Komen de reviewers binnen, dan laten ze even hun tools (zoals die van reproducible-builds.org) zien en gaan ze aan de slag.

Niets raar aan. Vrij standaard zelfs.

Er zijn ook technieken om binaries te analyseren. Desnoods. Stukjes source naar binary terugvinden is heus te doen. Als er plots een stukje tussenzit waar geen source code voor gevonden kan worden, dan kan men daar een stuk of 100 extra ogen opzetten en bij die 50 mensen een goed boek over assembler op de bureau leggen.
klaw @Verwijderd23 oktober 2017 16:46
Maar als de broncode echt te controleren is is daarmee de kous af? Zou er in het programma (en niet in de broncode) stukken code inzitten die "kwaadaardig" zijn?
Verwijderd @klaw23 oktober 2017 20:57
Het programma en de broncode zijn hetzelfde. Een "programma" is de broncode in gecompileerde vorm. Om te verifiëren of de broncode identiek is aan het programma, heb je reproducable builds.

Is een build reproducable dan kan je telkens opnieuw het identieke programma uit identieke source code halen. Dus als men een programma krijgt, en men krijgt broncode, en men gebruikt een reproducable build; dan zal het resulterende programma, gemaakt aan de hand van de gekregen broncode, identiek zijn aan het reeds gekregen programma. Indien niet, dan was het gekregen programma haar broncode niet identiek aan de broncode die men net kreeg.
Netrunner @Verwijderd24 oktober 2017 08:47
Ah oke, bedankt voor de informatie. Ga ik zeker in mijn bookmarks plaatsen. Nog een vraagje. Wat zou een MD5 Checksum hierin kunnen betekenen?
Verwijderd @Netrunner24 oktober 2017 11:57
Je vergelijkt bv de md5 checksum van de gereproduceerde binary met de opgeleverde binary.
Netrunner @Verwijderd24 oktober 2017 14:31
Maar zou dit dan antwoord kunnen zijn op de vraag met dat ik hiermee kan controleren of dat wat op mijn systeem staat ook overeen komt met wat zij presenteren in hun open source code showcase?
Verwijderd @Netrunner24 oktober 2017 19:29
Precies. Iemand die jij vertrouwt en die toegang heeft tot een reproducable build en source code kan bv. de checksums publiceren. Jij kan daarna van jouw binaries een checksum maken en vergelijken
lvmeijer @Netrunner23 oktober 2017 14:19
Het is misschien een goed idee dat ze er een escrow build verification proces aan koppelen.
Ze moeten de broncode deponeren in een (derden) depot. Op basis van die code wordt inzage toegestaan en worden de builds gemaakt. Die builds moeten verifieerbaar zijn, bijvoorbeeld met Authenticode. Er zijn bedrijven (zoals NCC Group) die dit commercieel aanbieden. Als ze dat niet doen, dan is het een wassen neus.

[Reactie gewijzigd door lvmeijer op 23 juli 2024 00:11]

P1nGu1n @lvmeijer23 oktober 2017 14:16
Simpel, dat weet je niet. Daar moet je op vertrouwen.

[Reactie gewijzigd door P1nGu1n op 23 juli 2024 00:11]

Tjahneee @P1nGu1n23 oktober 2017 14:26
Je kan de code in de review toch compileren en daar een checksum van berekenen en daarna controleren of die overeenkomt met de chechsum van de programma die je dan gaat gebruiken ;)
Blubber @Tjahneee23 oktober 2017 14:59
Je kan de code in de review toch compileren en daar een checksum van berekenen en daarna controleren of die overeenkomt met de chechsum van de programma die je dan gaat gebruiken ;)
Dat gaat helaas niet werken. De kans dat twee verschillende compilers op verschillende computers op de bit nauwkeurig dezelfde code genereren is nihil.

Zie bijvoorbeeld: https://superuser.com/que...-for-bit-identical-binary
xorpd @Blubber24 oktober 2017 12:05
Daar zijn tools (compiler timestamp zero) en instellingen voor (geen random padding).
Blubber @xorpd24 oktober 2017 13:48
Daar zijn tools (compiler timestamp zero) en instellingen voor (geen random padding).
Dat lost het probleem dat verschillende compilers op verschillende computers andere keuzes maken mbt optimalisatie niet op.
xorpd @Blubber24 oktober 2017 13:53
Compilers zijn deterministisch (afgezien van de uitzonderingen die ik hierboven vermeldde), waardoor dezelfde compiler (die trek je natuurlijk uit een image) dezelfde code zal genereren bij dezelfde instellingen (inclusief optimalisaties). Je gaat natuurlijk niet een instelling gebruiken die optimaliseert aan de hand van de host cpu (-mtune=native).
P1nGu1n @Tjahneee23 oktober 2017 14:27
Dan blijf je toch met hetzelfde probleem zitten: je weet nog steeds niet of die checksum berekend is over de gereviewde code
Tjahneee @P1nGu1n23 oktober 2017 14:32
Hoezo, als die chechsum overeenkomt zou het moeten kloppen zeker als je die zelf waar je bij staat met jou software genereert. er is natuurlijk een mogelijkheid voor een collision attack maar met de juiste algoritme is er te weinig rekenkracht hier op aarde om dat uit te voeren.

[Reactie gewijzigd door Tjahneee op 23 juli 2024 00:11]

Verwijderd @P1nGu1n23 oktober 2017 14:34
Dan moet je toelaten dat de reviewer in dat centrum zijn tools gebruikt om één en ander te compileren, en dat die tools ook inzichtbare source code hebben (en zelf te bouwen zijn op controleerbare manier).

Om dit in de open source / Linux wereld te doen heb je https://reproducible-builds.org/

Als hobbyisten het kunnen in de open source wereld, dan moet een waarachtig professioneel groots en geweldig knap beveiligingsbedrijf dat toch ook kunnen? Niet? </sarcasm>
Luno @lvmeijer23 oktober 2017 14:35
Jij niet, ik ook niet.
Maar wees er gerust op dat er instanties zijn die dat wel doen. Al was het maar concurrenten van Kaspersky. , om ... aan te tonen dat...

Dat Symantec dit niet meer wil, is voor mij meer een reden on Symantec te mijden.
Donenzone @lvmeijer23 oktober 2017 15:08
Niet... plus dat product wordt continu geüpdatet, dus op elk moment kan er een backdoor worden gepusht naar specifieke pc's.
Overigens, de signatures van een av-product zijn simpelweg code, dus op die manier kan je ook heel eenvoudig een backdoor plaatsen.
Rudie_V 23 oktober 2017 15:40
Dan moeten onafhankelijke partijen ook de mogelijkheid krijgen de software te compileren en te signen zodat dit vergeleken kan worden met de software die kaspersky dan ter beschikking stelt. De mogelijkheid tot het inkijken in de code is geen garantie dat eventuele backdoors in de uiteindelijke versie alsnog even toegevoegd worden.
MSteverink @Rudie_V23 oktober 2017 16:30
Dan moet je er wel op vertrouwen dat de signs ook daadwerkelijk van de gecompileerde software zijn, en de gecompileerde software ook daadwerkelijk op de source gebaseerd is. Volgens mij verplaats je alleen maar de vertrouwensvraag.
Rudie_V @MSteverink23 oktober 2017 17:06
Hoe bedoel je at precies? Als je als onderzoeker alles zelf in de hand hebt dan is er toch geen twijfel mogelijk. Als onderzoeker kan je de source inkijken, daarna deze source zelf compileren en signen. Hoe verplaats je dan de vertrouwensvraag? Afgezien van een gemanipuleerde machine die onderwater dingen doet die je niet door zou hebben lijkt het mij vrij waterdicht. Deze signs kunnen geopenbaard worden zodat die vergeleken kan worden met versies die kaspersky uitgeeft, als er iets is gewijzigd dan komen de signs niet overeen.
MSteverink @Rudie_V23 oktober 2017 17:22
De onderzoeker weet dan dat de gecompileerde versie overeenkomt met de broncode, en heeft een sign van de gecompileerde versie. Dan is het voor de eindgebruiker, die niet over de broncode beschikt, nog steeds onmogelijk om vast te stellen dat die sign bij de broncode hoort.
Rudie_V @MSteverink23 oktober 2017 17:38
Ik ga er vanuit dat de eindgebruiker, ik neem aan dat je de consument bedoelt, niet onder de noemer 'derde partijen' valt die in dit artikel genoemd worden. Voor die groep blijft het onduidelijk ja, dat klopt. Voor die groep rest slechts vertrouwen in de producent of in de partij die eventueel signs openbaar maakt, als dat zou mogen, al zouden deze signs wel door een andere partij geverifieerd kunnen worden, al moet die ook weer te vertrouwen zijn. Zo blijf je bezig natuurlijk. :)
Het in laten kijken in de source is uiteindelijk ook maar bedoelt voor bepaalde 'derde partijen', ik neem aan overheden, geheime diensten, veiligheidinstanties, misschien ook bedrijven. Ik verwacht niet dat je er als consument ook maar iets aan hebt, al kan je je bedenkingen hebben als bepalde instanties de software opeens niet meer gebruiken na een sourcecode-inzage.
rroovers 23 oktober 2017 18:34
Kaspersky heeft denk ik gewoon te veel van het cybervermogen van de United States en Israel blootgelegd. Daar betalen ze nu de prijs voor. https://en.wikipedia.org/wiki/Equation_Group
Misschien kregen ze hulp van de Russische overheid, misschien ook niet.
xorpd @rroovers24 oktober 2017 12:36
Dat verklaart in ieder geval waarom er 3 zerodays zijn gebruikt om Kaspersky te hacken, die dingen zijn niet bepaald goedkoop.
mphilipp 23 oktober 2017 16:55
Ik vind het allemaal maar hoogst dubieus. De VS haalde zo'n streek ook al uit met Huawei, die zich vervolgens maar van de Amerikaanse markt terugtrok (wat netwerkspul betreft). Ook van Huawei wordt van alles beweerd, maar nog nooit aangetoond. Toch gelooft men de aantijgingen. Hoe convenient, met een producent als Cisco van eigen bodem.

Ook de aantijgingen richting Kaspersky zijn pikant, als je bedenkt dat zij, samen met Symantec (dacht ik) indertijd Stuxnet bekend maakte en daar veel analysewerk aan verrichte. Het huidige klimaat maakt dat de meeste mensen redelijk kritiekloos een dergelijke aantijging voor waar aanneemt. En hoewel de Russische regering niet bepaald een modelregering is, doen zij wat spionage betreft niet veel meer dan andere grootmachten doen. Niet dat dat het goed maakt, maar het is een verhaal van de pot verwijt de ketel.

Wie garandeert mij dat Symantec clean is? Of Norton? Of dat verrotte ding van Microsoft?
morskisrle 23 oktober 2017 17:17
Dat hele gedoe rondom Kaspersky is niets anders dan een voorbeeld van Amerikaanse Rusofobie. Ongelooflijk hoe dom mensen kunnen zijn. Kaspersky gebruikte ik al in 2006 want het was en is een prachtig stuk software als je het met de rest vergelijkt. Als mens het niet wilt gebruiken, prima! Er zijn zat diegenen die de waarde van deze antivirus inzien.
Verwijderd 23 oktober 2017 16:09
Kaspersky heeft nog niet willen zeggen of ze ook de versies uit de lente van dit jaar willen laten onderzoeken. Zonder het slechtste te willen denken, dat is een beetje je huis te laten doorzoeken nadat je een paar maanden hebts kunnen opruimen. Ik ben er zeker van dat er begin volgend jaar geen malware meer in zal zitten maar dat zegt niets over de zware verdenkingen die er nu liggen.

Alleen transparantie van Kaspersky zal antwoord kunnen geven. Ik gok erop dat die niet zal komen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq