Microsoft: CIA heeft geen achterpoortjes laten installeren

The Age bericht dat Microsoft honend heeft gereageerd op lang bestaande speculaties dat haar code achterdeurtjes voor de CIA zou bevatten. De chief security strategist van het bedrijf stelde op TechEd 2003 vast dat het inbouwen van dergelijke backdoors geen verstandige beslissing zou zijn. Ze zouden volgens hem immers vrijwel zeker ontdekt worden, met alle gevolgen van dien voor de softwarereus. Het bericht komt op een moment dat de Australische regering een overeenkomst heeft getekend met het bedrijf om toegang te krijgen tot de broncode van Windows, als onderdeel van het Government Security Program van het bedrijf. Dat initiatief werd opgestart nadat diverse overheden hadden geweigerd Microsoft software te gebruiken, wegens twijfels over de veiligheid daarvan. Dankzij GSP kunnen overheden zelf de code testen en controleren, en krijgen ze de beschikking over documenten die de security toelichten:

"Let assume we put a back door in, do you think it wouldn't be discovered? Look how many people are probing and testing our products," Charney told a security round table at Microsoft's premier technical conference, TechEd 2003, in Brisbane this week. "If it was discovered, what do you think our long-term business survivability would be? I think it would be zero."

Reacties (81)

Verwijderd 15 augustus 2003 15:33

Als ik de CIA was en een achterdeur wil inbouwen zou ik het bewust als een onschuldige buffer underrun doen.

Ik kan deze buffer underrun op elk moment gebruiken om toegang tot het systeem te krijgen en als het wordt gespot is het gewoon een security probleem van Microsoft !!

Opvallend dat er na 10 jaar windows nog ZOOO VEEEL van dit soort problemen in windows zitten!

OverSoft @Verwijderd • 15 augustus 2003 15:37

Het probleem met opvolgende OSsen van MS is dat ze niet opnieuw worden geprogd maar alleen maar groter en dus buggier worden. In de miljoenen, wat zeg ik, MILJARDEN regels code is een fout niet zo snel gespot.

Het kan wel zo zijn dat over een aantal jaar Windows XP bugvrij is (he, het KAN

), maar ondertussen is er allang weer een nieuw OS uit, die vol met fouten zit.

0rbit @OverSoft • 15 augustus 2003 19:05

Dat is niet helemaal waar. Sinds windows 2000 (en dus ook XP) is de hele Win98 reut niet meer gebruikt. De basis voor Win2000 was reeds bestaande NT code.

Iedere backdoor; Hoe moeilijk je hem in de code ook vindbaar maakt, zal op den duur gevonden worden door fervente hackers door systemen waar de code op draait proberen te hacken... Voor zulke backdoors moet altijd een patch komen en dat doet Microsoft ook trouw.

Een door de CIA aangebrachte backdoor doe ik dan ook af als de zoveelste complottheorie die tracht te bewijzen dat 'ze' de mensheid tot slavernij willen dwingen.

hardwareaddict @0rbit • 16 augustus 2003 03:36

Dit is een onzin statement. Een backdoor vindt niemand zonder de source code @ hand.

Debuggen is het ding ook te groot voor want je kunt die security code nodig om het ding te hacken, laten we zeggen een 10000 digit RSA signature, bijvoorbeeld stoppen in een of andere onnozele DLL die geen australier ooit debugged.

Ook de australische regering MET source code kan nog fiks in de aap gelogeerd zijn. Wie had het europese parlement jarenlang zonder ontdekt te worden afgeluisterd?

Denk je echt dat als de australische regering, die maar een paar hackers kan inhuren om die code te controleren, dat die al die code kunnen controleren?

Misschien 0.1% ofzo, meer budget hebben die lui bij de overheid echt niet.

Overigens de basis kernel voor x86 is in assembly. Dat is lekker makkelijk te controleren code niet waar?

De reden waarom microsoft zo lang nodig heeft om al die bugs uit de NT kernel te halen is dezelfde als waarom het zo lastig te controleren is. Het is namelijk lomp groot en dat is vrij logisch want wij willen veel features hebben.

