Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Bloomberg: Vodafone vond 'verstopte backdoors' in Huawei-apparatuur - update

Vodafone heeft volgens Bloomberg vanaf 2009 kwetsbaarheden gevonden in Huawei-apparatuur die werd gebruikt voor het vaste kabelnetwerk in Italië. Deze kwetsbaarheden hadden Huawei volgens Vodafone ongeautoriseerde toegang kunnen geven tot gevoelige data van gebruikers.

Huawei leverde volgens Bloomberg apparatuur voor de Italiaanse tak van Vodafone. In deze apparatuur zaten wat Bloomberg 'verstopte backdoors' noemt. Deze kwetsbaarheden hadden Huawei volgens het persbureau ongeautoriseerde toegang kunnen geven tot het bekabelde netwerk van Vodafone in Italië. Dit netwerk verleent internetdiensten voor 'miljoenen huishoudens en bedrijven'.

Het probleem zat volgens Bloomberg in de routers die Vodafone geeft aan consumenten. Vodafone zou Huawei in 2011 hebben gevraagd om 'backdoors' te verwijderen die in deze apparatuur zaten. Hoewel Huawei daarna zou hebben gezegd de kwetsbaarheden te hebben gerepareerd, wees verder onderzoek van Vodafone uit dat de kwetsbaarheden nog aanwezig waren. Vodafone zou ook 'backdoors' hebben ontdekt in delen van het vaste netwerk tussen Vodafone en de consument, specifiek in de optical service nodes en de broadband network gateways.

Bloomberg baseert zich op veiligheidsdocumenten van Vodafone uit 2009 en 2011, die het persbureau heeft ingezien. Ook heeft Bloomberg met 'betrokkenen' gesproken en Vodafone zou het bevestigd hebben. Wel zegt Vodafone tegen Bloomberg dat er geen bewijs is dat data onderschept zou zijn. Ook zijn alle veiligheidsproblemen volgens het artikel inmiddels opgelost en is er geen bewijs voor kwetsbaarheden in producten die buiten Italië zijn geleverd. Bloomberg schrijft dat Huawei verklaart in 2011 en 2012 kennis te hebben genomen van de 'historische kwetsbaarheden' en ze destijds te hebben 'aangepakt'.

Bloomberg claimt ook met mensen te hebben gesproken die 'betrokken zijn bij de veiligheidsdiscussies tussen de twee bedrijven'. Zij zeggen dat de kwetsbaarheden na 2012 nog niet waren opgelost en ook aanwezig waren in Huawei-netwerkapparatuur die is geleverd voor de Vodafone-netwerken in het Verenigd Koninkrijk, Duitsland, Spanje en Portugal. Vodafone zou bij Huawei zijn gebleven omdat de diensten 'scherp geprijsd' waren, aldus de anonieme bronnen.

De bronnen zeggen verder dat er 26 bugs in de Huawei-routers zouden zitten. Zes daarvan zouden als kritiek zijn bestempeld, negen als major. Bloomberg noemt specifiek een telnetdienst als kwetsbaarheid. Deze dienst stelt routerproviders in staat 'routers van afstand te besturen'. Deze dienst zou Huawei ongeautoriseerde toegang geven tot 'gevoelige data van gebruikers'.

In een reactie aan Tweakers schrijft Huawei dat het Bloomberg-artikel 'misleidend' is. Volgens woordvoerder Yingying Li ging het destijds om een 'softwarematig probleem'. "Het is iets dat vaak voorkomt bij alle verkopers van hardware en software. Wij hebben het geïdentificeerd en gerepareerd." Tweakers heeft Vodafone om een reactie gevraagd naar aanleiding van het Bloomberg-artikel.

De volledige reactie van Huawei luidt: "We zijn gewezen op kwetsbaarheden uit het verleden, in 2011 en 2012, en die zijn destijds behandeld. Softwarekwetsbaarheden zijn een sectorbrede uitdaging. Zoals elke ict-leverancier hebben we een beproefd procedé voor publieke notificaties en patching. Als een kwetsbaarheid wordt ontdekt, werken we nauw samen met onze partners om de juiste correctieve actie te ondernemen."

Huawei ligt onder een vergrootglas als het gaat om zijn netwerkapparatuur. Volgens de Verenigde Staten kan de Chinese overheid spioneren via deze apparatuur, iets wat door Huawei zelf wordt ontkend. Voor de aanleg van het 5g-netwerk is Huawei een grote speler als het gaat om netwerkapparatuur. Het Nederlandse kabinet heeft nog geen officieel standpunt ingenomen over de vraag of Huawei moet worden uitgesloten van dit netwerk. KPN maakte vorige week nog bekend Huawei-apparatuur te willen gebruiken voor het antenne-netwerk.

Bloomberg publiceerde vorig jaar een omstreden artikel over de plaatsing van hardwarematige backdoors op servermoederborden, waar de Chinese overheid achter zou zitten. De bedrijven waarbij deze spionagechips in servers terecht gekomen zouden zijn ontkenden die claims stellig en verzochten tot intrekking van het artikel. Beveiligingsdeskundigen bekritiseerden de berichtgeving eveneens, onder andere omdat Bloomberg niet genoeg bewijs publiceerde.

Update, 12.38: Vodafone Group schrijft in een reactie dat het Telnet waar Bloomberg naar refereert geen backdoor is. "Met het Telnet-protocol kunnen leveranciers diagnostische functies uitvoeren. Dit protocol wordt door veel leveranciers gebruikt. Deze functie is niet via het internet benaderbaar. Bloomberg is incorrect wanneer het schrijft dat dit protocol ongeautoriseerde toegang tot het vaste, Italiaanse kabelnetwerk had kunnen verlenen aan Huawei. Dit was niets meer dan de vergissing om een diagnostische functie na ontwikkeling te verwijderen. Deze fouten zijn destijds door Huawei opgelost."

Door Hayte Hugo

Stagiair nieuwsredactie

30-04-2019 • 10:51

235 Linkedin Google+

Reacties (235)

Wijzig sortering
In de reactie van Huawei onder het artikel noemen ze het 'historical vulnerabilities', terwijl in het artikel wordt gesproken over backdoors die Huawei zelf, en dus misschien de Chinese overheid, toegang gaf. Dit is dus niet zo maar een vulnerability maar echt een backdoor. Groot verschil.

EDIT: Bedankt voor sommige gedetailleerde reacties, blijkbaar is het genuanceerder dan simpelweg een backdoor. Wie had dat gedacht! :*)

[Reactie gewijzigd door SherlockHolmes op 30 april 2019 12:50]

Toch moet je voorzichtig zijn met deze claim. Een veiligheidslek, zoals Huawei het stelt, is niet perse een backdoor. Een backdoor wordt over het algemeen doelbewust ingebouwd door de developer en ook voor dat doeleinde gebruikt: toegang via een achterdeur. Dat kan voor goed of kwaad zijn. (Denk bij goed aan een methode voor de fabrikant om op consumenten hardware een BIOS-wachtwoord te kunnen verwijderen in de fabriek met een speciale set sleutels, dat is ook een doelbewust ingebouwde backdoor: maar verklaarbaar. Voor absolute veiligheid niet fijn, maar voor de conusment logisch omdat ze anders hun hardware weg kunnen smijten.) Maar een kwetsbaarheid is iets dat ofwel een lek is dat ontstaat door een bug óf inherent is aan het gebruikte protocol/noodzakelijk is om iets voor elkaar te krijgen maar daardoor een window of opportunity ontstaat. In dat laatste geval is het niet per se een backdoor, ook al zou het misschien in sommige situaties en/of onder ideale omstandigheden zo gebruikt kunnen worden. Dat is een probleem dat vaak ontstaat met trade-offs tussen veiligheid en bruikbaarheid om balans te krijgen tussen de twee en dan komt het neer op hoeveel je de vendor vertrouwd.

Dit is echter op zakelijk gebied en als Vodafone het "backdoors" noemt omdat het onverwachte toegang verschaft aan enkel Huawei terwijl ze die toegang helemaal niet zouden moeten hebben, dan snap ik dat idee wel. Maar stel dat Huawei telnet per ongeluk niet uit heeft gezet in een software release terwijl dat intern wel nodig was voor tests. Dan ziet dat er uit als een backdoor, maar is het gewoon een slordige fout waar teveel achter gezocht wordt. (Als er 26 van dat soort bugs inzitten wordt het wel verdacht of geeft het aan dat men de prioriteiten misschien niet zo goed op orde heeft bij QA. :P)

Ik heb geen hoge pet op van Huawei en vertrouw ze ook niet zo (komt vooral door de banden met de Chinese overheid), maar om het direct te bestempelen als backdoor is iets waar je altijd wat voorzichtig mee moet zijn - of ze nou onder een vergrootglas liggen of niet.

Wat wel kwalijk is is het volgende:
"Vodafone zou bij Huawei zijn gebleven omdat de diensten 'scherp geprijsd' waren, aldus de anonieme bronnen.". De tekst en woordkeuze die gesuggereerd wordt vanuit Vodafone stelt dat Vodafone het dus inderdaad zag als doelbewuste backdoors. Als je dat weet en je zo voelt, maar dan toch nog kiest om het te blijven gebruiken vanwege de prijs... *zucht* Dat klinkt als een klassieke "wrong upper management decision". :P En zou roekeloos zijn.


-edit- Trouwens, laten we ook niet vergeten dat Bloomberg wel vaker zaken "backdoors" noemt terwijl anderen dat niet doen of er geen enkel bewijs voor blijkt te zijn. Even kijkend naar die SuperMicro saga een paar maanden geleden, dat laat me dit ook even met een korreltje zout nemen totdat er meer duidelijk over is. :P

[Reactie gewijzigd door WhatsappHack op 30 april 2019 11:29]

Jep. Vraag me af wat dit betekend voor niet alleen Huawei maar ook de positie van Vodafone voor biedingen bij 5G. Als de claims van Bloomberg kloppen dan betekend het dat Vodafone bewust bij een leverancier blijft waarvan men weet dat die achterdeurtjes inbouwt wat een operationeel veiligheidsrisico is (en daarnaast problemen kan opleveren met de overheden van landen waar men infra heeft)
Dit zijn geen keiharde bewijzen dan de chinese geheime dienst in de huawei routers zit.

Weet je waar wel keihard bewijs voor is/was? Dat de NSA backdoors in juniper routers heeft gehad in 2016. Je kent juniper mischien wel omdat die de core van het hele KPN netwerk vormen. Zou je dan KPN ook willen uitsluiten?
Verschil met Juniper is (neem ik aan) dat KPN voortaan voorzichtiger zal zijn en zich niet blind bindt aan Juniper als er alternatieven zijn die net zo goed werken. Vodafone (als het Bloomberg artikel klopt, waar ik nog steeds vraagtekens bij heb, daarom mijn voorbehoud in mijn eerdere reacties) bindt zich aan Huawei vast terwijl men zou weten dat het een veiligheidsrisico betekend, puur vanwege de 'scherpe prijs'.

Overigens lijkt het me verdomd moeilijk om je core netwerk te vervangen, zelfs als ze redundant zijn ingericht.

[Reactie gewijzigd door MicBenSte op 30 april 2019 11:53]

Verschil met Juniper is (neem ik aan) dat KPN voortaan voorzichtiger zal zijn en zich niet blind bindt aan Juniper als er alternatieven zijn die net zo goed werken. Vodafone (als het Bloomberg artikel klopt, waar ik nog steeds vraagtekens bij heb, daarom mijn voorbehoud in mijn eerdere reacties) bindt zich aan Huawei vast terwijl men zou weten dat het een veiligheidsrisico betekend, puur vanwege de 'scherpe prijs'.
Waar baseer je je aanname op? Waarom zeg je dat KPN zich niet blind bindt en Vodafone wel? Beide organisaties weten dat ze in zee gaan met een leverancier die verdacht wordt van spionage. Nu zullen beide organisaties ook wel beweren dat er geen geschikt alternatief was, maar dat zijn smoesjes, uiteindelijk gaat het vooral over geld. Er zijn altijd alternatieven, maar die zijn misschien duurder of langzamer. Het is maar waar je prioriteiten liggen.

Dat gezegd hebbende moet ik even toevoegen dat ik wel vertrouwen heb in het beveiligingsbeleid van KPN, dat is een voorbeeld voor velen.
Nou ik vind kiezen voor een leverancier voor de prijs ondanks onregelmatigheden vind ik een kwalijke zaak. Typische kruideniers mentaliteit zoals bij c2000 en bij KPN. En andere voorbeelden zoals de nsa vind ik niet relevant. Immers het gaat over Huawei en China.
En dat toont voor mij dan weer aan dat de kans klein is dat het om een moedwillig backdoor gaat. Bloomberg toont zich enorm anti Huawei en komt weer met een verhaal dat rammelt.
Ik zit nog steeds te wachten op bewijs in dat hele Bloomberg-verhaal over geheime rijstkorrels op server hardware bij Amazon/Apple e.d. Bloomberg is een club leugenaars, en niets wat ze zeggen is meer geloofwaardig.
Hier moest ik ook meteen aan denken. De reputatie van Huawei staat ter discussie, maar die van Bloomberg niet meer. Die hebben het qua geloofwaardigheid bij mij reeds verbruid.
Idd. Heeft Vodafone dit officieel bevestigd? Dit kan gewoon een soort developer/tester interface zijn die niet correct uit de finale software is gesloopt.

Want Bloomberg = = verkondingen wat de mening en opinies zijn van de grote baas, zonder rekening te houden met de feiten. In ander woorden, staat vaak vol ideologische rotzooi en is absoluut niet objectief. En Huawei is slecht is hun baas zijn persoonlijke agenda...
Ja Huawei=Chinese overheid zijn engeltjes en China is niet bezig met wereld overheersing🤔
Het is een beetje: Wie geloof je ? De duivel, of z'n broer ?

Amerika heeft dezelfde mogelijkheden én belangen als China. Beide landen hebben in het verleden bewezen geen middel onbeproefd te laten als het om invloed en (economische) macht gaat.

Het is de consument zélf die ook het nodige moet doen en niet zomaar álles het net op slingeren.
Industriële geheimen versleutel je voordat je ze verstuurd. Passwords wissel je vaak genoeg en een gevonden USB-stick stop je niet in je PC.

En dan nóg moet je er vanuit gaan dat er iemand mee kijkt.

In 95% van de gevallen kan het me geen ene moer schelen dat iemand mijn verkeer bekijkt, maar in die overige gevallen ben ik zelf evenzeer verantwoordelijk als mijn provider en de leverancier van mijn hardware en die van de Telco....
Met als verschil dat China een dictatuur heeft en bedrijven bij wet verplicht data en technieken beschikbaar te geven.
Het zou mooi zijn als er een investigatory organisation een "follow the money" bij Bloomberg zou doen. Dat zou in elk geval duidelijkheid kunnen geven of ze bepaalde motieven hebben.
Zoals een eigenaar die nog steeds schijnt te overwegen een run om het presidentschap te starten? :+
vertrouw ze ook niet zo (komt vooral door de banden met de Chinese overheid)
Je vertrouwt bedrijven zoals Cisco wel met hun banden met de Amerikaanse overheid?
In de routers van Cisco en Juniper zijn backdoors gevonden...
Bijvoorbeeld:
'Backdoors Keep Appearing In Cisco's Routers'
Linkje

'Malicious Cisco router backdoor found on 79 more devices, 25 in the US'
Linkje

'Researchers Solve Juniper Backdoor Mystery; Signs Point to NSA'
Linkje
Je hoeft beide natuurlijk niet te vertrouwen, het lijkt erop dat @WhatsappHack hier wel netjes objectief blijft.

Maar je punt is zeker valide. Een Europese oplossing zou het beste zijn imo.
Wat zou er goed zijn aan een Europese oplossing? Daarvan kan net zo goed verzonnen worden dat het backdoors bevat.

Simpel feit : De enige aangetoonde backdoors zaten in Amerikaanse hardware, de andere zijn nooit bewezen...
Oftewel waarom niet gewoon de chineze pakken ipv zelf iets te gaan ontwikkelen en dan een Bloomberg artikel daarover te krijgen?
Wie zegt dat de andere niet bewezen zijn?

Inlichtingendiensten doen geen uitspraken over hun bevindingen, er zullen echt zat bewijzen zijn maar dat het niet op het NOS journaal komt betekent niet dat het niet bestaat.
Tja, en op allerlei conspiracy websites hebben ze allerlei bewijzen voor dat Kennedy door Aliens is vermoord en 9/11 zelf gedaan is etc. etc.

In normaal taalgebruik is iets bewezen als het algemeen bewezen is, niet slechts door een klein groepje mensen met direct belang erbij...
Wat is dat nou weer voor bizarre vergelijking?

Ik heb het over inlichtingendiensten, niet over de hersenkronkels van mensen die aan de lopende band hun fantasie verkondigen als de waarheid eventueel ingegeven door psychische stoornissen.

Een klein verschil.
Nee, jij hebt het over informatie die inlichtingendiensten zouden kunnen hebben maar niet delen.

Dat is exact wat alle conspiracy freaks ook beweren, de bewijzen zijn er wel alleen ze komen niet op het NOS-journaal.

Zolang het niet gedeeld wordt is het onbekend en dus niet bewezen.
stt... iedereen zou moeten weten dat Kennedy vermoord is omdat hij...

- CIA/FBI wilde sluiten.
- Het volk en de media oproepte op het nieuws als nieuws te brengen en niet het fake nieuws wat je nu ziet. wat dus beheerd en gecontroleerd wordt door de machtigste der aarde.
- De New Order wilde stoppen en de kinderhandel/misbruik wilde tegen gaan.

Om een paar belangrijke redenen te noemen.
Gewoon vermoord door zijn eigen overheid dus.
Je hebt gelijk! Wat te denken van de backdoor der backdoors? De Intel management engine? Elke intel CPU heeft deze backdoor en kan diegene die weet hoe, totale controle geven over je computer.

Dit is echt gigantisch groot.
https://www.techrepublic....gement-engine-a-backdoor/

Dit moet ook de voornaamste reden zijn waarom China nu sterk inzet op de ontwikkeling van hun eigen processors voor cruciale infrastructuur en supercomputers. https://en.wikipedia.org/wiki/Loongson
In het artikel waar je naar linkt zijn ze bij lange na niet zo stellig als jij:
Although I am inclined to believe Intel, I know there will be a very vocal group that insists Intel will never refute the claims of a possible back door in the ME until the code can be vetted
Daarbij, een regel die erg vaak op gaat op het Internet, eindigt de titel met een ?, dan is het antwoord vrijwel altijd: nee. En wat is de titel: "Is the Intel Management Engine a backdoor?" Is ook logisch, als ze hadden kunnen aantonen dat het zeker een backdoor zou zijn, zou de titel "Intel Management Engine is a backdoor!" zijn.
Check het artikal nog eens:
Is this a backdoor?
I tend to lean toward the paranoid, though on a professional level, I don't believe that Intel created the ME with malicious intent. Intel could have created the ME with the NSA in mind, but I don't necessarily follow that conspiracy. Even so, the question is still very relevant and deserves an answer.

Is the Intel ME a backdoor? Yes, of course it is. By its very definition (from Wikipedia):
En daarna komt Intel aan het woord:
"First, we want to be very clear. Intel takes the integrity of its products very seriously. Intel does not put back doors in its products nor do our products give Intel control or access to computing systems without the explicit permission of the end user. In short, Intel does not participate in efforts to decrease security in technology."
En daarna de regel die ik eerder quote. Dus..?
Dat is de mening van Intel vriend..... Natuurlijk erkennen zij deze achterdeur niet officieel als backdoor ;)
Wat denk je dat de legal complicaties zouden zijn als ze zichzelf zo in de voet zouden schieten?

Wij van WC eend..

Ik hecht meer waarde aan het antwoord wat deze security specialist geeft aan de vraag of dit volgens de definitie een backdoor is. En dat is het zeker.
En wat schrijft jouw 'Security vriend' na de reactie van Intel?

Ik zal het nog eens quoten:
Although I am inclined to believe Intel, I know there will be a very vocal group that insists Intel will never refute the claims of a possible back door in the ME until the code can be vetted
Oftewel, hij is geneigd Intel te geloven, maar zonder bewijs blijft het lastig. Dus niet zeker. En jouw eerste statement hierover is dus op z'n minst erg alarmistisch.
Ik verkoop jou een telefoon, je neemt het in gebruik dus je hele leven staat erop. (bankzaken, privegegevens, fotos kortom alles).

Nu kom je er later via derden achter dat er functionaliteit in zit die ik er stiekem op heb gezet die alle beveiligingsopties van IOS / Android kan passeren en mij in potentie 100% toegang kan geven tot alles zonder dat jouw besturingssysteem / virusscanner dat ooit kan opmerken en zonder dat jij dit kan uitzetten. Dit werkt trouwens ook als je telefoon uit staat.

Omdat vertrouwen een groot goed is maar controle toch beter is vraag je mij of je de broncode mag inzien van deze 'functionaliteit' zodat jij (want dat is jouw goed recht) zelf kan (laten) bepalen of de bewering dat je me kan vertrouwen ook gegrond is en niet alleen gebaseerd op mijn blauwe ogen.

Ik zeg dat ik je deze transparantie helaas niet kan geven want misschien kunnen anderen dit dan misbruiken. Dus vertrouw mij. 8-)

En misschien ben ik inderdaad te vertrouwen. Maar ik ben niet god. Ik ben onderhevig aan autoriteit. Zo zouden intelligentie organen kunnen realiseren dat ik goud in handen heb en een manier vinden om mij te dwingen openbaarheid te geven over deze 'functionaliteit'. Ik zeg ze dat ik mee zal werken (anders kom ik in de problemen) maar maak ze duidelijk dat dit never nooit openbaar gemaakt mag worden omdat ik dan als bedrijf failliet ga wegens een shitstorm aan rechtzaken. De geheime diensten begrijpen dit en houden het geheim in stand want zolang dit geheim blijft hebben ze een werkende (wereldwijde) spionage tool in handen en daarbij willen ze de Amerikaanse economie niet schaden door Intel de nek om te draaien.

De computers die die instanties zelf gebruiken zijn echter geschoond van deze ME functionaliteit.. Want niet veilig genoeg. Wat weten zij dat wij niet mogen weten? Dit stinkt en heeft er alle schijn van dat hier iets opzettelijk geheim gehouden wordt.

Als er een defect in autos wordt opgemerkt na een audit, is er een terugroepactie. Nu is er geen eens een audit. Laat staan een fix. We moeten het maar gewoon slikken.
Mooi verhaal over de voordelen van open source maar jij levert een artikel aan waaruit duidelijk zou blijken dat Intel een schokkende backdoor heeft gemaakt. De expert die je aanhaalt twijfelt echter en neigt naar het geloven van Intel. Dan kan ik niet anders dan concluderen dat jouw conclusie overdreven is.

Hij is het trouwens 100% niet eens met de ongeloofwaardige claim dat het kan als de computer uit staat, kun je ook in het artikel lezen.
Je cherrypicked 1 van de quotes uit het artikel en gaat daar conclusies op baseren terwijl je de quote betreft de vraag of hij dit zelf ziet als een "Backdoor" (waarop hij volmondig JA zegt) maar even negeert?
Kijk gewoon even verder dan je neus lang is. Google even en lees je in in de materie zodat je voldoende geinformeerd bent over wat de ME potentieel voor security risk kan zijn / is.

Misschien is Intel te vertrouwen maar de POTENTIE ( !! ) van ellende is gruwelijk groot als dit niet het geval is. Wat begrijp je daar niet aan? Als/wanneer er een partij is dit deze functionaliteit op 1 of andere manier kan exploiten ligt het hele internet aan hun voeten.

Bijna eerste hit van google over wat de ME is en wat het doet:
https://hackaday.com/2017...-intel-management-engine/
Over the last decade, Intel has been including a tiny little microcontroller inside their CPUs. This microcontroller is connected to everything, and can shuttle data between your hard drive and your network adapter. It’s always on, even when the rest of your computer is off, and with the right software, you can wake it up over a network connection. Parts of this spy chip were included in the silicon at the behest of the NSA. In short, if you were designing a piece of hardware to spy on everyone using an Intel-branded computer, you would come up with something like the Intel Managment Engine.
Dit zit dus in elke Intel processor van de laatste 10 jaar.

Verder; Ik ga na deze reactie niet meer energie steken in deze zinloze discussie. Als jij dit allemaal maar ok vind dan is dat jouw (naar mijn mening; naive) mening en laten we het daarbij.

[Reactie gewijzigd door procyon op 2 mei 2019 09:42]

Ik cherrypick de conclusie...

Jouw wordt letterlijk genoemd in die conclusie als zijnde niet die van de auteur:
Although I am inclined to believe Intel, I know there will be a very vocal group that insists Intel will never refute the claims of a possible back door in the ME until the code can be vetted.
Hoezo zou ik dit ok vinden? Het risico van een exploitabel update-mechanisme is groot, daar ben ik het mee eens. Liever niet dan wel. Dat het de grootste backdoor in de geschiednis van het Internet en op één lijn met een (mogelijk) bewust voor spionage toegevoegde backdoor dan weer niet.
Nogmaals!!!! En lees even goed?
Is this a backdoor?
I tend to lean toward the paranoid, though on a professional level, I don't believe that Intel created the ME with malicious intent. Intel could have created the ME with the NSA in mind, but I don't necessarily follow that conspiracy. Even so, the question is still very relevant and deserves an answer.

Is the Intel ME a backdoor? Yes, of course it is. By its very definition (from Wikipedia)
Dus hij zegt:
Is the Intel ME a backdoor? Yes, of course it is. By its very definition (from Wikipedia)
Of Intel dat opzettelijk heeft bedoeld als backdoor voor DERDEN betwijfelt hij... Maar het is per DEFINITIE een backdoor.

Nogmaals want 3x is scheepsrecht:
Is the Intel ME a backdoor? Yes, of course it is. By its very definition (from Wikipedia)
https://imgur.com/gallery/daTcExL

[Reactie gewijzigd door procyon op 2 mei 2019 10:10]

Heb je m'n reactie überhaupt gelezen of gesnapt? Ik denk dat ik me maar aan je voornemen uit je vorige post ga houden en geen energie meer ga stoppen in een zinloze discussie... Herhalingen, bold, caps en memes...
In je eerste reactie zeg je dat de auteurs lang niet ze stellig beweren dat het daadwerkelijk om een backdoor gaat toch? Wie leest hier nou niet goed? Lees je eigen post nog maar eens goed na:
In het artikel waar je naar linkt zijn ze bij lange na niet zo stellig als jij:
Dat zijn ze dus wel want ze zeggen letterlijk in het artikel:
Is the Intel ME a backdoor? Yes, of course it is. By its very definition (from Wikipedia)
Een Europese oplossing zal goed zijn omdat dat dan (direct of indirect) een investering zal zijn in de Europese economie, niet die van Amerika of China.

Als we dan toch veel geld uit gaan geven aan infrastructuur zie ik liever dat we dit binnen ons eigen continent doen, het zijn uiteindelijk toch "onze" centen.
Zodat een Europees bedrijf/dienst mee kan kijken? Je krijgt denk ik dezelfde taferelen, alleen dan met een Europese dienst die het bespieden doet.
Beter usa dan een totalitair regime die niet schuwen de eigen burgers te spioneren.
Dan heb ik toch liever amerikanen die mij bespioneren dan de chinezen, Amerika heeft iig nog soort van dezelfde westerse gedachten goed, de Chinezen zijn gewoon langzaam de wereld aan het overnemen met geld, en denken toch een tikkie anders dan Europeanen

[Reactie gewijzigd door Jip99 op 30 april 2019 12:46]

de Chinezen zijn gewoon langzaam de wereld aan het overnemen met geld.
Wat is er meer westers dan dat?

Ik snap je sentiment wel. Gevoelsmatig heb je liever dat de VS of een EU land je bespioneerd dan een land dat mensenrechten hooguit als een suggestie ziet.
En Amerika heeft mensenrechten wel hoog in het vaandel staan?

- Oorlogsmisdaden waarvoor de misdadigers niet worden gestraft door het internationaal strafhof, omdat Amerika weigert dit te erkennen en geen burgers uitlevert.
- Mensen die uit de school klappen over oorlogsmisdaden worden in de bak gezet
- Oorlog voeren om Weapons of Mass Destruction die nooit zijn gevonden
- Guantanamo Bay gevangenis is nog altijd in gebruik, ondanks herhaalde pogingen van Obama om dat ding te sluiten. Heel makkelijk om Amerikaanse grondrechten te schenden daar, want het is Cuba, geen Amerika
- Het scheiden van ouders en kinderen die bij de Mexicaanse grens worden opgepakt
- Doodstraf

Nou heb ik geen hoge pet op van China en mensenrechten (je bent alleen je leven daar zeker als je je volgzaam aan de gestelde regels houdt), maar Amerika is niet veel beter.

[Reactie gewijzigd door _JGC_ op 30 april 2019 14:58]

Dat zeg ik niet, maar ze zijn er in elk geval. In China is het meer een suggestie. In de VS heb je als individu in elk geval zeer veel rechten.
Dat zegt niet dat er niets mis is in dat land (vanuit onze Nederlandse ogen, waar alles over het algemeen bijzonder en relatief humaan goed geregeld is, al zullen er ook zat mensen zijn die prima kunnen beargumenteren dat het in Nederland ook niet tof is)

Gevalletje Guantanamo Bay ga ik overigens wel 100% met je mee. Dat is te idioot voor woorden (naar mijn mening).
In China ben je donor voer als je niet mee eens bent. In usa heb je nog de rechtspraak en de media die je kunt activeren.
Zie je het verschil niet of zo?

Misschien begrijp je dan niet hoe de Chinese cultuur in elkaar zit.
Gezien je reactie begrijp ik die blijkbaar niet? Maar ik wil graag leren :) (niet sarcastisch bedoeld)

Ik las het in elk geval dat de Chinezen op het moment alles kopen wat los en vast zit. Dat is toch ook iets dat de westerse wereld jarenlang heeft gedaan in de goede jaren?
De Chinezen doen het net wat meer sneaky en een agenda.

Daarnaast moet je in je achterhoofd houden dat China het niet zo nauw neemt met mensenrechten en het dictatoriaal word bestuurd.
Dat is natuurlijk een enorme jij-bak en daarmee een invalide argument, terwijl Whatsapp-hack het objectief brengt.

Daarnaast: Ik zou persoonlijk liever onder Amerikaanse sferen leven dan onder Chinese, maar dat is persoonlijk.
Nee.

-edit- Waar komt die suggestie vandaan eigenlijk? :) Heb met geen woord gerept over Cisco, Juniper en/of de Amerikaanse overheid noch hoeveel ik die wel/niet vertrouw; het ging immers over Huawei.

[Reactie gewijzigd door WhatsappHack op 30 april 2019 12:44]

Je kan ook zeker je bedenkingen hebben over Intel Management System wat ernstige lekken jad/heeft en actief blijft bij systemen die uit staan maar wel aan de spanning hangen. Wel typisch dat Bloomberg hier niet roeptoeterend over bericht heeft, gezien het marktaandeel dat Intel heeft. Dit alleen al geeft Bloomberg de verdenking van partijdigheid en eenzijdige berichtgeving, maar wellicht ook nog meer.
(komt vooral door de banden met de Chinese overheid)
Toch raar dat we daar niet over spreken wanneer het gaat over al die bedrijven die "geheime" belastingdeals hebben met onze eigen overheid...
Belastingdeals zijn ook niet in het belang van de gemiddelde burger helaas.

Maar bij een belastingdeal zit de CEO van het betreffende bedrijf niet in de eerste of tweede kamer. Bij Huawei zijn de CEO en andere leidinggevenden ook gewoon hooggeplaatste ambtenaren in de Chinese Partij.
Daar zit het verschil. Een stukje belangenverstrengeling waar ze zelfs bij de VVD (Duthler, lees je mee?) jaloers zouden zijn. Belangenverstrengeling waarbij de Chinese burger de schouders ophaalt, omdat het altijd zo is geweest en voorlopig nog wel zo zal blijven.
Deze mate van belangenverstrengeling zal in West-Europa niet heel snel voorkomen. Zelfs Berlusconi had minder belangenverstrengeling dan de Chinese Politieke Partij.
Deze mate van belangenverstrengeling zal in West-Europa niet heel snel voorkomen
Dit heb ik al vaker gehoord, "zal in Nederland nooit gebeuren", ik heb weinig vertrouwen in het "West Europa" van nu en sluit dit soort zaken niet zomaar even uit.
Ik snap verder wat je zegt ivm China.
Ik zeg ook niet dat het nooit in West-Europa zal gebeuren, alleen dat het niet snel zal voorkomen.
Daarnaast zal de verontwaardiging in West-Europa veel groter zijn en zullen er echt wel mensen uit hun functie ontheven worden (die wellicht via de baantjescarrousel wel weer ergens anders terecht kunnen komen).
In China zal er gewoon geen ophef ontstaan, en zullen er ook geen mensen hun functie verliezen, vanwege belangenverstrengeling. Het bedrijf staat (deels) in dienst van de overheid en hun plannen.
Waar in West-Europa de overheid vaak(deels) in dienst van de grote bedrijven en hun plannen.

En beiden is een slechte zaak. De overheid moet in dienst staan van hun burgers, niet van bedrijven of van zichzelf.
Absoluut met je eens, toch denderen die treinen maar door, ook in West Europa...
Nevermind :)

[Reactie gewijzigd door skunkopaat op 30 april 2019 11:29]

Van het web:

They found a non-documented telnet service with hardcoded credentials on a non-standard port that was re-added after being found a first time through security testing and removed.

Als dat been backdoor is weet ik het ook niet meer.
Letterlijk in het bronartikel:

"Now Vodafone Group Plc has acknowledged to Bloomberg that it found vulnerabilities going back years with equipment supplied by Shenzhen-based Huawei for the carrier’s Italian business."

Zoals ik het lees maken Tweakers en Bloomberg hier zelf de vertaling naar "backdoor".

Quote van een professor security in het artikel:
“There’s no specific way to tell that something is a backdoor and most backdoors would be designed to look like a mistake,” said Stefano Zanero, an associate professor of computer security at Politecnico di Milano University. “That said, the vulnerabilities described in the Vodafone reports from 2009 and 2011 have all the characteristics of backdoors: deniability, access and a tendency to be placed again in subsequent versions of the code,” he said.

Er is nergens in het artikel hard gemaakt dat het om een 100% backdoor betreft. Toegegeven het riekt er naar, dat zeker.

Daarnaast hebben wij het hier over telnet dat open staat, niet een of andere dirty "secret" poort die open staat. Ik zie het meer als een grove fout dan een backdoor.

[Reactie gewijzigd door Yariva op 30 april 2019 11:12]

Kwetsbaarheden zijn geen backdoors.

Kwetsbaarheden zitten per ongeluk in techniek.

Backdoors zitten moedwillig in techniek.

Tot het tegendeel is bewezen, moet je uitgaan van kwetsbaarheden.

Ik zou graag analyses willen lezen van anderen hierover. Want Stefano Zanero zegt mij niets, maar bijv Matt Green of Bruce Schneier wel.
Tot het tegendeel is bewezen, moet je uitgaan van kwetsbaarheden.
Waarom MOET dat ? :?

Het gaat hier om de veiligheid van zeer kwetsbare infrastructuur.

Ik zou daarom veel eerder de omgekeerde stelling willen hanteren: Tot het tegendeel is bewezen, moet je uitgaan van een backdoor.

Maar daarbij mag je wat mij betreft Amerika evenzeer wantrouwen als China, of welk ander land dan ook.
[...]
Maar daarbij mag je wat mij betreft Amerika evenzeer wantrouwen als China, of welk ander land dan ook.
Waarom zou je Amerika evenzeer wantrouwen als China?
Amerika is meerdere keren bewezen de fout ingegaan, China zijn enkel Amerikaanse geruchten...

Ik wantrouw Amerika juist veel meer dan China als het om dit soort praktijken gaat...
Misschien moet je even googlen op wat trefwoorden zoals:
  • "China & dissidenten"
  • of "Chinese firewall"
  • of "China en bedrijfsspionage"
Wat is daar de toegevoegde waarde van? Dezelfde links kan ik je geven over Amerika, alleen het is modder smijten over en weer.
Daarom zeg ik ook dat je ze EVENZEER moet wantrouwen !
Jij bent de gene die China vrij pleit !!!
Ik wantrouw Amerika juist veel meer dan China als het om dit soort praktijken gaat...
Omdat je uit moet gaan van het goede van de mens, en de feiten. Doe je dat niet, dan wordt je enorm cynisch. Als jij op je SOC altijd uit gaat van het meest slechte wordt je ook helemaal gek. Als jij altijd uit gaat dat elke security vulnerability een backdoor is dan wens ik je heel veel plezier met alle CVEs doorspitten -- zul je ook compleet paranoide van worden. Uiteindelijk doen we dat over het algemeen, dat we uitgaan van het goede van de mens, plus de feiten omdat jouw methode niet werkt.

Als je de boel niet vertrouwt kun je veiligheidsmechanismes inbouwen. Hierin kun je denken aan FOSS, code reviews, of andere vergaande veiligheidsmaatregelen.
Het gaat hier om de veiligheid van zeer kwetsbare infrastructuur.
Nee, dat dacht ik in eerste instantie ook maar dat verschilt. De infrastructuur is divers.
Backdoors worden wel vaak als "bugs" geplaatst. Iets wat "over het hoofd gezien is". Dus dat het gaat om een backdoor of een bug is moeilijk te bepalen. Wat we uit dit artikel wel kunnen halen is dat er mogelijke data is buit gemaakt. Niet meer en niet minder. Dus of de Chinese overheid hier gebruik van heeft gemaakt of niet, dat is niet relevant! In plaats van te kiezen of we wel of geen kant moeten kiezen (US of China) moeten we volop inzetten in encryptie van alle data. Iets wat versleuteld door het netwerk gaat, kan wel onderschept worden, maar is nutteloos. Daar zouden we op moeten inzetten en die hele Backdoor discussie links laten liggen.
Cryptografie kan veel oplossen, maar uiteindelijk moet je ook de hardware zelf kunnen vertrouwen. Een machine met een Intel ME backdoor kan bijvoorbeeld prima een slechte RNG bevatten. Dus kun je de cryptografie op basis van de private key dan ook niet vertrouwen. Wat je wel kunt doen is tussen endpoints de boel versleutelen. Of dubbelop. Heeft allemaal zo z'n voor- en nadelen.
Wat we uit dit artikel wel kunnen halen is dat er mogelijke data is buit gemaakt. Niet meer en niet minder. Dus of de Chinese overheid hier gebruik van heeft gemaakt of niet, dat is niet relevant!
Ik lees toch het tegendeel:
Wel zegt Vodafone tegen Bloomberg dat er geen bewijs is dat data onderschept zou zijn.
"Met het Telnet-protocol kunnen leveranciers diagnostische functies uitvoeren. Dit protocol wordt door veel leveranciers gebruikt. Deze functie is niet via het internet benaderbaar"
Ofwel er zijn geen aanwijzingen van misbruik en deze kwetsbaarheden maken het ook niet mogelijk om van buiten af misbruik te maken.

Wat is nu het interessante aan dit soort berichtgeving die Amerikaanse bronnen steeds weer de wereld in sturen?
  • In de eerste plaats vertelt het ons, hoe weinig onafhankelijk gevestigdede westerse media als Bloomberg zijn, dat ze zich lenen als een verlengstuk van de poltiek.
  • In de tweede plaats dat ze het niet echt kan schelen dat hun verhalen al snel ontkracht worden
Dat laatste is zeker interessant. Noch gevestigde media noch politici vinden het waarheidsgehalte van hun beweringen nog erg belangrijk. Wat telt is via de media een negatieve beeldvorming te creeeren die weer een draagvlak vormt voor hun politiek. Het maakt namelijk niet uit hoe vaak je dit later ontkracht, de negatieve associatie is toch gekweekt. Om dezelfde reden werkt het ook heel goed om futiliteiten op te kloppen alsof het enorme problemen zijn of andere landen. groepen dingen te verwijten die men zelf nog veel harder doet. Uiteindlijk gaat het er alleen maar om een bepaalde beeldvorming te kweken.

Tegelijkerijd beroemt men zich op de vrij meningsuiting die hier zou bestaan. In theorie is dat waar, maar dat garandeert geenszins een evenwichtige beeldvorming. in praktijk leven wij onder een zwaar gemanipuleerde beeldvorming die er voor zorgt dat mensen stelselmatig een vertekend beeld krijgen. Wat met name in deze beeldvorming ontbreekt is een grote mate van diversiteit en respect voor andersdenken. De beeldvorming wordt steeds verengt tot een politiek correcte denken en ideaal vijand ervan.

En is het uiten van een andere mening "vrij"? Het doet een denken aan het fundamentalistische geloof waarin de "Vrije Wil" wordt gereduceerd tot het aannemen of het verwerpen van het geloof. Daarbij wordt de de ene keuze hoog beloont en de andere zwaar bestraft. Maar dat is nu juist het tegendeel van een vrije keus, dat is nu juist het schoolvoorbeeld van een afgedwongen keus. Toch wordt dit denkbeeld als "de vrije wil van de mens" voorgehouden. En het zelfde zien wij in onze vrije media waarin andersdenken bedolven worden met karrenvrachten stront en linkse bruinhemden zelfs de straat op gaan om mensen met de dood te bedreigen, en mensen niet alleen bedreigen maar zelfs fysiek aanvallen, en zelfs vermoorden. Maar je bent hier hier vrij in je menigsuiting hoor! Nee dat is geen klimaat van vrijheid, dat wederom een leugen.

Aan de ene kant zien we de politiek correcte partijen die anderen fel aanvallen met overdrijvingen, leugens en halve waarheden. Aan de andere kant zien we partijen die zich proberen te verdedigen met feiten. Het feit dat ene kant steeds als aanklager optreedt en de ander steeds in de verdediging dringt, schept een vals beeld van moreel overwicht. Maar als je wat beter kijkt, is het dat niet meer dan de waard die zijn gasten vertrouwt zoals hij zelf is.

[Reactie gewijzigd door Elefant op 30 april 2019 14:25]

(Per ongeluk gemaakte) kwetsbaarheden worden wel gebruikt als backdoors, als ze niet publiek bekend zijn, maar wel bekend bij inlichtingen diensten.

Dus er zijn nogal wat smaken:
-Expres erin gestopt, niet publiek bekend (backdoor)
-Per ongeluk, alleen bekend bij inlichtingen diensten (ook backdoor!)
-Per ongeluk, publiek bekend en gepachtet: Misschien tijdelijk gebruikt door inlichtingen diensten als backdoor voordat het publiek was?

Het gaat niet alleen om de intentie bij het maken van de fout, maar ook om wanneer het bij wie bekend was. Een analyse van Bruce Schneider voegt daar echt totaal niets aan toe, die info heeft hij niet. Dat moet echt van een Snowden achtig type komen.
Per ongeluk, alleen bekend bij inlichtingen diensten (ook backdoor!)
Dit heet een kwetsbaarheid/vulnerability. Omdat het niet expres is gedaan, kun je het geen backdoor noemen. Je noemt toch immers een RCE die per ongeluk ergens in zit ook geen backdoor?

Een backdoor heeft een aantal eigenschappen:

1) Deliberately ('expres, met opzet')

2) Hidden ('verstopt').

3) Schadelijk voor CIA.

Maar uiteindelijk is deze gehele discussie overbodig wanneer je gewoon gebruik maakt van CVSS scores ipv krachttermen.

Mensen die verstand hebben van cryptografie en beveiliging gaan dan ook meestal uit van feiten middels hun analyses. En Bruce Scheier (hij heet geen Schneider) is daar toevallig erg goed in, Matt Green ook.

[Reactie gewijzigd door Jerie op 30 april 2019 13:27]

Nee, op Wikipedia staat ook gewoon genoemd wat ik zeg :

'Covert backdoors sometimes masquerade as inadvertent defects (bugs) for reasons of plausible deniability. In some cases, these might begin life as an actual bug (inadvertent error), which, once discovered are then deliberately left unfixed and undisclosed'

Wat u eronder verstaat is slechts uw mening, niet per se een feit. Is dus een lexicografische discussie.

De scheidingslijn tussen kwetsbaarheid en backdoor is niet zo zwart wit als u stelt, dat probeerde ik maar te zeggen.

[Reactie gewijzigd door kidde op 30 april 2019 23:17]

En hoe wordt dit nieuws gespind?
Dat is gewoon exact hetzelfde nieuws alleen dan door een redacteur van de Telegraaf overgenomen.
Dan liever deze versie.
Inderdaad. Bovendien: als China écht zou willen spioneren, dan leunen ze, neem ik aan, niet op 10 jaar oude backdoors.
Als ze 10 jaar overleven.... dan zijn het wél de bewezen effectieve backdoors. :*)
Bovendien zou een goede backdoor dusdanig verstopt zijn dat Vodafone ze niet zomaar zou kunnen vinden. Bijvoorbeeld poorten die alleen open gaan op het moment dat ze op een bepaalde manier getriggered worden.
Veel subtieler nog, die code gaat opvallen. Zoek bijvoorbeeld op underhanded c contest voor wat voorbeelden hoe dingen te verstoppen in code.
Zoals ik het lees maken Tweakers en Bloomberg hier zelf de vertaling naar "backdoor".
In de titel hier op Tweakers staat 'verstopte backdoors' tussen aanhalingstekens. Neem het dus niet zo letterlijk. De schrijver heeft het dus niet vertaald hoe jij het zegt.

De nieuwswaarde hier is dat Bloomberg (let op de " : ") dit presenteert nadat de zoveelste poging tot laster weinig effect heeft gehad. De laatste alinea's benadrukken deze geschiedenis nogmaals. Zo lees je nieuws van een goede journalist, want er zijn dingen die de schrijver niet ongegrond kan schrijven. Daar is de commentsectie gelukkig voor, maar het verloopt weleens rommelig. ;)

[Reactie gewijzigd door Mushroomician op 30 april 2019 18:08]

Met al het respect maatje, maar je reageert 7 uur nadat het artikel is gepost. Natuurlijk is het artikel nu aangepast, dat was deze nog niet toen ik reageerde.

En natuurlijk staat de nieuwswaarde van Bloomberg gelijk aan die van Buzzfeed. Het lijkt tegenwoordig wel vaker voor te komen, ook op de mainstream platformen waar je beter van mag verwachten.
Het was wel meer dan dat hoor.

They found a non-documented telnet service with hardcoded credentials on a non-standard port that was re-added after being found a first time through security testing and removed.

Leg ff uit hoe dat geen backdoor is.
Puur op basis van dit artikel vind ik als software ontwikkelaar de reactie van Huawei heel redelijk.
Vodafone heeft het over "kwetsbaarheden" en lijkt het niet te hebben over moedwillig toegevoegde code om toegang expres makkelijk te maken. En ja helaas veel code is van redelijk bedroevende kwaliteit (in de categorie het lijkt te werken dus verkopen maar), en dat zal in China niet veel anders zijn.

Waar ik dan vooral aan denk zijn bijv "standaard" passwords enzo. Iets wat makkelijk te fixen is door ieder uitgeleverd modem van een uniek password te voorzien (met stikkertje op het apparaat enzo).

Begrijp me niet verkeerd ik vind het goed dat providers (Vodaphone) de software goed nalopen en testen en melding maken van wat ze vinden maar dat zou moeten gelden voor apparatuur van alle leveranciers.
En van enkele amerikaanse bedrijven is allang bekend dat er wel expres backdoors in geplaatst zijn.
Ik weet van gevallen waar door de NSA tijdens het transport van de hardware naar de klant backdoors geplaatst zijn https://www.infoworld.com...rs-in-cisco-products.html, maar dat Amerikaanse bedrijven dit zelf moedwillig doen net. Heb je hier bronnen van?
Ik herinner me deze, ook van cisco
Dat was geen hardware maar software, en dan wordt het toch al bedenkelijker dat het achteraf gedaan is

https://tech.slashdot.org...kdoor-has-been-discovered
Het is wel degelijk een backdoor volgens mij.

They found a non-documented telnet service with hardcoded credentials on a non-standard port that was re-added after being found a first time through security testing and removed.
Wel zegt Vodafone tegen de krant dat er geen bewijs is dat data onderschept zou zijn. Ook zijn alle veiligheidsproblemen volgens het artikel inmiddels opgelost en is er geen bewijs voor kwetsbaarheden in producten die buiten Italië zijn geleverd.
Het is ook wel heel toevallig een financiële dienstverlener in de USA welke hier mee aan komt zetten. Zullen we eens gaan tellen hoe vaak de overheid in de USA aantoonbaar toegang heeft gehad tot netwerk hardware vanuit de USA? Daar hoor je Boomberg even niet over.
Kunnen we nu eens voor eens en altijd stoppen met de 'hunnie ook' reacties? Het voegt niets toe aan een discussie en maakt een mogelijke backdoor in Huawei er in zijn geheel niet minder ernstig op. Als de NSA dit heeft gedaan is het net zo ernstig.

Daarnaast zijn dit soort reacties gewoon niet erg volwassen.
Ik ben het helemaal met je eens. Triest hoe landen als China en Rusland voortdurend door tweakers verdedigd worden om snel te wijzen naar de USA.

Zijn mensen nou echt zo dom? China en Rusland hebben maling aan de naieve insteek van het westen. Ze pakken wat ze pakken kunnen. Van China hoeft niet eens bewijs geleverd te worden dat bedrijf en staat innig met elkaar verstrengeld zijn. China is gewoon niet te vertrouwen.

Deze landen hebben niet zo'n last van principes, en maken misbruik van het feit dat wij die wel denken te hebben.

Ja maar dat grote boze Amerika dan? Die doet net zo hard mee. Welk belang denk je dat ons het beste uitkomt? Het USA belang wat in zijn algemeen westers is, of het China of Rusland belang?
Update, 12.38: Vodafone Group schrijft in een reactie dat het Telnet waar Bloomberg naar refereert geen backdoor is. "Met het Telnet-protocol kunnen leveranciers diagnostische functies uitvoeren. Dit protocol wordt door veel leveranciers gebruikt. Deze functie is niet via het internet benaderbaar. Bloomberg is incorrect wanneer het schrijft dat dit protocol ongeautoriseerde toegang tot het vaste, Italiaanse kabelnetwerk had kunnen verlenen aan Huawei. Dit was niets meer dan de vergissing om een diagnostische functie na ontwikkeling te verwijderen. Deze fouten zijn destijds door Huawei opgelost."
Dus net als de eerdere Bloomberg beschuldigingen aan het adres van China blijkt ook deze beschuldiging weer eens nergens op te slaan en is het bewijs dat er daadwerkelijk een lek aanwezig is nergens te vinden. Dus nee mensen zijn niet echt zo dom, ze lopen immers niet (meer) zomaar blind achter de USA aan.
Vodafone speelt ook op safe. Als je je verdiept in wat het nou was, lees je dit.

They found a non-documented telnet service with hardcoded credentials on a non-standard port that was re-added after being found a first time through security testing and removed.
Kunnen we nu eens voor eens en altijd stoppen met ongefundeerd Huawei en Rusland bashen? Het totaal niet onderbouwd beschuldigen is gewoon van het niveau smaad.

Als je het artikel even daadwerkelijk leest @falconhunter dan gaat het niet om dat er nu een mogelijke backdoor is gevonden. Het gaat er om dat een Italiaans onderdeel van deze Amerikaanse financiële dienstverlener (welke er waarschijnlijk alle baat bij heeft dat producten uit de USA een betere positie krijgen) net zo lang heeft lopen spitten totdat ze iets van uit het verleden gevonden hebben waarmee ze weer eens lekker modder kunnen gooien naar Huawei. Zolang er 0 concreet bewijs komt omtrent dat Huawei daadwerkelijk in de huidige netwerk hardware backdoors heeft ingebouwd blijft het niets anders dan moddergooien in opdracht van de USA.

Zoals @AnonymousWP hier terecht aangeeft uit Bloomberg voortdurend beschuldigingen welke tot op heden zelfs na extreem intensief onderzoek nog nooit onderbouwd zijn geweest.

Goed om te zien trouwens dat je zelf beseft dat je reactie niet heel volwassen is ;)

[Reactie gewijzigd door daredevil__2000 op 30 april 2019 12:39]

Nouja, in dit geval snap ik ze wel. Het is nu imo namelijk niet echt "hunnie ook", maar meer "hunnie zijn er zelf op betrapt en beschuldigen nu de concurrent er van zonder enig bewijs".
Daardoor zijn de beschuldigingen lastig serieus te nemen.

Natuurlijk zou het serieus genomen moeten worden, onderzocht worden, en als dan daadwerkelijk bewezen kan worden dan Huawei bewust backdoors in hun apparatuur zet, moeten we actie ondernemen. Maar tot nu toe komen we niet verder dan een paar vage beschuldigingen door een partij die daar zelf baat bij heeft zonder enkel bewijs, en als we daar al iemand/een bedrijf over gaan veroordelen, gaat het ook mis.

[Reactie gewijzigd door Fero op 30 april 2019 11:58]

Dit komt niet van de Amerikaanse financiele dienstverlener, dit komt van de Italiaanse nieuwsredactie van Bloomberg. Onderdeel van hetzelfde bedrijf maar kun je niet één op één gelijkstellen.
Netgear heeft ook wel apparatuur gehad met kwetsbaarheden maar die werden toen geen backdoors genoemd. Het nieuws van Bloomberg lijkt dan ook een politieke lading te hebben in plaats van alleen het brengen van de feiten en achtergronden.
Anonieme bronnen maar toch wordt dat weer overal ge C/P ondanks hun eerdere kemel met hun "chips"
Ik dacht dat Tweakers net iets beter was.
Ge-C/P? Wat bedoel je daarmee?
Copy Paste verhaal : allemaal gebaseerd op Bloomberg "anonieme getuigen" en "documenten die ze konden inzien" maar uiteraard niet tonen

[Reactie gewijzigd door OxWax op 30 april 2019 12:53]

Sorry mate zo werkt journalistiek. Als je je bronnen prijs geeft praat er niemand meer met je. Zie wat er met manning en Snowden is gebeurd.

Jij checkt toch ook niet altijd of er geen rattenvlees zit in de worst van je slager? Je vertrouwd het met of de organisatie omdat je weet dat als ze een grove fout maken de persoon of organisatie failliet gaan. Een goede journalist die grote misstanden ontdekt en aan de kaak steld heeft een goede kans op een carriere bij een grote uitgever, een leugenaar niet want de uitgever heef een reputatie. nou ja van de telegraaf hoef je natuurlijk minder te verwachten dan van het NRC maar je snapt het wel.

Ik weet dat er tegenwoordig online professionele leugenaars zijn maar ja als je bij breitbart of de sun of bij GeenStijl hebt gewerkt kom je er bij een kwaliteitskrant niet in, die willen mensen die getoond hebben betrouwbaar te zijn. maak je nog steeds fouten, altijd, maar daar heb je rectificaties voor. en ja wie er veel nodig heeft zal ontslagen worden...
No shit, Sherlock. Ze gaan toch niet toegeven dat ze een backdoors hebben geplaats in hun apparaten.
Dit is dus niet zo maar een vulnerability maar echt een backdoor. Groot verschil.
Als in er is alleen toegang vanaf een bepaald ip/er is een soort authenticatie check?
Dus alleen Huawei had toegang? Of had iedereen toegang(die deze vuln kende)?
Wanneer is iets precies een backdoor en wanneer is iets een vulnerability?
Als het bedrijf het probleem niet wilt patchen of pas laat een patch uitbrengt?
Rusland geeft toch ook niet toe dat ze MH17 hebben neergehaald. Terwijl alle feiten er op wijzen dat dit wel het geval is.

[Reactie gewijzigd door hoi3344 op 30 april 2019 11:07]

Het verschil is dat er in dit geval geen feiten op tafel liggen en dat Bloomberg meerdere malen aan het moddergooien is geweest waarbij zelfs na zeer intensief onderzoek totaal geen bewijs van de beschuldigingen te vinden was.

Zie ook het bericht van @AnonymousWP AnonymousWP in 'nieuws: Bloomberg: Vodafone vond 'verstopte backdoors' in Hua... waar een mooie opsomming is gemaakt van al deze valse beschuldigingen.
Dit is dus niet zo maar een vulnerability maar echt een backdoor.
Hoezo is dat "echt" een backdoor, Sherlock?
Het lijken mij —met het "bewijs' dat Bloomberg aanreikt— dezelfde 'backdoors' die Microsoft al decennialang in Windows patcht.
Ik kan me nog heugen dat dit een kort nieuwsbericht was en zijn er toen nog mee bezig geweest wat er precies aan de hand was. Het bleek dat er verder geen data doorging, maar dat dit wel mogelijk geacht werd voor meerdere partijen ivm dat het open stond. Dit was gewoon een security issue en had niks met spionage te maken zoals bloomberg dit aangeeft.

Al die opmerkingen en dan hier maar even een bericht uit 2018
https://www.zdnet.com/art...r-and-thats-a-good-thing/ en na dit bericht backdoors on cisco keep coming begin dit jaar als artikel.

Hier hoor je niemand over en dat speelt al jaren :)

Eerlijk is eerlijk de grootste data verzamelaar van het westen weet precies wie ze aanvallen en ze zien het liefst dat er hardware wordt gekocht van die bodem. Ik heb het over de USA en die zijn gewoon bang dat China het gedrag van Amerika nog verder doorvoeren.

[Reactie gewijzigd door Noresponse op 30 april 2019 17:31]

Bloomberg alweer ... De vorige keer zaten er hardware (chips) backdoors in Chinese spullen die verder door niemand gevonden zijn. Bloomberg is niet meer geloofwaardig.
Om dit nog wat aan te vullen, bij deze:
The growth of Chinese technology companies have made them a global market power. This is largely
a product of focused government industrial policy and funding instruments. Chinese companies are not
only subsidised by the Chinese government but also legally compelled to work with its intelligence
services. Whether the risk of such collaboration is real or perceived, the fear remains that adopting 5G
technology from Huawei would introduce a reliance on equipment which can be controlled by the
Chinese intelligence services and the military in both peacetime and crisis. In addition, infrastructure
decisions are not easily reversed: once a 5G provider has been chosen it will be very costly and time
consuming to roll back that decision – and, from a security perspective potentially, too late.

Table of Contents:
Executive summary ................................................................................................................................. 4
Introduction.............................................................................................................................................. 5
1. Why Huawei?.................................................................................................................................. 7
Huawei technological and price advantage ........................................................................................ 7
Huawei past activities and product security ........................................................................................ 7
2. Security environment: China’s strategic reinforcement of its interests......................................... 10
National technological superiority agenda ........................................................................................ 10
Practice of espionage and influence operations ............................................................................... 10
Legal and political environment in China .......................................................................................... 11
3. International law constraints ......................................................................................................... 13
4. Emerging national responses ....................................................................................................... 15
5. Conclusions and recommendations.............................................................................................. 19
The security dilemma ........................................................................................................................ 19
Recommendations ............................................................................................................................ 20
References ............................................................................................................................................ 22

BRON
@ ccdcoe.org/uploads/2019/03/CCDCOE-Huawei-2018-03-28-FINAL.pdf
https://www.wired.com/sto...ce-huawei-make-backdoors/

Their unambiguous conclusion: Nowhere does Chinese law give Beijing the authority to compel telecommunication equipment firms to install backdoors or listening devices—or to engage in any behavior that might compromise network security.

Why, then, do so many news reports say otherwise?

Some Chinese statutes, such as the “Counter Terrorism Law,” do require telecommunications service providers to help state security agencies detect illegal activities and terrorism. But such laws are comparable to those enacted by other countries, including the United States.

Toch even de feiten op een rij. Met andere woorden het enige waar Huawei aan voldoet is niet anders dan amerikaanse bedrijven aan moeten voldoen
Their unambiguous conclusion: Nowhere does Chinese law give Beijing the authority to compel telecommunication equipment firms to install backdoors or listening devices—or to engage in any behavior that might compromise network security.
Als je de Chinese wetgeving leest alsof het de wetgeving is van een westers land is dat misschien zo, maar als je ze leest zoals ze feitelijk gebruikt word moet je er gewoon even het eerste artikel van de grondwet van de Volksrepubliek China bij halen:
Article 1. Socialist state

The People's Republic of China is a socialist state under the people's democratic dictatorship led by the working class and based on the alliance of workers and peasants (of anders gezegd, de Communistische Partij).

The socialist system is the basic system of the People's Republic of China. Disruption of the socialist system (of anders gezegd niet doen wat de Communistische Partij zegt) by any organization or individual is prohibited.
De rest van de Grondwet en andere wetten moet eerder gezien worden als een handleiding voor de Communistische Partij (of een reclamefoldertje in sommige gevallen) dan wetgeving zoals wij dat kennen. Als je dat niet doet zou je tot totaal verkeerde conclusies kunnen komen over hoe het er in China aan toe gaat.
Bewijs van je mening zou wel handig zijn dat China de grondwet gebruikt en er misbruik van maakt betreffende backdoors inbouwen.

Daarintegen heeft amerika minder problemen om hun eigen grondwet te breken ( dus het argument westese wetten valt al door de mand)

https://www.cheatsheet.co...nald-trump-compares.html/

Of pakken we anders nederland :)

Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer

Sleepnet wet gaat volgens mij er nogal tegenin.

En uiteraard zie ik graag echt bewijs tegemoet dat China backdoors aan het inbouwen is bij Huawei aangezien het anders insinuaties blijven. Want zelfs al zou deze grondwet er niet zijn dan krijg je het argument.... China houdt zich toch niet aan de wet zonder enig argument.

Dat er in de grondwet zon soort regel staat is ook niet geheel onlogisch en kan inderdaad op alles toegepast worden maar kun je ook maar een greintje bewijs laten zien dat het hier ook toegepast is of volgen ze misschien wel de wetten die ze opgesteld nog niet zo lang geleden betreffende backdoors etc aangezien met jou redenatie hebben ze deze wetten helemaal niet nodig omdat ze deze grondwet hebben.

Wijziging:

Zie update Vodafone:

Update, 12.38: Vodafone Group schrijft in een reactie dat het Telnet waar Bloomberg naar refereert geen backdoor is. "Met het Telnet-protocol kunnen leveranciers diagnostische functies uitvoeren. Dit protocol wordt door veel leveranciers gebruikt. Deze functie is niet via het internet benaderbaar. Bloomberg is incorrect wanneer het schrijft dat dit protocol ongeautoriseerde toegang tot het vaste, Italiaanse kabelnetwerk had kunnen verlenen aan Huawei. Dit was niets meer dan de vergissing om een diagnostische functie na ontwikkeling te verwijderen. Deze fouten zijn destijds door Huawei opgelost."

Misschien een goed moment om aan te geven : Er is nog steeds 0.0 bewijs dat China backdoors inbouwt hoe graag je je mening ook een feit wil maken zijn er geen feiten die je argument ondersteunen.

[Reactie gewijzigd door Zyphlan op 30 april 2019 13:50]

Bewijs van je mening zou wel handig zijn dat China de grondwet gebruikt en er misbruik van maakt betreffende backdoors inbouwen.
Ik zeg niet dat ze het doen, ik zeg gewoon dat de Chinese wetgeving het toelaat. Daar gaat het hierover.
Het lijkt alsof China een rechtstaat is, er is een rechtgevende macht, er is een wetgevende macht, er is een uitvoerende macht en er zijn verkiezingen, maar dat is allemaal schijn want de Communistische Partij staat daar overal boven. China is geen rechtstaat.

Ja, andere landen zijn niet perfect, overal is er corruptie en machtsmisbruik. Het verschil is dat in westerse landen corruptie een bug is, maar in China is het een feature. Rule of law tegenover rule by law (De Chinese regering gebruikt het eerste woord, maar ze bedoelen het tweede). https://thediplomat.com/2...or-judicial-independence/
met jou redenatie hebben ze deze wetten helemaal niet nodig omdat ze deze grondwet hebben.
Inderdaad, helemaal niet nodig maar wel handig. Ik zeg niet dat China geen wetteloos land is. China is geen rechtstaat, de enige interpretatie van de wet die telt is die van de Communistische Partij. En als die beslist dat er backdoors in Huawei apparatuur moet komen dan zal dat gebeuren.
Oh maar daar kan ik het mee eens zijn. Echter is dit wel voor elk land geldend helaas.

Maar als je naar de historie van China kijkt dan zul je zien dat kwa externe oorlogen ze weinig doen. Het enige wat China nu aan het doen is om ervoor te zorgen dat Amerika niet langer het spel volledig bepaald en ik ben zelf woonachtig in China en tuurlijk corruptie is zon beetje standaard daarintegen maakt dat het speelveld wel eerlijker ( ja klinkt krom maar als je weet dat iedereen corrupt is dan kan je ook met open vizier strijden terwijl je in het westen zie Lobbygroepen de vraag is hoeveel hebben we als burgers nou echt in te brengen?)

China heeft inderdaad goedkope productie en een hele zooi met mensen en ik heb nog wel is part time les gegeven hierzo en ik kan je verzekeren ( creativiteit is de oude garde niet goed in) maar kwa studeren kun je het echt niet vergelijken met westerse landen eerder met korea en japan alleen is China vele malen groter en juist door het 1 partijstelsel kunnen ze ook een strategie langer dan 4 jaar uitstippelen en combineer dat met een miljard mensen.

De beschermingsmaatregelen die china gehanteerd heeft in het verleden is ook slecht maar laten we eerlijk zijn. Kijk naar Afrika daar worden alle lokale partijen buiten spel gezet door westerse multinationals en china heeft dat toch voorkomen door hun eigen markt te beschermen. Dat wij dan zo dom zijn geweest om onze hele markt open te gooien is natuurlijk weer een hele andere vraag :P

Kan ik met 100% zekerheid zeggen dat China het niet doet.. Nee uiteraard niet maarja zonder ook maar 1 stukje bewijs word het lastig om te zeggen: China is schuldig.
Maar als jij in China "met open vizier" strijd tegen de verkeerde, dan verdwijn je, niks geen proces of wat dan ook.
Maar als je naar de historie van China kijkt dan zul je zien dat kwa externe oorlogen ze weinig doen.
Recente geschiedenis: Tibet, Korea, India, Vietnam, dreigen met oorlog in Taiwan. Niet zo veel als de Verenigde Staten, maar wees maar zeker dat er daar verandering in komt. China heeft lang gezegd, we wachten onze tijd af, en nu is het duidelijk dat ze denken dat hun tijd is aangekomen.
Misschien niet in directe oorlogen (die zijn peperduur duur en zeer destabiliserend) maar spionage, sabotage, beïnvloeding van verkiezingen à la Rusland etc. zal zeker komen. En dat is dus waar de problematiek met Huawei komt kijken. We weten dat ze het kunnen, we weten dat ze het willen, nemen we dan het risico dat ze niet gaan doen? Het argument dat de Amerikanen het ook doen is nogal zwak. Eerder een argument tegen, zelfs onze bondgenoten bespioneren ons, zijn we dan zo naïef om te geloven dat anderen het niet zullen doen? Vrije handel is leuk, maar core infrastructuur moet gewoon Europees zijn.
Het enige wat China nu aan het doen is om ervoor te zorgen dat Amerika niet langer het spel volledig bepaald en ik ben zelf woonachtig in China en tuurlijk corruptie is zon beetje standaard daarintegen maakt dat het speelveld wel eerlijker ( ja klinkt krom maar als je weet dat iedereen corrupt is dan kan je ook met open vizier strijden terwijl je in het westen zie Lobbygroepen de vraag is hoeveel hebben we als burgers nou echt in te brengen?)
Véél meer dan in China in ieder geval. Als je gelooft dat corruptie het speelveld eerlijk maakt ben je gewoon delusioneel, zeker als buitenlander.
China is geen rechtstaat.
Dat kun je wel roepen, maar dan moet je het ook onderbouwen. Noem eens een voorbeeld waaruit blijkt dat de Chinese overheid boven haar eigen wetten staat? (Voor de duidelijkheid: het gaat er niet om of jij het eens bent met hun wetten; "rechtstaat" gaat er alleen over of de wet ook geldt voor de rijken en machtigen.)

Wat bijvoorbeeld niet telt is het afschaffen van de maximumtermijn voor de president. Dat kun je een slecht idee vinden: prima. Dat kun je ondemocratisch vinden: prima (zolang je kunt onderbouwen dat het grootste deel van de Chinezen tegen was; niet als jij tegen bent of vindt dat de Chinezen tegen hadden moeten zijn). Maar het is juist een teken dat China wél een rechtstaat is: eerst wordt de limiet opgeheven, daarna begint Xi aan zijn derde termijn.
China is geen rechtstaat, de enige interpretatie van de wet die telt is die van de Communistische Partij. En als die beslist dat er backdoors in Huawei apparatuur moet komen dan zal dat gebeuren.
En bij ons is de enige interpretatie van de wet die telt degene die door onze rechters gedaan wordt. Als wij een wet hebben waarvan de rechter (uiteindelijk: de Hoge Raad) besluit dat die voorschrijft dat bedrijf X backdoors in haar producten moet stoppen, dan zal dat net zo goed gebeuren.
Dat kun je wel roepen, maar dan moet je het ook onderbouwen. Noem eens een voorbeeld waaruit blijkt dat de Chinese overheid boven haar eigen wetten staat? (Voor de duidelijkheid: het gaat er niet om of jij het eens bent met hun wetten; "rechtsstaat" gaat er alleen over of de wet ook geldt voor de rijken en machtigen.)
Natuurlijk: https://thediplomat.com/2...or-judicial-independence/
De president van China zegt letterlijk dat China zeker nooit scheiding der machten, Constitutionalisme of rechterlijke onafhankelijkheid moet invoeren. Zonder deze dingen heb je geen rechtsstaat.

Om een paar concrete voorbeelden te geven: Onder andere vrije meningsuiting, vrije pers en vrijheid van vergadering staan allemaal in de grondwet maar daar trekt de overheid zich niets van aan.
En bij ons is de enige interpretatie van de wet die telt degene die door onze rechters gedaan wordt. Als wij een wet hebben waarvan de rechter (uiteindelijk: de Hoge Raad) besluit dat die voorschrijft dat bedrijf X backdoors in haar producten moet stoppen, dan zal dat net zo goed gebeuren.
Wat nu net eigen is aan een rechtstaat, diegene die de wet schrijven, uitvoeren en interpreteren zijn onafhankelijk van elkaar en controleren elkaar. Als die wet niet duidelijk formuleert hoe dat precies moet gebeuren of in strijd is met de grondwet dan gooit de Hoge Raad dat gewoon in de prullenmand. Als het parlement, de regering en de Hoge Raad echter door dezelfde instantie gecontroleerd worden, dan maakt het natuurlijk niet meer uit wat er nu precies in die wet staat en kun je niet meer van een rechtstaat spreken.
De president van China zegt letterlijk dat China zeker nooit scheiding der machten, Constitutionalisme of rechterlijke onafhankelijkheid moet invoeren. Zonder deze dingen heb je geen rechtsstaat.
Al die dingen zijn, strikt genomen, geen voorwaarde voor een rechtsstaat. Ze helpen enorm, natuurlijk, maar zijn niet vereist. (Voor de duidelijkheid: ik ben er wel een groot voorstander van dat landen die principes toepassen, maar dat was de vraag niet.) Als de koning, een "gewone burger" en een zwerver alle drie een moord plegen, worden ze dan alle drie voor de rechter gesleept en krijgen ze alle drie dezelfde straf? Dat is in feite waar "rechtsstaat" op neerkomt.
Om een paar concrete voorbeelden te geven: Onder andere vrije meningsuiting, vrije pers en vrijheid van vergadering staan allemaal in de grondwet maar daar trekt de overheid zich niets van aan.
Dat is bij ons ook zo, maar ook hier zijn er uitzonderingen. Zolang er in de Chinese wet netjes ergens een wet is "in het kader van de nationale veiligheid mag over sommige dingen niet gepraat worden" (en zolang de overheid zich daar zelf ook aan houdt), heb je nog steeds een rechtsstaat.

Het is me overigens niet helemaal duidelijk in hoeverre deze discussie relevant is? Het zegt alleen iets over of de Chinese overheid door haar eigen wetten gebonden is. Het zegt niets over de vraag waar het hier echt over gaat: "heeft China een Patriot Act-achtige wet, waarmee ze bedrijven kan dwingen backdoors te installeren?". Goderic Zyphlan *) legde uit waarom dat zeer waarschijnlijk niet zo is. Daarna kwam jij met "ik zeg gewoon dat de Chinese wetgeving het toelaat" en "China is geen rechtstaat" (oftewel, geparafraseerd: "de Chinese wetgeving maakt niet uit, daar hoeft de overheid zich toch niet aan te houden"). Dat vind ik een vreemde redenatie; wat maakt het uit of de wetgeving het toestaat als de overheid zich toch niets van de wet aan hoeft te trekken...?

*) edit: naam gecorrigeerd

[Reactie gewijzigd door robvanwijk op 1 mei 2019 10:28]

Al die dingen zijn, strikt genomen, geen voorwaarde voor een rechtsstaat. Ze helpen enorm, natuurlijk, maar zijn niet vereist. (Voor de duidelijkheid: ik ben er wel een groot voorstander van dat landen die principes toepassen, maar dat was de vraag niet.) Als de koning, een "gewone burger" en een zwerver alle drie een moord plegen, worden ze dan alle drie voor de rechter gesleept en krijgen ze alle drie dezelfde straf? Dat is in feite waar "rechtsstaat" op neerkomt.
Om verder op jouw voorbeeld verder te gaan, zonder scheiding der machten is de koning ook de rechter. Denk jij dat ze dezelfde straf zullen krijgen? Een rechtsstaat zonder scheiding der machten is dat enkel op papier, niet in realiteit (volgens jouw definitie dan, volgens mijn definitie waar o.a. Wikipedia mee akkoord gaat is dat wel vereist).
Dat is bij ons ook zo, maar ook hier zijn er uitzonderingen. Zolang er in de Chinese wet netjes ergens een wet is "in het kader van de nationale veiligheid mag over sommige dingen niet gepraat worden" (en zolang de overheid zich daar zelf ook aan houdt), heb je nog steeds een rechtsstaat.
Die wet is artikel 1 van de grondwet: De CCP heeft de dictatuur over het land en daar houden ze zich zeker aan. Als dat China een rechtsstaat maakt (ik vind van niet in ieder geval) dan is het toch een heel ander beestje dan wij dat gewoon zijn. Misschien kun je het een rechtsstaat met Chinese trekjes noemen :+
Het is me overigens niet helemaal duidelijk in hoeverre deze discussie relevant is? Het zegt alleen iets over of de Chinese overheid door haar eigen wetten gebonden is. Het zegt niets over de vraag waar het hier echt over gaat: "heeft China een Patriot Act-achtige wet, waarmee ze bedrijven kan dwingen backdoors te installeren?". Goderic legde uit waarom dat zeer waarschijnlijk niet zo is. Daarna kwam jij met "ik zeg gewoon dat de Chinese wetgeving het toelaat" en "China is geen rechtstaat" (oftewel, geparafraseerd: "de Chinese wetgeving maakt niet uit, daar hoeft de overheid zich toch niet aan te houden").
Ik en Goderic zijn dezelfde persoon. En dat is zoals je zelf zegt, toch super relevant in deze discussie? De Chinese overheid zegt dat artikel een van haar grondwet de Communistische Partij de dictatuur over het land heeft. Artikel 1 van de grondwet laat de Communistische Partij dus toe om te doen wat ze willen. Geen Patriot act nodig. Of wat bedoel je hier?
Ik en Goderic zijn dezelfde persoon.
Sorry, mijn fout; bij het heen-en-weer scrollen door de thread de verkeerde naam gekopieerd; heb het in mijn vorige post gecorrigeerd.
Artikel 1 van de grondwet laat de Communistische Partij dus toe om te doen wat ze willen. Geen Patriot act nodig.
Dat staat er alleen niet. Jij beweert alleen dat dat zo is:
Als je de Chinese wetgeving leest alsof het de wetgeving is van een westers land is dat misschien zo, maar als je ze leest zoals ze feitelijk gebruikt word moet je er gewoon even het eerste artikel van de grondwet van de Volksrepubliek China bij halen:
Op die manier kun je ook wel roepen dat Nederland een dictatuur is; de hele grondwet zegt van niet, maar "zoals ze feitelijk gebruikt wordt" heeft de koning nog steeds alle macht en de Tweede Kamer is er alleen voor de show. En nee, daar doe ik geen onderbouwing bij, want die ontbreekt bij jou ook (en dat komt goed uit, want in mijn voorbeeld weten we allebei dat het vinden van zo'n onderbouwing.. "nogal lastig" zou zijn).

Als je geen fan bent van China, prima, dat recht heb je uiteraard. Maar "ik hou niet van communisme" en "ik ben tegen censuur" (of wat dan ook precies de reden is dat je niet van China houdt) is niet hetzelfde als "dus heel China is van boven tot onder evil".
Als je geen fan bent van China, prima, dat recht heb je uiteraard. Maar "ik hou niet van communisme" en "ik ben tegen censuur" (of wat dan ook precies de reden is dat je niet van China houdt) is niet hetzelfde als "dus heel China is van boven tot onder evil".
Ik heb nergens iets geschreven dat ook maar in de buurt komt van "dus heel China is van boven tot onder evil". China is geen rechtsstaat, de CCP staat boven de wet. Dat is de realiteit in China, geen waardeoordeel.

Dat is ook geen geheim of zo, als de president zelf zegt dat juridische onafhankelijkheid westerse ideeën zijn die China zeker niet moet overnemen zou je toch al moeten inzien dat het daar heel anders aan toe gaat. Als jij dat "evil" vindt dan ben jij diegene die China evil noemt, niet ik.
China is geen rechtsstaat, de CCP staat boven de wet.
Als je dat vaak genoeg roept, dan wordt het vanzelf waar. Zelfs zonder onderbouwing.
Dat is de realiteit in China, geen waardeoordeel.
Ah kijk, daar hebben we het al; je hebt het nu zo vaak gezegd, dat het automatisch de waarheid is geworden. |:(
Dat is ook geen geheim of zo, als de president zelf zegt dat juridische onafhankelijkheid westerse ideeën zijn die China zeker niet moet overnemen zou je toch al moeten inzien dat het daar heel anders aan toe gaat.
Het gaat er in China ook heel anders aan toe, dat krijg je in een compleet andere cultuur, nogal wiedes. Maar dat ze bepaalde Westerse ideeën niet overnemen heeft niets te maken met welke eigenschappen hun politieke systeem heeft. Om daar iets over te zeggen zul je naar het politieke systeem zelf moeten kijken. Jouw redenatie snijdt evenveel hout als "China zal nooit de dollar of euro als valuta overnemen, daarom zijn ze geen rechtsstaat".
Als je dat vaak genoeg roept, dan wordt het vanzelf waar. Zelfs zonder onderbouwing.
Ik heb genoeg onderbouwing gegeven. Als je me nog niet gelooft kun je wat inlezen in recente Chinese geschiedenis of het nieuws over China volgen.
Het gaat er in China ook heel anders aan toe, dat krijg je in een compleet andere cultuur, nogal wiedes. Maar dat ze bepaalde Westerse ideeën niet overnemen heeft niets te maken met welke eigenschappen hun politieke systeem heeft. Om daar iets over te zeggen zul je naar het politieke systeem zelf moeten kijken. Jouw redenatie snijdt evenveel hout als "China zal nooit de dollar of euro als valuta overnemen, daarom zijn ze geen rechtsstaat".
Nee, ze nemen essentiële onderdelen van een rechtsstaat niet over. Als China zegt dat ze nooit het stuur of het wiel zullen gebruiken dan kun je de donder op zeggen dat ze nooit zullen fietsen.
Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer

Sleepnet wet gaat volgens mij er nogal tegenin.
Om misverstanden te voorkomen: ik ben ook tegen de sleepwet, maar wat je hier zegt klopt simpelweg niet.

Als ik dat "juridisch Nederlands" even vertaal naar "leesbaar Nederlands", dan staat er "iedereen heeft recht op privacy, behalve als de wet iets anders zegt". Dus het is onmogelijk voor een wet om daar "tegenin te gaan"; dat artikel zegt duidelijk dat de wet uitzonderingen kan maken en dat is precies wat de sleepwet doet. Dat jij en ik het een veel te grote uitzondering vinden is leuk en aardig, maar dat betekent nog niet dat het een inbreuk op de grondwet is.
Ik heb geen rechten gestudeerd dus kun je gelijk in hebben.

Echter waar ligt de lijn dan om uitzondering te maken? want wanneer is het dan in 1 klap wel tegen de grondwet in?

Mocht je rechten opleiding gedaan hebben dan ben ik wel nieuwsgierig persoonlijk om te zien hoe het vanuit dat oogpunt geregeld is.
Echter waar ligt de lijn dan om uitzondering te maken? want wanneer is het dan in 1 klap wel tegen de grondwet in?
In de grondwet is voor elk artikel vastgelegd of uitzonderingen mogelijk zijn. Ter vergelijking, de eerste drie artikelen van onze grondwet:
Artikel 1
Allen die zich in Nederland bevinden, worden in gelijke gevallen gelijk behandeld. Discriminatie wegens godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht of op welke grond dan ook, is niet toegestaan.
Zoals je ziet bevat artikel 1 (in tegenstelling tot artikel 10.1 wat jij noemde) geen "tenzij de wet iets anders zegt" uitzondering. Dus een wet die tegen artikel 1 in gaat zou wel de grondwet breken.
Artikel 2
1 De wet regelt wie Nederlander is.
2 De wet regelt de toelating en de uitzetting van vreemdelingen.
3 Uitlevering kan slechts geschieden krachtens verdrag. Verdere voorschriften omtrent uitlevering worden bij de wet gegeven.
4 Ieder heeft het recht het land te verlaten, behoudens in de gevallen, bij de wet bepaald.
Een mooi voorbeeld van het nut van dit soort uitzonderingen is artikel 2.4. Het klinkt ontzettend redelijk dat je dat recht (normaal gesproken) moet hebben, maar het is niet de bedoeling dat iedereen die een celstraf uitzit zomaar kan zeggen "weet je wat, ik heb zin om het land te verlaten", dus de wet kan voor dat geval een uitzondering maken.
Artikel 3
Alle Nederlanders zijn op gelijke voet in openbare dienst benoembaar.
En ook hier ontbreekt de mogelijkheid op een uitzondering. In Nederland zouden we dus (zonder grondwetswijziging) geen wet kunnen maken in de trant van "alleen personen die in Nederland geboren zijn, mogen premier worden" (I'm looking at you, USA...).
Mocht je rechten opleiding gedaan hebben dan ben ik wel nieuwsgierig persoonlijk om te zien hoe het vanuit dat oogpunt geregeld is.
Nee, dat niet, maar met rustig, nauwkeurig en drie keer lezen kom je een heel eind. Een beetje kennis van oubollig taalgebruik helpt soms ook. :+

[Reactie gewijzigd door robvanwijk op 30 april 2019 22:29]

Nice en bedankt. Maar hoe zit het dan met positieve discriminatie }> :9
Dit lijkt enigszins op onze sleepnet wetgeving, waaraan providers verplicht moeten meewerken.
Met de kanttekening dat dit een NATO/NAVO site is en daarmee politiek gechargeerd is (oa. tegen China).
https://www.nato.int/nato-welcome/index_nl.html
De schrijver is : The NATO Cooperative Cyber Defence Centre : Wij van Wc eend?

Looking at its direct commitment to Europe, the US contribution to NATO common funding stands at a fairly hefty 22.1%, or about US$685 million

https://www.businessinsid...-funded-2018-7/?r=US&IR=T

En welke leverancier blijft erover als huawei buitengesloten wordt ;) . Cisco en dat is nou net amerikaans.

[Reactie gewijzigd door Zyphlan op 30 april 2019 11:34]

Niet alleen Cisco hoor, ook Ericcson (schreef bijna Sony Ericcson, maar ze zijn tegenwoordig weer zelfstandig?) en Nokia, naast nog anderen.
Uiteraard maar als je prijs/kwaliteit gaat pakken?
Welke staat er op nummer 2 na huawei?
Is dat toevallig Cisco?

Aanbestedingen gaan in veel gevallen om prijs dus als je al weet dat Cisco goedkoper is dan de europese concurrenten dan is het natuurlijk wel makkelijk om te schrijven.
Fair enough, die kans is best dat Cisco nummer 2 op p/k basis is. Dan is dit inderdaad mogelijk een staaltje Amerikaanse sabotage (of poging daartoe). Ben benieuwd wat het verschil netto is tussen de Chinese, Amerikaanse en Europese leveranciers.
Dan is dit inderdaad mogelijk een staaltje Amerikaanse sabotage (of poging daartoe).
Het ligt er duimendik bovenop dat dit een Amerikaanse campagne is in het kader van 'America first'.
Dreigementen van de Amerikaanse Inlichtingendiensten m.b.t. het delen van data met landen die Huawei apparatuur gebruiken in hun 5G netwerk (ook in het niet core gedeelte) rieken IMO naar pure chantage.
Dit specifieke artikel van Bloomberg gaat over zwakheden in consumentenrouters (die door Vodafone zijn verspreid) van Huawei die ergens tussen 2008 en 2011 zouden hebben bestaan. De titel en verdere opbouw van het artikel zijn duidelijk bedoeld om Huawei verdacht te maken, terwijl zwakheden in (consumenten)routers van alle dagen zijn.
Even iets recenter dan 2008-2001 https://www.zdnet.com/art...ters-using-a-new-exploit/; De NVD lijst van NIST bevat voor Cisco Small Business ook 37 geregistreerde vulnerabilities, waarvan een groot deel de 'high' rating krijgt. Ook maar geen Cisco gebruiken dus...
"En welke leverancier blijft erover als huawei buitengesloten wordt ;) . Cisco en dat is nou net amerikaans."
Dit exact had ik dus ook, maar goed om nu gelijk een kant te kiezen vind ikzelf ook zo wat. Hoe dan ook, ik ben benieuwd wat er hierover nog verder naar buiten komt, dus houd dit dan ook voorlopig nog even goed in de gaten, althans voor zover mogelijk.
Over het algemeen was Bloomberg wel betrouwbaar maar ze hebben vorig jaar echt een enorme flater geslagen met de melding dat Huawei hardware backdoors toevoegd, zeker toen het beweerde slachtoffer ook alles ontkende en er sindsdien geen enkel bewijs is getoond waaruit blijkt dat het artikel waarde had. (Overigens vreemd dat Tweakers niet refereert in bovenstaand artikel naar de zaak van 6 maanden geleden).
Nu komt Bloomberg weer met een soortgelijke bewering, en eveneens zonder bewijs dat het 1) moedwillig is toegevoegd, en 2) niet is opgelost na de datum die Vodafone en Huawei beweren dat het is opgelost. En dat allemaal toevallig op het moment dat de Amerikaanse regering oorlog aan het voeren is tegen Huawei, en haar eigen bondgenoten dreigt met stopzetten van samenwerking indien ze Huawei gebruiken.

Ik ben van nature geen complotdenker, maar enige vorm van hard bewijs zou in deze zaak wel erg welkom zijn

Update: ik zie dat tweakers nu een alinea heeft toegevoegd over de eerdere dubieuze claims van Bloomberg, waar eveneens geen bewijs voor was

[Reactie gewijzigd door anargeek op 30 april 2019 14:09]

Was dat niet supermicro? Volgens bloomberg was er een hele kleine chip gevonden die er niet hoorde, en die zou door china geplaatst zijn. Dat heeft volgens mij niks met huawei te maken verder.
Excuses, helemaal gelijk, dat was SuperMicro. Veranderd verder niet veel aan de geloofwaardigheid van Bloomberg
bloomberg voert gewoon een politieke agenda tegen china. Maar amerikaanse newssites zijn toch niet geloofwaardig
Yep. Vergelijkbaar met Reuters, dat ook vol ingezet heeft op de productie van nepnieuws.
https://russia-insider.co...PyHr-QwAbIrOBj7zeEfqapd6c
Had Bloomberg niet eerder een artikel waarin ze hadden over hardware uit China welke aangepast was door de overheid, maar wat door de betrokken partijen als onzin weg gezet? Volgens mij oa Apple en Amazon verklaarden dat het artikel kul was.

Dit lijkt mij weer zo een onzin verhaal, want ze komen echt nergens met bewijs, behalve wat documenten die Bloomberg heeft ingezien en contacten die Bloomberg heeft gesproken.

Edit, artikel gevonden
nieuws: Tim Cook: Bloomberg zou artikel over Supermicro-hack moeten intrekken

[Reactie gewijzigd door Praetextatus op 30 april 2019 11:05]

Dat niet alleen, het wordt nog 'erger' in de zin van dat zelfs de NSA, de VS en Supermicro het zelf ontkennen: AnonymousWP in 'nieuws: Bloomberg: Vodafone vond 'verstopte backdoors' in Hua...
Let wel even op wie dit artikel naar buiten brengt. Bloomberg, en het originele artikel is heel erg ge-ent op dingen verdraaien (zoals kwetsbaarheden ineens backdoors te gaan noemen). Het zijn pas backdoors als het aantoonbaar bewust is toegevoegd om eventueel toegang te kunnen verschaffen, net zoals dus bv bij hardware van bepaalde amerikaanse leveranciers in het verleden al is aangetoont.
Bloomberg heeft ook nog steeds niet zijn handen afgetrokken van "The Big Hack", het van alle kanten rammelende stuk over hardware-matige spionage door China.

Ze zijn in deze hun status als betrouwbare bron enigszins kwijt. Voordat ik dit verhaal geloof zal ik het eerst door een andere journalistieke partij bevestigd willen zien.

Bloomberg lijkt op dit ojnderwerp domweg voor de sensatie en speculatie te gaan, in plaats van gedegen uitgepluisde journalistiek.

[edit]
Nou, zie de update en de reactie van Vodafone. Waar zijn ze bij Bloomberg mee bezig?

[Reactie gewijzigd door Keypunchie op 30 april 2019 13:31]

Oh klopt ja, dat was ook bloomberg die toen naar buiten kwam met die backdoors in chips, waarbij zelfs Apple achteraf zei dat dat helemaal niet waar was.
En zoals je al zelf zei wat betreft de reactie van Vodafone, zeker na de zoveelste probeersel van Bloomberg, kun je deze nieuwsmedia niet meer serieus nemen. en puur voor propaganda van bepaalde politieke partijen.
Nou, dit inderdaad.

2009-2011, was dat niet voordat die telnetdiensten controversieel werden? Ik meen me iets te herinneren over het Mirai-botnet, waardoor die telnettoegang opeens in het nieuws kwam, omdat een schrikbarend groot deel van de netwerkverbonden hardware lek bleek. Tot dan toe een vrij standaard methode voor supporttoegang enzo, tot duidelijk werd dat dat misschien toch kwetsbaar was - toen er eenmaal miljoenen dingen geïnfecteerd waren en die vrolijk samen begonnen te DoS'sen.

Ik weet niet of ik dit nou helemaal de smoking gun vind waar men zo fanatiek naar op zoek is, helemaal omdat er al bij werd vermeld dat er 0 bewijs was dat dit daadwerkelijk werd gebruikt. Het klinkt eerder als een exploit vulnerability dan een backdoor, van een soort dat in die periode meer regel dan uitzondering was. Helemaal als er dus kennelijk 26 van die veiligheidsproblemen in zaten - dat is doorgaans geen ongelukje, maar gewoon een te gehaast ontwikkelingsproces met middelmatige ontwikkelaars :+ Als je backdoors gaat inbouwen wil je zo weinig mogelijk dat er verdacht uitziet, niet een systeem dat bij inspectie zo lek als een mandje blijkt.
Mirai is 2016 FYI.
Bloomberg noemt specifiek een telnetdienst als kwetsbaarheid.
De aanwezigheid van Telnet voor het beheren van een systeem is op zich geen kwetsbaarheid. Het is pas een kwetsbaarheid als er ingelogd wordt over een onbeveiligde verbinding, of als men niet hoeft in te loggen. Er is geen reden om aan te nemen dat het 'at rest' onveilig is, tenzij een test iets anders uitwijst (buffer overflows in het inlogproces, etc.).

[Reactie gewijzigd door The Zep Man op 30 april 2019 11:07]

Is er iemand die veel verstand heeft van dit soort apparatuur en kan vertellen of dit soort beveiligingsgaten/-fouten ook bij andere leveranciers op deze schaal voorkomen? Of is dit echt iets van Huawei?

(Overigens best laakbaar en verdacht als Vodafone Huawei erop heeft gewezen dat die fouten in de software zaten, Huawei geclaimd zou hebben dat ze het opgelost hadden maar vervolgens Vodafone dezelfde fouten nog steeds ontdekt zou hebben. Dan maak je jezelf het niet echt gemakkelijk wanneer het om verdenkingen van spionage gaat later)
Ik heb sinds eind jaren negentig tot heden voor verschillende ISP's en netwerkboeren gewerkt. Zowel aan de kant van het hardwarebouwen als aan de bestuurskant. Ik kan u vertellen: dit soort gaten zijn ongebruikelijk.... bij apparatuur die nét geleverd is.
Grote knelpunten waren (tot enkele jaren geleden, eigenlijk) altijd:
  • Updates op de software en firmware.
  • Eisen van de klant.
Over-the-air updaten van software en firmware is een ingewikkeld proces. Ik vergelijk het een beetje met een raket lanceren, die smijt een satelliet in de baan om de aarde, en vervolgens vliegt ie terug om rechtop op een schip in de oceaan te landen. Natuurlijk, een patch van de software over het netwerk gooien is één ding. Een kernel-upgrade over-the-air uitvoeren is een heel andere. En dan weet u niet eens zeker of alle apparatuur ook daadwerkelijk aan het internet hangt (ja, ook tegenwoordig komt het nog steeds voor dat iemand met een CD-ROM in zijn zak op het vliegtuig stapt om ergens in de wereld een update uit te voeren. er zijn niet veel klanten die voor dat soort service willen betalen, maar bij sommige leveranciers is dat de enige methode)..

En dan moet de oorspronkelijke auteur nog wel bestaan. Oeps, dat bordje of dat chipje in het apparaat is gemaakt door een bedrijf dat drie jaar geleden op de fles is gegaan. Daar sta je dan. Of die firmware is geniaal, geschreven door een paar studenten als afstudeerproject. Maar die lui zijn allang afgestudeerd, hebben banen, en de broncode staat op een PC die in de afvalcontainer ligt. Klinkt als waanzin? Nee, dit gebeurd continu. Er zijn maar weinig bedrijven (Huawei komt in mij op) dat niet aan elkaar hangt van afhankelijkheden van andere toeleveranciers. Het failliet gaan van een ervan is doorgaans een goede reden om product X uit het assortiment te nemen, en product Y te lanceren. Leveringsgaranties zoals men bij sommige overheidscontracten wel ziet, zijn natuurlijk ook mogelijk. Maar die kosten klauwen met geld.

Eisen van de klant zijn ook nog iets waar men rekening mee moet houden. Een leverancier levert vaak ook spullen die gewoon naar alles open staat, met de mededeling wel even zelf netjes dicht zetten wat de klant dicht wil hebben. Is ook niet zo gek, want u als ISP van 'zakelijke netwerkdiensten' voor 'duurbetalende klanten' heeft nét een partij van 500 modems binnengekregen en die moeten overmorgen al op de post naar de klanten, en die modems moeten nú ingesteld worden, en daarvoor heeft de stagiair een heel mooi Perl-scriptje geschreven, dat werkt via telnet. Of de telnet mogelijkheid daarna ook dichtgezet wordt is niet van belang, overmorgen moeten de apparaatjes al ingepakt op de PostNL rolkar staan. Als u met grote toeleveranciers (de Huaweis, Ciscos en Arubas) gaat praten, komen die tegenwoordig ook met consultancy diensten die dat soort (veiligheids) kaders gaan schetsen en eisenlijsten opstellen. Maar vroeger was dat anders. En bij kleine leveranciers en dienstverleners is het nog maar de vraag.

Sowieso is telnet hebben geen raar iets. Netwerkapparatuur leunt nog zeer sterk op de Hayes command set uit de jaren '80.
Bedankt, dit soort informatie was ik naar op zoek :D
Standaard enkel telnet gebruiken, en geen SSH, is iets van de vorige eeuw. Telnet is plaintext, en zeer eenvoudig met MITMen. Moet je niet willen. En niet alleen telnet is een probleem. Ook zaakjes als DHCP.

Zie deze talk van 3,5 jaar terug https://media.ccc.de/v/32c3-7133-beyond_your_cable_modem

Over Supermicro kan ik deze talk aanraden https://media.ccc.de/v/35c3-9597-modchips_of_the_state
Standaard enkel telnet gebruiken, en geen SSH, is iets van de vorige eeuw. Telnet is plaintext, en zeer eenvoudig met MITMen. Moet je niet willen.
Legt dat maar uit aan de Ericsons van deze wereld. Het gaat niet zozeer om de router of switch zelf, maar om de losse modules die aan de binnenkant van de behuizing zitten. Die praten nog altijd met elkaar en met het moederbord in telnet. Dat is ook geen probleem, mits ze niet naar buiten praten met telnet. (tenminste, niet als ze live staan) Maar ook dat is maar de vraag, want vaak is het vergroten of uitbreiden van dat soort apparatuur, meer van die bordjes gaan stapelen. En die willen natuurlijk ook graag met elkaar praten.

Dan kunt u, als maverick, hotshot Shenzhen/Eindhoven (maar ik gok Shenzhen) start-up wel denken: míjn ethernet/fiber/gsm/sdr/lte/sensor modules (of heck, de voedingmodule) praat niet als primaire/diagnostische/command kanaal met telnet, maar met SSH! Maar dan stuit u op het volgende:
  • Waar zet u de usermanagement?
  • Waar op het apparaat slaat u de wachtwoorden op?
  • Heeft uw chip genoeg power om én te doen wat die moet doen én een SSH kanaaltje te onderhouden?
  • Uw klanten willen telnet, want I2C naar telnet is veul makkelijker.
  • Uw klanten vinden SSH te langzaam.
  • Uw klanten willen niet dat als zij de private key kwijt zijn, ze het printplaatje in de prullenbak kunnen mikken.
Intern verkeer hebben we het niet over. Dan moet je ook gaan klagen als bijv via een socket wordt gepraat.
Waar op het apparaat slaat u de wachtwoorden op?
Secure Enclave oid.
Uw klanten vinden SSH te langzaam.
SSH is niet te langzaam. Mosh werkt prima over high latency netwerken.
Intern verkeer hebben we het niet over. Dan moet je ook gaan klagen als bijv via een socket wordt gepraat.
Eigenlijk, daar heb ik het wel over. Want ik heb het vooral over de wirwar aan losse componenten ín het kastje.
Secure Enclave oid.
"Zozo" ..zegt de potentiele klant die he-le-maal uit het verre Nederland een berichtje heeft gestuurd op alibaba "...dat wordt wel een erg dure thermostaat die we aan het ontwikkelen zijn"
SSH is niet te langzaam. Mosh werkt prima over high latency netwerken.
Dat hoeft u mij niet te vertellen. Vertelt u dat de engineer die de inkoopmanager heeft meegenomen en zijn hoofd schud en mompelt "die handshakes kosten kostbare microseconden op de bus".
Het lijkt me stug dat je een vendor kan vinden die nooit veiligheidslekken heeft zitten ergens in de soft- en/of hardware. Dat maakt dit soort zaken ook knap lastig om te zien of het doelbewust is gedaan of 'normale' lekken zijn.
Een lek die gevonden wordt in een huis tuin keuken modem/router. De reactie van Huawei lijkt me vrij realistisch..
Als je goed leest zijn het niet alleen de huis-, tuin- en keukenmodems- en routers die getroffen zijn als de claims van Bloomberg kloppen, maar ook netwerkinfrastructuur. Vervelende is dus dat Bloomberg geen enkel bewijs lijkt aan te leveren verder. Een boel 'hearsay' en geen enkel bewijs verder bij het artikel om te onderbouwen.
Zullen we ze maar ui de kast trekken:
Waar rook is is vuur & een gewaarschuwd mens telt voor twee.
Toch jammer als Huawei niet meer gebruikt zal worden voor netwerken, zo blijft natuurlijk nog maar een enkel land over die ons makkelijk kan bespioneren. -sarcasme-
Bloomberg moet je een beetje met korrel zout nemen. Zeker wanneer het om dit soort berichten gaat.
@Wim-Bart & @Keypunchie
Ik dacht dat 'waar rook is is vuur' wel duidelijk zou maken dat je niet alles moet geloven (zeker bloomberg niet) maar de waarheid wel dichterbij ligt dan gedacht. En geloof ook best dat er sprake is van framing door de VS, maar two wrongs don't make a right :+ Ik ga er gewoon van uit dat alle data over een netwerk bekeken zal worden door partijen. Russen, Chinezen, Koreanen, VS etc. take your pick.
Maar zijn de remote management functies van HP/IBM/Cisco/Intel enzo ook geen Backdoors?
Waar rook is is vuur & een gewaarschuwd mens telt voor twee.
Sure, maar Bloomberg heeft al eerder een vonk een vuurtje genoemd. (Artikel 'the big hack')

Ik denk dat het verstandig is om voorzichtig met Huawei om te gaan, maar niet vanwege wat Bloomberg roept.

[ed. n.a.v. update]
Nou, nu corrigeert ook Vodafone in de update Bloomberg.

[Reactie gewijzigd door Keypunchie op 30 april 2019 13:32]

Vodafone / ASML stuk voor stuk bedrijven die de Amerikanen tegenspreken met hun insintuaties dat china agressief bezig is en het staats geleid is.

Veel overduidelijker dat amerika bezig is met het framen van Huawei en China in slecht daglicht stellen kan niet veel duidelijker naar voren komen
Ik heb liever 1 iemand die mijn data in kan zien en kan gebruiken voor zijn negatieve doeleinden dan 2 of 3 of 4 of 5. Als het er één is, is dat veel makkelijker aan te pakken en te overzien. Als je eindelijk klaar bent met het gebruiken van niet-encrypted Amerikaanse datastromen, om het zo maar even te noemen, en dan ook nog eens alles wat vol Chinese backdoors zit, moet aanpakken, dan is dat toch een groter karwei, iets wat ik liever niet doe.
Van de VS weten we het zeker. Laten we dan de VS gaan uitsluiten om te beginnen
We weten het ook met zekerheid van NL hoor, al je telefoon verkeer en al je internet verkeer wordt immers wettelijk verplicht (ontsleuteld) opgeslagen.
Alleen daar hoor je niet zoveel over, want de grote boze VS, of het grote boze China is natuurlijk veel "spectaculairder" voor de pers.

Puntje bij paaltje, als het belangrijk en/of geheim is moet je het niet op een computer zetten en je moet het al helemaal niet via de telefoon erover hebben.
Ik had het over hardware.

En inderdaad, Nederland is geen haar beter en sluist alles door.
Als er maar 1 land aangepakt zou kunnen worden wie moet dat dan gaan doen? :)

Het verschil in bureaucratie tussen landen is misschien minder leuk, maar beschermt ons wel tegen onze eigen overheid.
Wij zelf. Als je weet dat de Amerikanen meekijken dan stop je met Facebook etc. Als je weet dat de VS, China, Rusland, India, Japan en Micronesië meekijken dan wordt het lastiger om ze allemaal uit te sluiten.
Het feit dat je weet da ze meekijken komt zo goed als altijd door mensen aan de andere kant. Die landen zouden die vuile praktijken gewoon allemaal nog doen als het niet publiek gemaakt wordt door mensen die zogezegd aan de andere kant van de overheid staan. Dat hele "wij" idee is té big brother.
Ik gok dat je "-sarcasme-" aan het einde van het bericht van @D0gtag hebt gemist ;)

Er is zeker een propaganda stroom tegenover Huawei vanuit de USA en zoals in de laatste toevoeging aan het artikel is te lezen herkent ook nu de partij welke zogenaamd getroffen zou zijn zich niet in de beschuldigingen vanuit Bloomberg. Iets wat we al eerder hebben kunnen zien bij de beschuldiging van Bloomberg omtrent de zogenaamde spionage chips van SuperMicro.
Bull shit, er is ooit een regering geweest die Joden en groot gevaar noemde....
De burgers gingen hierin mee, de rest is geschiedenis.
Was totaal ongefundeerd maar wel iets wat een overheid riep....
Ken je geschiedenis!
Het eerste dat er was, was een ongefundeerd onderbuikgevoel bij de burgers dat Joden niet deugden.
Daarna kwam er iemand die op dat onderbuikgevoel inspeelde en gebruikte om aan de macht te komen en de absolute macht naar zich toe te trekken.

De slechte reputatie van de Joden is veroorzaakt door de Kerk. Jezus is gekruisigd door toedoen van de Joden, dus konden Joden daarna niets meer goed doen. In de door de Kerk gedomineerde samenleving werden ze vrijwel buitengesloten en stonden beroepen die door gildes werden beheerst niet voor ze open. Daardoor zochten ze vaak toevlucht in vrije beroepen. Vele Joden kwamen terecht in marginale beroepen die te min waren om onder een gilde georganiseerd te worden. Maar enkele Joden werden handelaar of bankier, beroepen die bij de Kerk ook in een kwaad daglicht stonden omdat het daar voornamelijk ging om geld te verdienen en niet om anderen van noodzakelijke levensbehoeften te voorzien. Veelal waren dat ook beroepen waar je als normaal mens vooral mee te maken kreeg wanneer het (financieel) slecht met je ging. Ook dat had een uitstralingseffect.
Bij het verdwijnen van de gildes, het verminderen van de macht van de Kerk en het meer acceptabel zijn van het maken van winst verdwenen de grenzen tussen geloof en verschillende beroepen. Maar veel beroepen waren vastgebakken in families en als bv. bakkerszoon had je gewoonweg niet de middelen om bankier te kunnen worden. Dus de Joden bleven oververtegenwoordigd in de beroepen waar veel geld in om ging en oververtegenwoordigd in de rijke families. Dat ze ook oververtegenwoordigd waren bij de allerarmste families interesseerde niemand wat. Tijdens economisch slechte tijden, zoals begin vorige eeuw tijdens de Grote depressie en in Duitsland de jaren na de Eerste Wereldoorlog vielen wel de grote herenhuizen op waar Joodse families schijnbaar geen last van mindere tijden hadden, terwijl de getto's daarachter genegeerd werden. Dan komen de preken van de kansel, over de moordenaars van Jezus Christus goed aan en is er een goede voedingsbodem voor een aan te wijzen schuldige waar politici gretig gebruik van maken.


Het vingerwijzen van regeringen wat jij bedoelt, naar de Chinezen, maar ook naar Russen, Noord-Koreanen, Iraniërs, etc. is voor de meeste mensen een ver van hun bed show. Misschien wel eng, maar ze hebben er geen grip op en het is allemaal letterlijk ver weg.
Wat veel verontrustender is, is het onderbuikgevoel tegenover alles wat vreemd is en dat door verschillende organisaties en politici vanaf de zijlijn gevoed wordt, in de hoop dat dat het ticket wordt waarmee ze hun greep naar de macht kunnen doen.
Mwah, mooi verhaal,

Feit blijft dat de propaganda machine van de nazi's het allemaal mogelijk heeft gemaakt.

Nu zijn er ook heus wel onderbuik gevoelens bij de Chinese dictatuur hoor.

Maar minstens net zo veel of niet meer bij deze walgelijke vertoning van het Amerikaanse ministerie van propaganda met voorzitter (grab m by the pussy) trump
Mwah, mooi verhaal,

Feit blijft dat de propaganda machine van de nazi's het allemaal mogelijk heeft gemaakt.

Nu zijn er ook heus wel onderbuik gevoelens bij de Chinese dictatuur hoor.

Maar minstens net zo veel of niet meer bij deze walgelijke vertoning van het Amerikaanse ministerie van propaganda met voorzitter (grab m by the pussy) trump
Je weet wat Trump bedoelde he met "grab em by the pussy"?

Blijkbaar niet, hij had het of fan girls, bij fans kan je bijna alles doen, en vinden ze vaak goed ook, daarom zij hij "grab em by the pussy".

En VEEL mannen praten tegen elkaar zo over vrouwen, vooral met vrienden of mensen die je ken, betekent helemaal niks, zo lang ze dat niet allemaal in het echt doen, wat de MEESTE niet doen.

Woord zo moet van mensen, vooral mannen die dit naar voren brengen omdat ze bijna zeker weten ook wel is over vrouwen praten als ze met andere mannen vrienden zijn.

[Reactie gewijzigd door AmigaWolf op 1 mei 2019 03:17]

Je gaat alleen in op iets wat tussen haakjes staat nota bene...

Maar gefeliciteerd met Trump zijn 10.000 onwaarheidje
Aha ok, keek er overheen blijkbaar, ja het stikt van die onwaarheden over Trump, woord je dood ziek van, en mensen kunnen het zo vinden op internet.
Hahahahaha ik mis een paar stappen, hoe zijn we van netwerk apparatuur naar joden vervolging gegaan?
Ik ben blij dat je nadenkt, maar had liever gezien dat je gewoon had gelezen... geschiedenis b.v.
Volgende keer gewoon relevante onderwerpen aansnijden misschien? in plaats van deze Godwin, wet van:
'As an on-line discussion grows longer, the probability of a comparison involving Nazis or Hitler approaches 1.'
Mwa, ik zie best gelijkenissen.

De massa indoctrineren met een niet aflatende stroom van anti China berichten zodat de onderbuik van de burger geconditioneerd wordt naar de door de propaganda uitgezette lijnen...

De berg aan anti China nieuws is niet mals en allemaal ongefundeerd.

Daarnaast is Adolf door leugens en intrige aan de macht gekomen.... Ook daar zie ik gelijkenissen

[Reactie gewijzigd door well0549 op 30 april 2019 18:52]

Heeft tweakers ook om een reactie bij Vodafone gevraagd? Keer op keer is het Amerika die het naar buiten brengt maar vanuit server diensten en providers word het elke keer ontkent.
Ik heb voor publicatie Vodafone om een reactie gevraagd, ik wacht nog op antwoord. Zodra ik iets hoor dan update ik het artikel :)
Meestal hangen dit soort (goedkope, maar soms ook dure) netwerkapparaten van ellende aan elkaar. Er worden goedkope / gratis software componenten aan elkaar gebutst en als het werkt dan is het goed. Kritieke vulnerabilities zijn dus niet zo heel bijzonder, sterker nog, ik heb zelf een aantal CVE's van andere vendoren op mijn naam staan. En de reacties van die vendoren zijn vaak ook bedroevend.

Dus als het gaat om een RCE (remote code execution), Huawei is daar niet alleen in. Maar ja, Huawei kan natuurlijk ook een update uitbrengen (wat ook code execution is), dus wat maakt dit bijzonder?

Om even de telnet kwetsbaarheid te nemen: stel je kan in het systeem komen met admin:admin. Hoe komt Huawei dan bij dit device? Het is alleen bereikbaar vanaf het netwerk van de klant en het netwerk van de ISP. Of zet de router een reverse connectie op naar Huawei? Of is er een andere manier waar duidelijk uit blijkt dat er opzet in het spel is (bijvoorbeeld een magic packet moeten sturen o.i.d.). In dat geval zou je inderdaad kunnen spreken van een backdoor.

Ik denk dat dit onderscheid wel belangrijk is om te maken in de discussie over Huawei.
Hmmm, dus eerst publiceren ondanks vermelding "problem resolved" en anonieme bronnen én hun eerdere "hardware (chips) backdoors" verzonnen verhaaltje?
En dit keer is het ook nog een Amerikaanse financiële dienstverlener welke er waarschijnlijk alle baat bij heeft dat producten uit de USA een betere positie krijgen dan de buitenlandse partijen.
Stemmingsmakerij, bijna elke leverancier van netwerk producten had hardcoded passwords of backdoors in de software zitten in die tijd. Vaak over gebleven van test doeleinden. Alleen daar hoor de media weer niet over, de mainstream media is zoooo nep!
Valt Tweakers niet onder mainstream media? Volgens mij wel hoor.
Sedert de overname door mediabedrijf VNU (onderdeel Persgroep) is het duidelijk alle hens aan dek.
Klikken = kassa
Daarbij is dit iets vanuit het verleden waar de Amerikanen nog geregeld opduiken met de nodige schandalen is er over Huawei geen concreet en recent bewijs meer te vinden. De Amerikanen zijn erg goed in het wijzen naar anderen maar zelfreflectie hebben ze blijkbaar niet echt van gehoord.
Als jij daar een bron voor hebt, wil Tweakers daar vast ook wel een bericht aan wijden. En denk je ook niet dat er verschil zit tussen een Chinese fabrikant die backdoors inbouwt en een VS-fabrikant die dat doet?
Welk verschil dan wel?


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True