Verder kunnen sommige manieren op toegang tot het systeem te krijgen ook nog heel indirect zijn. Dus bijvoorbeeld een volgorde van 20 verschillende dingen en settings.

De kans dat een gewone hacker dat vindt is dus iets als 1 / 100000000000000000000

Dus zelfs met de source code @ hand is het nog lastig om alles te vinden. Alleen de triviale dingen zijn te vinden.

In dat opzicht is een firewall maken m.b.v. een gestripte linux kernel wel heel wat simpeler en goedkoper hoor

MVG

Ritch @0rbit • 15 augustus 2003 21:23

En waar kwam de user interface van NT ook alweer vandaan, ja van win95, daar is de huidige GUI nog steeds op gebaseerd. Dat de de hele win95 kernel eruit is, betekend niet dat win2000 geen gezamelijke onderdelen heeft met bijv win95.

Verwijderd @0rbit • 16 augustus 2003 17:24

Er zit in XP zelfs nog 8bit dos code in, dus die vlieger gaat niet op

memphis @OverSoft • 15 augustus 2003 16:35

In de miljoenen, wat zeg ik, MILJARDEN regels code is een fout niet zo snel gespot

Nope, en een klein kattenluikje ook niet

deadinspace @NiGeLaToR • 17 augustus 2003 20:10

De laatste paar Linux buffer-overflows deden een serie machines de das om, samen met het feit dat er voor sommige bugs nog niet eens een fix is

Heb je daar concrete voorbeelden van? Voor het overgrote deel van de exploits is er binnen 2 dagen een fix. Ik ben benieuwd voor welke bugs volgens jou nog geen fix uit zou zijn.

(tjah, wie wil er dan ook een fix maken).

Dat vind ik een beetje een rare opmerking... In mijn ervaring nemen de meeste OSS developers security en security problemen heel ernstig, en ze werken dan ook graag mee om dergelijke problemen op te lossen.

Los daarvan, welke OSS developer zou graag willen dat zijn product bekend staat als een onveilig POS, waarvan security problemen niet eens opgelost worden? Juist, dat wil niemand.

Dus Windows heeft wel voordelen, je weet altijd zeker dat er een fix komt

Oh, hoe weet je dat zo zeker dan?

Zo zitten er op dit moment 21 security issues die nog niet gefixt zijn door MS in Internet Explorer. Meer dan de helft van die exploits is meer dan een maand oud.

Verwijderd @OverSoft • 15 augustus 2003 16:05

[off-topic]
miljoenen regels code, winxp bvb. is in totaal slechts 1-2 miljard bytes.
[/off-topic]

Room42 @Verwijderd • 15 augustus 2003 18:15

Het aantal bytes is heel wat anders dan het aantal regels code! De sourcecode kan veel groter zijn dan de binaries.

0rbit @Verwijderd • 15 augustus 2003 19:07

Het voordeel van sources is wel dat ze als tekst op te vatten zijn en zich dus makkelijk een factor 8 of wat laten comprimeren.

Maar natuurlijk kun je stellen dat er een gemiddelde source lengte per instructie is. Iedere instructie neemt een x aantal bytes in de binary in. Grotere sources leiden tot grotere binaries.

bille @Verwijderd • 15 augustus 2003 16:25

Opvallend dat er na 10 jaar windows nog ZOOO VEEEL van dit soort problemen in windows zitten!

sorry hoor.. maar dit vind ik dus echt een dikke flame!

Net of Windows 10 jaar lang gebasseerd is op dezelfde broncode? Hoeveel bugs denk je dat er ontstaan door 10 jaar coden op een OS? Miljoenen regels code, duizenden ontwikkelaars + rotte versiebeheertools..

Hetzelfde geldt ook voor Linux, daar zitten evenveel bugs in.. dat heeft niets te maken met "de ontwikkelaar" dat heeft gewoon te maken met statistieken, geen coder kan bugloos programmeren, dus komen er bugs in.. x het aantal regels code = minimaal een boel bugs.

Ik denk dat je het spreekwoord met de bel en de klepel wel kent

overloaddesign @bille • 15 augustus 2003 19:11

Net of Windows 10 jaar lang gebasseerd is op dezelfde broncode

Neu dat is het ook niet en daar zit hem het probleem iedere keer nieuwe ideen.. hoe verklaar je anders het probleem dar je voor iedere kaart drivers voor 95,98,me, NT4, 2000 en xp nodig hebt... waarom bedenken die mensen geen goed concept en blijven daarbij !!!

Op het moment dat een OS gereed is wordt er zoveel capaciteit gestopt in de opvolger dat de huidige versie wel eens uit het oog wordt verloren.

Geef me dan maar linux die een geheel modulaire opbouw heeft van window manager, kernel enz enz.

ik draai zelf zowel windows XP als ook linux en doe op ze beide code kloppen... maar het is echt een stuk makkelijker om je win machine over de kop te halen als linux.

Ik wil niet zeggen dat de ene beter is dan de andere maar een feit is wel dat linux een stuk stabieler is als windows. maar daarom moeten ze een super stabiele versie van XP maken voordat ze beginnen met een project als longhorn.

Maarja bugs zijn er als sinds de eerste computer met relais( of moet ik gaan uitleggen waar het woord bug vandaan komt in de pc wereld)

Wel is een feit dat MS er te weinig aan doet om problemen te voorkomen.

InterCC @overloaddesign • 16 augustus 2003 14:21

waarom bedenken die mensen geen goed concept en blijven daarbij !!!

Omdat je als bedrijf dan je eigen glazen in gooit.
Als MS nu stopt met ontwikkelen, maar gewoon WindowsXP "perfect" (tussen aanhalingstekens, want wat is perfect. Dat is voor iedereen anders) maakt. Dan heb je een product wat nooit vervangen hoeft te worden. m.a.w MS raakt een erg succesvole (financieel gezien) tak van het bedrijf kwijt. Dat is dus geen optie. (bij geen enkel bedrijf wat op de lage termijn ook nog willen bestaan overigens). Komt bij dat mensen verandering willen zien.

Dat goede concept zoals jij het zeg gaat dus simpelweg niet.

Verwijderd @bille • 15 augustus 2003 17:02

Nou XP is gebasseerd op NT nog toen der tijd. XP is NT 5.1 gebaseerd op NT5.0, 2000 is NT5.0, NT5.0 is gebaseerd op NT4.0, NT4.0 weer op NT3.5 ofzo? die weer op NT3.0.

Waarom zijn de meeste exploits dan van NT4.0 tot Windows Server 2003? Omdat de WIndows versie gewoon uitgebouwd worden met alle gevolgen vandien, en als een fout helemaal onderligt ja dan is het wel raak...

NT4 kwam in 1996 uit, laat staan hoe oud NT3.0 was...

Grootste fout van microsoft is dat ze alles zoveel mogelijk in de kernel proppen. (snelheid voordeel?? Het meot toch een keer geladen worden dus dat klopt ook niet, je kan ook altijd een programma gedeelte in geheugen zetten bij het opstarten zodat het wat sneller gaat...)

bille @Verwijderd • 15 augustus 2003 17:53

jaja.. weer een expert

ze zouden je moeten inhuren bij MS!

Skyclad @Verwijderd • 15 augustus 2003 16:02

De CIA gebruikt gewoon dezelfde gaten als de rest van de wereld

consolefreak @Verwijderd • 15 augustus 2003 15:38

buffer underun -> buffer overflow

verder is 't wel slim id ja.. maarja.. denk je toch niet echt dat ze t express erin zetten?

bille @consolefreak • 15 augustus 2003 16:29

net of dat nodig is

hoeveel exploits/hacks zijn er ondertussen al wel niet bekend? Hoeveel denk je dat er dan nog onbekend zijn?

Veiligheid kan naar mijn idee op het moment niet volledig uit het OS komen, daarom bestaan er firewalls e.d. Knappe programmeur die een backdoor in alle firewalls wilt gaan bouwen...

Big Mama @Verwijderd • 16 augustus 2003 09:31

zou ik het bewust als een onschuldige buffer underrun doen.

Te veel gebrand de laatste tijd? Waarschijnlijk bedoel je een buffer-overflow, waardoor een programma crasht.

Verwijderd 15 augustus 2003 15:35

Het lijkt mij eerlijk gezegd ook niet aannemelijk, aangezien zoiets echt wel een keer ontdekt wordt, en de gevolgen voor Microsoft's reputatie zijn dan niet te overzien. Ik denk niet dat ze dat risico durven nemen, alhoewel Microsoft uiteraard graag overal de touwtjes in handen willen hebben.

Wel zou ik graag zien dat vooral overheden overstappen op Open Source, zoals in vooral Duitsland veelal gebeurt.

Dr. Cheeks @Verwijderd • 15 augustus 2003 15:44

Het lijkt mij eerlijk gezegd ook niet aannemelijk, aangezien zoiets echt wel een keer ontdekt wordt.

Het is heel goed mogelijk een backdoor in te bouwen op zo'n manier dat het vrijwel onmogelijk is om deze te ontdekken. Het kan zich bijvoorbeeld verschuilen achter een normale service, die pas het backdoor gedrag krijgt wanneer er een hele specifieke reeks van verder normale commando's binnenkomen. Als deze reeks maar lang genoeg is, is het onmogelijk om deze op goed geluk te vinden. Maar hij is er niet minder effectief om.
Source-code analyse haalt hiertegen ook niets uit, omdat het heel goed mogelijk is om code de verstoppen in andere (heel veel grotere) code. Niemand die dat kan ontdekken.

Eenzelfde techniek kan worden gebruikt op processorniveau. User-mode en protected-mode zijn goed gescheiden en in theorie kan je niet vanuit user-mode naar protected-mode. Maar wie zegt dat Intel (of AMD, of...) geen hele spcifieke reeks van instructies ingebouwd hebben die het toch toestaat om vanuit user -naar protected-mode te gaan? Een dergelijke 'feature' zou ook ingebouwd kunnen worden zonder dat het vindbaar is. Mijn docent processorbouw was er bijvoorbeeld van overtuigd dat er zo'n feature in de Intel chips zat. Niet omdat hij daar concrete aanwijzingen voor had, maar omdat zoiets perfect te verstoppen is en DUS wel door de Amerikaanse overhied verplicht gesteld zou zijn aan Intel.

Ik weet niet of er dergelijke features in onze producten zitten. Maar ik weet wel dat het goed zou kunnen en ook op zo'n manier dat het onvindbaar is. Blijft alleen het vertrouwen in overheden over...

edit:
Typo's

Beaves: Misschien zijn het broodje-aap verhalen. Ik zeg alleen dat het technisch weldegelijk mogelijk is om dergelijke zaken onvindbaar te 'verstoppen'. Je hebt er gelijk in dat de menselijke factor veel moeilijker beheersbaar is (voorkomen dat iemand uit de school klapt). En bedrijven zijn best door overheden te brengen tot het doen van dingen die ze misschien los van alles niet zouden willen. Zo worden vaak normale (internationale) bedrijven gebruikt door de CIA voor het doen van onderzoek in het buitenland en dergelijke. Met medeweten van mensen in die bedrijven. De (vroegere) nederlandse BVD was (en waarschijnlijk is) daar ook niet vies van.
Ik ben helemaal niet paranoia ingesteld, maar dergelijke dingen gebeuren gewoon in de wereld. Dus waarom geen backdoors en dergelijke? Mij boeit het verder ook niet. Ze doen maar.

Beaves @Dr. Cheeks • 15 augustus 2003 15:53

Een dergelijke 'feature' zou ook ingebouwd kunnen worden zonder dat het vindbaar is. Mijn docent processorbouw was er bijvoorbeeld van overtuigd dat er zo'n feature in de Intel chips zat. Niet omdat ie daar aanwijzingen voor waren, maar omdat zoiets perfect te verstoppen is en DUS wel door de Amerikaanse overhied verplicht gesteld zou zijn aan Intel.

Ik geloof dit soort verhalen niet, om de hele simpele reden dat het niet geheim te houden is en omdat je als fabrikant niet hoeft te luisteren.

Als de overheid morgen aan Intel de eis zouden stellen omdat ze anders niet meer mogen verkopen in de VS o.i.d. dan maakt Intel dat gewoon wereldkundig, is veel gemakkelijker dan luisteren en de kans lopen dat je het bedrijf kan opdoeken als het uit komt.

Zo ook bij MS, er hoeft maar een persoon die van de "regeling" af weet uit de school te klappen en MS (of Intel) kan in dat geval meteen ophouden met bestaan.

Allemaal broodje aap verhalen in mijn ogen dus

edit:

Je kan agenten van de CIA niet vergelijken met medewerkers bij o.a. MS, de werknemers bij bedrijven zoals MS en Intel zullen veel sneller uit de school klappen dan agenten van de CIA

MacD @Beaves • 15 augustus 2003 16:15

Herrinner je je nog die copiers, tijdens de eerste golfoorlog? Die werden aan Iraq geleverd met een extra set hardware erin; als ze geserviced moesten worden, dan kwam er een team uit de VS die dat deed...en tegelijk ook hoeveelheden info er van af haalden. Tevens werd dmv gps die copier gelocaliseerd, en die data werd dan weer gebruikt om het gebouw waar die copier in stond te bombarderen.

En dat allemaal doordat de CIA bij een bedrijf uit de VS had aangeklopt. Dit was breeduit in het nieuws, toendertijd. Dus waarom is het dan zo raar dat de CIA (die al eerder een backdoor in alle in de VS gemaakte incryptiemethoden wilde hebben) iets met Intel chips zou willen doen?

aTmosh @Beaves • 15 augustus 2003 17:47

Zo ook bij MS, er hoeft maar een persoon die van de "regeling" af weet uit de school te klappen en MS (of Intel) kan in dat geval meteen ophouden met bestaan.

Die ene persoon die voor Microsoft werkt kan best een undercover agent zijn natuurlijk, een al bestaande agent die daar is ondergebracht of daarvandaan gerecruteerd. Microsoft hoeft er niet eens wat van af te weten. En als die ene persoon uit de school klapt (wat niet gauw zal gebeuren want hij weet donders goed wat de sancties zijn) wordt het natuurlijk glashard ontkend, zit hij anoniem ergens in een strafkamp zonder dat iemand er ooit wat van hoort of krijgt betonnen schoenen aangemeten..

En ze zullen er natuurlijk voor zorgen dat een dergelijke backdoor ten eerste nagenoeg onvindbaar is (b.v. algoritmitsche zwakte waar je een wiskundige voor nodig hebt die alleen de NSA kan betalen of race conditions die door specifieke omstandigheden veroorzaakt moet worden en in de praktijk/test nooit voorkomt) en als het al gevonden wordt het er uit ziet als een normaal voorkomende bug zoals een buffer overflow. Samen met dat het bedrijf zelf niet of weinig (need to know) van af weet heet dat 'plausible deniability'. Ten derde zullen ze er een paar dozijn in stoppen om als er eentje ontdekt wordt genoeg achter de hand te houden. Als laatste zou het ook nog niet eens zo gek zijn als ze in het specifieke geval van Windows zich niet actief in hoefden te mengen, door de omvang en filosofie van het OS kunnen ze net zo goed de code blijven analyseren en de interessantere fouten voor eigen gebruik geheimhouden.

Bedrijven op zo'n schaal ontsnappen hier niet aan, en de sourcecode die ze vrijgeven aan regeringen is niet volledig en zal nagenoeg onmogelijk zijn te hercompileren op een manier dat ze tot dezelfde binaries komen, maar dat is er ook helemaal niet de bedoeling van. Het was onlangs nog in het nieuws dat M$ geen sourcecode vrij wilde geven omdat het schadelijk zou zijn voor de nationale veiligheid (wat vrijwel een directe toegave is dat het gewoon niet veilig te krijgen is).

Hetzelfde geldt voor een hoop andere bedrijven, denk maar eens aan een Cisco die firewalls levert aan China, dat is natuurlijk gigantisch interessant voor inlichtingendiensten. Overigens gaat het meeste over doodgewoon economische bedrijfsspionage, gewoon een Boeing die wil weten wat het bod van Airbus is bijvoorbeeld, dus een vorm van protectie van de eigen industrie.

RobT @Beaves • 15 augustus 2003 15:57

Ik geloof dit soort verhalen niet, om de hele simpele reden dat het niet geheim te houden is en omdat je als fabrikant niet hoeft te luisteren.

Je moest eens weten wat er allemaal geheim gehouden wordt, ook ivm de VS regering en de industrie!!!

Maar ja, ik weet het eerlijk gezegd ook niet, want het is geheim.

Beaves @Beaves • 15 augustus 2003 16:23

Dus waarom is het dan zo raar dat de CIA (die al eerder een backdoor in alle in de VS gemaakte incryptiemethoden wilde hebben) iets met Intel chips zou willen doen?

MacD, je zegt hetzelf al, wij (als publiek) weten dus wat er gebeurd is met die kopieer apparaten, je onderbouwd mijn punt perfect

Want het komt dus ooit uit, wat denk je dat de gevolgen voor Intel en MS zijn als dit soort dingen over 3 jaar ook breed in de media komen? Dat zou een ramp voor die bedrijven zijn, het zal rechtzaken regenen, niemand koopt meer producten van die bedrijven en ze gaan dus na verloop van tijd falliet.

MS en Intel zullen dus nooit toestemmen met dit soort praktijken, het zal ooit uitkomen.

boesOne @Beaves • 15 augustus 2003 16:53

Hij onderbouwd je punt helemaal niet. Die copiers hadden de feature. Het bestaat en gebeurt dus.
Dat het bedrijf in kwestie niet volledig uit de markt verdwenen is, komt alleen maar omdat het getroffen land Irak was en dat boeit de westerse consumenten niet echt.

Je zou dus aan de hand van dit voorbeeld kunnen speculeren dat alleen in de arabische windows versies achterdeurtjes zitten...

hardwareaddict @Beaves • 16 augustus 2003 18:33

Zonder te concreet in te willen gaan of die feature wel of niet in de meest recente intel processors zit is de volgende discussie nuttig.

Vraag je eens af hoe groot het budget van de NSA is uitgedrukt in dollars. Hoeveel tienduizenden hackers in dienst nemen scheelt 1 zo'n feature wel niet? Er zijn al tienduizenden werknemers overigens van 1 zo'n organisatie. Die eten niet uit hun neus.

Overigens zo'n feature gaat nooit behalve in geval van oorlogsredenen of overweldigende industriele dan wel strategische belangen. Kans op ontdekking bij regelmatig gebruik is anders te groot. Dus om te ontdekken of we een paar illegale MP3s op de harddisk hebben staan, gaat zo'n feature niet echt gebruikt worden.

Kortom, zit zo'n feature erin, dan kan hij eigenlijk nooit gebruikt worden. Slechts in sporadische gevallen.

Het ontdekken van zo'n feature overigens zet ook geen zoden aan de dijk. Stel een inlichtingendiens vindt uit dat de amerikaanse ingenieurs zo'n feature hebben ingebouwd.

Dan gaan ze dat niet aan de grote klok hangen natuurlijk. Idem bedrijven. Managers zijn vaak nationalistisch. Gaan dat vertellen aan hun lands inlichtingendiens. Die zorgt dat 't niet uitlekt.

Alleen bij onderzoekers op universiteiten gaat zo'n feature dus gepubliceerd worden. Die zitten echter op een beginners nivo t.a.v. processordesign.

Kortom, zit zo'n feature erin dan wordt 't ook nooit ontdekt.

MVG

Verwijderd @Beaves • 17 augustus 2003 00:30

Dat gebeurde toch tijdens de koude oorlog in de ambasade van Rusland in de VS rond 1970-1980?

Verwijderd @Dr. Cheeks • 15 augustus 2003 16:17

Source-code analyse haalt hiertegen ook niets uit, omdat het heel goed mogelijk is om code de verstoppen in andere (heel veel grotere) code. Niemand die dat kan ontdekken

Kom kom, als je de compleete source hebt dan weet je alles. ff door doxygen halen ;-)

Verwijderd 15 augustus 2003 15:48

Wie zegt overigens dat de sourcecode die Microsoft vrij geeft wel de volledige en correcte sourcecode is die uiteindelijk gecompileerd wordt?
Compilatie van de sourcecode is verboden volgens de license dus hoe kan iemand ooit controleren of het wel écht de code is die in Windows zit?
Als de licentiehouders nou zelf hun code mochten compileren zouden ze zekerheid kunnen hebben dat er niets extra's bij zit.

RobT @Verwijderd • 15 augustus 2003 16:02

Inderdaad, het is pas echt in orde als ze aangeven welke compiler gebruikt werd, en met welke flags.

Dan doe je een diff op het gecompileerde resultaat, en als je dezelfde eindcode hebt, weet je dat je de echte sourcecode hebt.

In alle andere gevallen is er geen mogelijkheid een sluitend oordeel te vellen, en is het geheel dus tijdverspilling.

Ik vraag me ook af welke mensen de Australische regering denkt te gaan inzetten, diegenen die deze taak goed zouden kunnen uitvoeren krijg je namelijk niet zo snel zo ver dat ze de overeenkomst tekenen (o.a. nooit meer FLOSS kunnen ontwikkelen, altijd risico lopen bij het schrijven van code dat MS zegt dat je ideeen van heb overgenomen hebt etc..)
- Free Software, free as in free speech
- Shared Source, shared as in shared needles

Tijger @RobT • 16 augustus 2003 14:14

GNU as in untrusted hacked source?

Verwijderd 15 augustus 2003 16:34

Als ik het goed heb, 99% zeker, is er ooit ook eens (koude oorlog tijdperk)minimaal 1 telefoon centrale aan Polen geleverd met een ingebouwde op afstand bedienbare 'kill switch'...oftewel de CIA geeft een seintje en boem daar gaat de centrale.
Ik denk echt dat het niet ver gezocht is om zoiets in windows te zoeken.
Daarom kan ik het totaal niet vatten dat overheden toch MS software gaan gebruiken, want voor zover ik weet mag niet de gehele broncode aan onderzoek onderworpen worden. Dan is er nog het compilen...ik weet niet hoe dat gebeurt maar een overheid moet dan ook nog eens 100% zeker kunnen zijn dat de versie die ze krijgen ook een compile is van de ingekeken brondcode.
Met amerika's geschiedenis m.b.t spionage, zoals echelon, kan ik het echt niet volgen dat er nog vertrouwen is.

ATS @Verwijderd • 15 augustus 2003 20:29

Alle telefoontap apparatuur in Nederland is door een Israëlisch bedrijf geleverd, en mag ook alleen door hun worden onderhouden... Ik gok zo dat het vaker voorkomt.

Crazy D @Verwijderd • 15 augustus 2003 17:24

Als ik het goed heb, 99% zeker, is er ooit ook eens (koude oorlog tijdperk)minimaal 1 telefoon centrale aan Polen geleverd met een ingebouwde op afstand bedienbare 'kill switch'...oftewel de CIA geeft een seintje en boem daar gaat de centrale.
Ik denk echt dat het niet ver gezocht is om zoiets in windows te zoeken.

1 keer is er misschien een telefoon centrale met backdoor geleverd, en dan is het niet zo ver gezocht dat er backdoors in Windows zitten? Ik vind het nogal extreem ver gezocht eigenlijk.....

En daarnaast denk ik dat de reactie van MS heel terecht is. MS ligt al aardig onder vuur, een ontdekking van een backdoor (die echt wel opgemerkt wordt gezien de hoeveelheid techies die Windows scherp in de gaten houden) zou de doodsteek zijn voor MS.

rtfm 15 augustus 2003 15:35

Als men hier achter zou komen, dan is de 'watergate' affaire een incident.

MacD @rtfm • 15 augustus 2003 16:09

Uh-huh...dan zouden we het hebben over de 'billgate' affaire

Verwijderd 15 augustus 2003 15:36

Ik weet het niet meer, aan de ene kant is men bang door de broncode vrij te geven dat er juist veiligheids lekken onstaan. Bij microsoft althans.

Maar naar de open source community kijkend is het daar dus geen probleem. Ik wil gaan flamewars veroorzaken maar naar mijn mening is de beveiliging daar beter geregeld ondanks dat jan en alleman in die code kan snuffelen

Mijn conclusie, microsoft twijfelt schijnbaar zelf zo aan de betrouwbaarheid/beveiliging van hun product dat ze de code niet vrij durven geven of er zoals hier beschreven staat bepaalde toegang te geven tot instanties als de CIA..

boesOne @Verwijderd • 15 augustus 2003 15:56

ondanks dat jan en alleman in die code kan snuffelen

Dat je code opensource is heeft niets te naken met de veiligheid van de code. Veel mensen denken dat als je in de code kan kijken, dat je dan 'toegang' hebt to de code of dat de code minder veilig zou zijn.
Dit is een wijdverbreide misvatting.
Of je nou de code in kan zien ofniet het gaat om de robuustheid van de gecompileerde code. En juist bij opensource code kunnen de stomste bugs eruit worden gehaald doordat iedereen de code kan inzien...

BadRespawn 15 augustus 2003 15:39

als er wel CIA achterdeurtjes in MS software zitten, dan zullen ze dat natuurlijk niet toegeven.
dus deze ontkenning zegt niets.

cashewnut @BadRespawn • 15 augustus 2003 15:48

Ongeveer net zoveel als "I did not have a sexual relationship with that woman" uit de mond van een zekere ex-president van de VS...

RobT @cashewnut • 15 augustus 2003 15:58

"Give that man a cigar!"

ArnoudJ 15 augustus 2003 15:49

Als de CIA het persee zou willen dan kunnen ze MS genoeg onder druk zetten om zoiets in te bouwen. Als MS dat zou weigeren dan zou hun toekomst net zo onzeker zijn als wanneer het uit zou lekken. En niemand zal toegeven dat zoiets er in zit tot het keihard bewezen is.

Ik denk niet dat deze bug iets met de CIA te maken heeft, maar het zou me totaal niets verbazen als er andere dingen in zitten die beter verborgen zijn. De Amerikanen zijn argwanend genoeg om op die manier de rest van de wereld in de gaten te willen houden en daar heel erg veel voor over hebben.

jp @ArnoudJ • 15 augustus 2003 23:44

Als je weigert een achterdeur in te bouwen, laten wij een anonieme hooggeplaats figuur 'lekken' dat er wel degelijk een achterdeur inzit.
Dan moet je wel...

Beaves 15 augustus 2003 15:38

"If it was discovered, what do you think our long-term business survivability would be? I think it would be zero."

En dat klopt ook, ik weet nog wat voor een ophef er was over een nsa.key die gevonden werd in o.a. Windows 9x en diverse NT versies (info)

Maar o.a. deze post geeft een goede reden aan, It's called "NSAKEY" for some dumb reason, and that's it

Als de Amerikaanse overheid echt makkelijk in MS systemen wil komen kunnen ze veel beter programma's zoals Back Orifice gaan maken en distribueren dan dat ze expres een achterdeur laten maken door MS onder dwang. De kans dat zoiets uit komt na verloop van tijd is veel te groot.

Er zijn zat mensen die het leuk/intressant vinden om in OS'en leaks en dergelijke te vinden en daarnaast is de kans groot dat een MS medewerker uit onvrede het bekend zou maken.

In allebei de gevallen zou MS dan meteen beter kunnen stoppen, niemand zou dan MS software gebruiken...

Verwijderd 15 augustus 2003 15:47

die gsp is toch gewoon bullshit, niet?
MOEST er zoiets inzitten, haalt ms dat toch gewoon uit de code voor ze de source vrijgeven aan een overheid?

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (81)

Sorteer op:

Weergave: