Russische geheime dienst krijgt inzage in broncode Microsoft-producten

De Russische geheime dienst krijgt inzage in de broncode van diverse Microsoft-producten, zoals Office 2010. De inzage is een uitvloeisel van een eerdere overeenkomst en moet de ontwikkeling van veiligere applicaties mogelijk maken.

De inzage is vastgelegd in een overeenkomst uit 2002, meldt ZDNet. Door toegang tot de broncode kan de Russische geheime dienst producten maken die gebruikmaken van Russische cryptografie en daardoor veiliger zijn. Het is onduidelijk of de geheime dienst een eigen versie gaat maken van de producten, zoals Office 2010 en SQL Server Code. De reden voor het geven van de broncode zou commercieel zijn: vermoedelijk wilde de Russische geheime dienst alleen werken met Microsoft-producten als het de broncode zou krijgen.

Bovendien kan de geheime dienst ook op andere manieren zijn voordeel doen met de inzage in de broncode, meent Richard Clayton, beveiligingsexpert van de Universiteit van Cambridge. "Als een overheid toegang heeft tot de broncode kan het diverse soorten lekken vinden en die misbruiken." Volgens Clayton kan onder meer een andere overheid worden aangevallen door misbruik te maken van lekken. Door de enorme hoeveelheid code zullen tienduizenden lekken aanwezig zijn, vermoedt Clayton.

Aan de andere kant zal de Russische geheime dienst zichzelf willen wapenen tegen lekken die ze vinden door het te patchen. Daarbij loopt het de kans dat andere landen die patches zien en daardoor ook die lekken ontdekken. Ook kan de Russische geheime dienst de gevonden lekken doorgeven aan Microsoft, die ze vervolgens voor iedereen kan patchen.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 10-07-2010 15:43 54

10-07-2010 • 15:43

54

Lees meer

'IBM, Cisco en SAP geven Russische overheid inzage in broncode software'
'IBM, Cisco en SAP geven Russische overheid inzage in broncode software' Nieuws van 23 juni 2017
Microsoft gaat meer gratis licenties geven aan ngo's
Microsoft gaat meer gratis licenties geven aan ngo's Nieuws van 17 oktober 2010
'Rusland zet jacht op Microsoft-piraterij in tegen dissidenten'
'Rusland zet jacht op Microsoft-piraterij in tegen dissidenten' Nieuws van 13 september 2010
Nokia laat Russische politie inval doen bij telecomsite
Nokia laat Russische politie inval doen bij telecomsite Nieuws van 7 juli 2010
'Russische geheime dienst kan Navo-codes kraken na vliegtuigcrash'
'Russische geheime dienst kan Navo-codes kraken na vliegtuigcrash' Nieuws van 15 mei 2010
Wit-Rusland legt gebruik van internet aan banden
Wit-Rusland legt gebruik van internet aan banden Nieuws van 31 december 2009
VS claimt hacks elektriciteitsnet door China en Rusland
VS claimt hacks elektriciteitsnet door China en Rusland Nieuws van 8 april 2009
Cuba introduceert eigen Linux-variant
Cuba introduceert eigen Linux-variant Nieuws van 13 februari 2009
Rusland blokkeert blogs om etnisch conflict in te dammen
Rusland blokkeert blogs om etnisch conflict in te dammen Nieuws van 8 juni 2007
Meer producten en artikelen
Software Besturingssystemen Economie en maatschappij Microsoft Windows Beveiliging Rusland

Reacties (54)

-Moderatie-faq
54
50
35
1
0
0
Wijzig sortering
Verwijderd 10 juli 2010 15:56
Een geheime dienst kan alleen bestaan als het informatie inwint (legaal of illegaal). Wat is idealer dan de broncode te hebben van een besturingssysteem die door een groot deel van de bevolking wordt gebruikt. Om vervolgens te misbruiken om informatie in te winnen.

Wat interessanter is waarom de Verenigde Staten hier akkoord mee zijn gegaan (als er iets de national security in gevaar kan brengen lijkt het mij dit wel). Wat heeft er tegenover gestaan? Lijkt mij namelijk pure onzin dat dit van Microsoft zelf komt om de klantvriendelijkheid/vertrouwen te verbeteren. Laat staan dat Microsoft zelf even heeft mogen beslissen dit te doen.
kidde @Verwijderd10 juli 2010 19:34
'T is nooit zo ingewikkeld:
-Zowel China als Rusland zijn in het verleden / momenteel druk met Linux in de weer geweest,
-Microsoft niet blij, wil dat ze Windows blijven gebruiken, dus ze doen concessies, o.a. inzage in broncode,
-Microsoft is een van de grootste bedrijven van Amerika, en voor een groot deel van de winst afhankelijk van verkoop aan overheden,
-Politiek in de VS is gesponsord door bedrijven, dus de bedrijeven bepalen net zozeer wat de politiek doet als andersom.

Overigens ziet Rusland het knutselen aan 'Windows' als een transitiefase - het afbouwen van hun afhankelijkheid van buitenlandse software. Op scholen worden leraren getraind te werken met o.a. Linux, en die moeten dan de migraties van de scholen gaan regelen (de migraties vanuit de overheid opleggen heeft niet gewerkt).
Ze zijn ook druk bezig zelf een OS te bouwen. Afgelopen week hebben ze Mandriva praktisch opgekocht, schijnt.

[Reactie gewijzigd door kidde op 26 juli 2024 22:54]

terracide 10 juli 2010 16:07
Wie zegt dat de binaries van office zijn gecompiled uit de zelfde sourcecode stammen als MS heeft opgeleverd? Het heeft alleen zin als de geheimedienst zelf office opnieuw compiled met de source die zij hebben gekregen.

edit: typo

[Reactie gewijzigd door terracide op 26 juli 2024 22:54]

WhiteDog @terracide10 juli 2010 16:12
Als dat niet zo is komt dit meteen aan het licht als de russen zelf Office compilen en gaan vergelijken met de versie uit de winkel.
graey @WhiteDog10 juli 2010 16:26
Als ze dezelfde compiler gebruiken, ja. En dezelfde optimalisatie-flags etc.
doctormetal @graey10 juli 2010 16:44
Nee hoor. Er zijn en aantal zaken waardoor een binary na elke build anders kan zijn. Een voorbeeld hiervan is een build nummer of een timestamp. Het is dan lastig om te achterhalen of de binaries verder gelijk zijn. Ook is de vraag of ze de naast de source code ook de build files (scripts, makefiles, project file, etc) hebben gekregen. Zonder deze wordt het vrij lastig om de boel te compileren.
terracide @WhiteDog10 juli 2010 16:23
dat is soms wel lastig te zien als ze dingen verstoppen eh... na het compilen is de hash niet het zelfde als elke willekeurige compile.
kidde @terracide10 juli 2010 19:05
Heeft alleen zin als ze ook de broncode van de compiler erbij krijgen, anders kan er nog van alles gebeuren.
kunnen @kidde11 juli 2010 04:38
Of de broncode van de compiler die die compiler gecompileerd heeft. Immers, als je een keer een backdoor in een compiler toevoegt kun je die daarna uit de broncode halen, mits de compiler met zichzelf gecompileerd wordt ;)

Zie de paper @ http://cm.bell-labs.com/who/ken/trust.html
MSalters
@kunnen12 juli 2010 14:03
Die paper is achterhaald. Het veronderstelt (ten onrechte) dat een trojan compiler feilloos de source van de compiler kan herkennen.
mmjjb 10 juli 2010 15:52
Heeft Amerika ook toegang tot de bron code?

De toon in dit artikel geeft aan dat de mensen die hun commentaar geven vrezen dat de Russische geheime dienst hier iets 'ergs' mee gaat doen.. wat ik mij afvraag is of amerika hier ook toegang tot heeft.

Aangezien de pers rusland vaak nogal negatief afstempeld en amerika dat een erg 'dubieus land' is... altijd positief voorsteld.
Verder vind ik dit opzich geen slechte zaak..
wat kan de russische dienst hiermee is de vraag

ze kunnen documenten die mensen hebben proberen te verwijderen door hd te vernielen nog beter weer terug halen vermoedelijk aangezien ze de broncode kennen.
en ze kunnen zich beter beschermen..


@offtopic

verder vind ik dat er naast Clayton om het artikel een betere blik te geven, er ook iemand van een Russisch land commentaar bij het artikel moet leveren en niet alleen een persoon die vermoedelijk al bevooroordeeld is

@wildhagen & ^Mo^

nouja als amerika en andere westerse landen er toegang tot hebben mag de rusische dienst het ook wel van mij ;)

thanks voor de uitleg van de deal

[Reactie gewijzigd door mmjjb op 26 juli 2024 22:54]

wildhagen
@mmjjb10 juli 2010 15:56
Heeft Amerika ook toegang tot de bron code?
Of ze er inzage in hebben weet ik niet, vermoedelijk wel, via het Shared Source-programma.

Maar ze helpen wel mee met de code, om het veiliger te maken, iig in versies tot Vista, zie bijvoorbeeld nieuws: NSA beïnvloedde Windows-versies tot en met Vista
^Mo^ @mmjjb10 juli 2010 15:58
Ja. Het is een standaard deal van Microsoft. NATO heeft ook toegang (dus ook Amerika, en Nederland, etc.)
A senior security source with links to the UK government told ZDNet UK on Wednesday that the 2002 deal was part of Microsoft's Government Security Program. Nato also signed up, said the source. Having a number of different governments with access to Microsoft code meant it was possible that a government could find holes in the code and use it to exploit another nation-state's systems, said the source.
kidde @mmjjb10 juli 2010 19:02
Misschien nuttig om op te merken dat de Chinezen ook toegang hebben.

Kan wel leuk zijn, dat ze over en weer de boel gaan proberen te patchen en lekken die ze vinden gaan misbruiken bij spionagepogingen van andere landen.

Wat ik me wel afvraag is, kunnen ze de broncode ook zelf compileren?

ed: Khodorkovsky & co, en Russische dissidenten die tegen Poetin / Medvedev zijn zullen nu misschien ook wel gemakkelijker door hun eigen overheid bespioneerd kunnen worden, dat kan ook een belangrijk motief zijn!

[Reactie gewijzigd door kidde op 26 juli 2024 22:54]

wildhagen
10 juli 2010 15:48
Eigenaardig, maakt dit de kans op het lekken van (delen van) de code niet groter? Of is er een NDA getekend, dat ze die code niet openbaar mogen maken?

Aan de ene kant wel een goede zaak, zeker als men zo extra bugs op het spoor kan komen (en ze laten patchen), maar aan de andere kant: als delen van die code uitlekken, en daardoor exploits ontwikkeld kunnen worden die specifieke bugs gebruiken, wel weer een heel groot risico.
Verwijderd @wildhagen10 juli 2010 16:14
Natuurlijk is er een NDA in plaats, en het is ook niet interessant voor de Russische geheime dienst om de code te lekken, want dan kan iedereen de bugs opsporen en misbruiken.
dasiro @wildhagen10 juli 2010 20:58
Aan de ene kant wel een goede zaak, zeker als men zo extra bugs op het spoor kan komen (en ze laten patchen), maar aan de andere kant: als delen van die code uitlekken, en daardoor exploits ontwikkeld kunnen worden die specifieke bugs gebruiken, wel weer een heel groot risico.
ze kunnen zelf hun versie patchen en de gevonden bugs exploiten om anderen mee aan te vallen, pas als het dingen zijn die makkelijk te vinden en te exploiten zijn, zullen ze het aan MS doorgeven om hun eigen burgers (en werknemers thuis) te beschermen
humbug @wildhagen10 juli 2010 22:39
Op zich maakt het niet veel uit of de code al dan niet uitlekt. Open source is ook niet onveiliger dan closed source. Een NDA is meer vanuit commercieel belang noodzakelijk dan om de veiligheid te waarborgen. Natuurlijk kun je vraagtekens stellen bij het feit dat een geheime dienst toegang krijgt tot source code van belangrijke producten en is het naïef te veronderstellen dat men enkel patches maakt en geen aanvalsplan bedenkt maar Microsoft moet wel. Overheden zullen deze inzage eisen of simpelweg alternatieven zoeken.
Verwijderd @wildhagen10 juli 2010 16:26
Dat de russische geheime dienst MS producten gaat patchen lijkt mij uitgesloten.

Ze zullen de zwaktes graag voor eigen voordeel gebruiken. Denk maar niet dat ze ms office zelf gaan gebruiken. Waar het omgaat of hun bevolking het mag gebruiken. Daar heeft MS alle belang bij, maar dan wil de Russische geheime dienst wel dezelfde voordelen hebben als de CIA, anders halen ze deze onveilige software liever niet binnen.

Daarmee komt de code ook in handen komt van criminelen, want in Rusland zijn de misdaadsyndicaten aan de macht. Dat deert Microsoft niet. MS heeft immers altijd veiligheid ondergeschikt gemaakt aan winst.

De Amerikanen vinden het natuurlijk best om deze software andere landen binnen te loodsen. Hoe meer Amerikaans software werelwijd wordt gebruikt hoe meer macht ze krijgen. En wat zegt zo'n disclosure nou? Office zit vast aan Windows. Krijgen ze ook een disclosure van elke update die op windows wordt geinstalleerd? Vast niet. En daarmee weet je ook niet wat voor spyware er wordt geinstalleerd door de CIA.

Dat verloopt via de servers van MS die communiceren met de PC. Dankzij de unieke registratienummers en verplichte authenticatie, kan de CIA bepaalde gebruikers heel gericht bespioneren, waardoor de kans op ontdekking heel gering is.

Stel dat de CIA geinteresseerd is in de offertes van Airbus aan een klant van Boeing. Met de nieuwe windowsupdate wordt alleen bij een bepaalde werknemer van Airbus een stukje spyware geinstalleerd die zijn documenten kopieert in versleulde verborgen bestanden. Bij de volgende update wordt de boel naar de Microsoft server verzonden en eventueel de spyware gedeinstalleerd. Easy as cake.

Het ideale mechanisme omdat het geen sporen nalaat en je het kan targetten op specifieke personen waardoor de kans op ontdekking gering is. Het is nog "veiliger" geworden nu MS updates enkel via eigen servers laat lopen.

[Reactie gewijzigd door Verwijderd op 26 juli 2024 22:54]

Cyber007 @Verwijderd10 juli 2010 16:36
Waar baseer je op dat microsoft hun beveiliging van software minder serieus neemt dan winst ?
ik ben daar heel benieuwd naar
Verwijderd @Verwijderd11 juli 2010 00:52
#Sarcasme

Airbus draait geen geaudite WSUS servers, neen alles hangt aan het internet.

Kom op zeg, windows mag dan naar populair geloof wel zo lek als een mand zijn, dat excuseert corporate ict departementen er nog niet van om de deuren wagenweid open te laten staan. Boven genoemde scenario zal dan ook zelden mogelijk zijn, laat staan zo specifiek en inoptrusief als jij doet voorkomen.
Jasper Janssen @Verwijderd11 juli 2010 12:48
De CIA doet al jaren aan industriele spionage, dat is gewoon een bekend feit. De KGB (toen die nog bestond) deed hetzelfde.
Flagg @Jasper Janssen12 juli 2010 00:00
Een feit zelfs, geef eens een voorbeeld? En dan niet een bron van een aluhoedjes vereniging.
MSalters
@Flagg12 juli 2010 13:57
CIA directeur James Woolsey gaf precies dat toe tegenover journalisten (in 2000). Ik denk dat je hem geen aluhoedje kunt noemen.
rapture 10 juli 2010 18:12
Als ik naar Debian non-US kijk, dan is het niet verwonderlijk. Tot 5 jaar geleden kon je 2 verschillende versies van Debian afhalen. De US-versie heeft een aantal "defense articles", daaronder viel SSH, PGP,... en dat mocht niet vanuit de VS geëxporteerd worden. Stel je voor dat je als niet-Amerikaan niet meer plaintext telnet of email gebruikt, dan kan je niet meer zo gemakkelijk door de VS afgeluisterd worden. Maar een Amerikaan mag wel buitenlandse SSH, PGP,... importeren en Debian host deze pakketten in volle vrijheid in Nederland. Sindsdien kan een niet-Amerikaan ook iets versleuteld versturen.

Microsoft is Amerikaans en heeft last van exportbeperkingen (of MS heeft weinig zin om beveiligingen goed te maken). Dan wil je als een niet-Amerikaanse overheid controle over de code/software hebben en indien nodig verbeter je een aantal zaken zodat het bruikbaar wordt.

Met CUDA weten de Russen al te goed dat ze een supercomputer van een universiteit kunnen vervangen door een gamersbak met 6 dual gpu grafische kaarten. Een gpu is gemakkelijk gelijk aan 100 of veel meer processorcores in het kraken van encryptie. Bouw een lanparty met die bakken en je hebt een ongekende hoeveelheid rekenkracht. Wet van Moore is in het kraken van sleutels niet meer geldig. Zeker niet als je kijkt naar de rekenkracht per euro dat je kan krijgen en het programmeren kan je als huiswerk aan wat studenten geven. Russen hebben de software voor extreem snel sleutels kraken geschreven en weten al te goed dat ze nog zwaardere cryptografie dan gewone cryptografie nodig hebben.

MS heeft de gewoonte om te wachten met het dichten van lekken totdat er hele bekende wormen de halve wereld gesloopt hebben, dan wordt het misschien dringend om een patch te schrijven. Geen kosten maken door uit te stellen is altijd mooi meegenomen, tenzij als je PR-schade dreigt te lopen. Als staat wil je hierover controle hebben en interne patches schrijven voor eigen gebruik.

De broncode is ook handig om allerlei onnodige processen in Windows te elimineren. Alle Windows installaties draaien IE op het achtergrond, al is het maar om de help pagina's of windows verkenner te laten zien. Op deze manier mag je de grootste Firefox fanboy worden, bij de eerste beste IE-worm (die niet door je firewall tegengehouden wordt), word je computer nog altijd gekelderd, want IE kan je niet uitschakelen en het draait altijd. Linux is omgekeerde wereld, je begint kaal en je installeert misschien een pakketje dat zwakheden heeft. Stel dat je alle Firefox'en neer kan halen, dan doe je niks tegen de vele Linux installaties die simpelweg geen Firefox geïnstalleerd hebben.

Een staat/overheid spreekt niet over kleine dingen zoals winst of verlies, maar "Zullen we Russisch, Frans, Engels, Spaans,... spreken? Worden we straks gekoloniseerd?". Er staat veel meer dan slechts geld op het spel. Dan wil je voldoende controle over IT hebben en gesloten software wordt pas een optie als je de voordelen van open source ook in huis kan halen. Zelf in de code kijken, zelf zwakheden elimineren, zelf het boeltje dichttimmeren,...

Het is als gebeurd dat US Navy plat ligt (motoren van schepen vielen uit) omdat een Windows netwerk volledig plat ging door een deling door nul. Zo slecht was Windows NT. Je zou maar richting Redmond bidden, terwijl de Russen voorbij marcheren. Snel ter plaatse een patch schrijven is het alternatief.

[Reactie gewijzigd door rapture op 26 juli 2024 22:54]

Blokker_1999
@rapture10 juli 2010 19:17
Having fun bashing?

In de jaren 80 en 90 waren er export beperkingen op cryptografische software. Deze beperkingen zijn al zeer lang verdwenen. Voor broncode heeft die beperking zelfs nooit bestaan. Broncode valt namelijk onder de vreihijd van meningsuiting.

Voor een kale Windows heb je Windows Embedded. WE kan perfect werken zonder een explorer.

En heb je dat artikel van de US Navy eigenlijk gelezen? Daar staat nergens in dat het de schuld van NT was maar meer omdat de beslissingsmakers eigenlijk niet wisten wat ze deden en omdat men geen prototypes bouwde of degelijke testen hield. Voor zulke kritieke systemen on-the-fly ontwikkelen is gewoon vragen om grote problemen.
SWINX @rapture11 juli 2010 00:44
Geldautomaten draaien / draaiden anders ook op (een uitgeklede) Windows NT versie. Lijkt me inderdaad een beetje kort door de bocht om het OS daarmee volledig de grond in te stampen.
hackerhater @SWINX11 juli 2010 22:40
Die laten ook vaak genoeg een BSOD zien
Verwijderd 10 juli 2010 15:50
Het is al jaren zo dat diverse overheden onder bepaalde voorwaardes inzicht hebben in de broncode van diverse softwareleveranciers.
Een puntje wat bijvoorbeeld nog niet is genoemd in het artikle is natuurlijk dat de russen zich graag willen verzekeren dat de Amerikaanse openheid geen invloed heeft uitgeoefend op de software van MS
Dlocks @Verwijderd11 juli 2010 01:13
Een puntje wat bijvoorbeeld nog niet is genoemd in het artikle is natuurlijk dat de russen zich graag willen verzekeren dat de Amerikaanse openheid geen invloed heeft uitgeoefend op de software van MS
Wat dat betreft kun je de vraag stellen welke versie van de broncode Rusland dan eigenlijk te zien gaat krijgen.
kidde @Verwijderd10 juli 2010 19:00
Neem aan dat u Amerikaanse overheid bedoelt?
CAPSLOCK2000
10 juli 2010 18:17
De Russische geheime dienst is niet de enige hoor.
Er zijn zat bedrijven, universiteiten en regeringen die toegang hebben tot (delen van) Microsofts broncode. Als student kun je (via je universiteit) de broncode van de Win2003 kernel krijgen. De broncode van WinNT en Win2000 is al een keer op internet terecht gekomen.

Als je het echt wil kun je dus wel toegang krijgen tot flinke delen van de Windows source code.
Als gebruiker heb je dus de nadelen van open source (krakers kunnen de broncode bekijken) zonder de voordelen van open source (je mag de broncode zelf bekijken en aanpassen).
Jut 10 juli 2010 18:51
Dus als je gegevens gevoelig zijn kan je dus beter maar niet gebruik maken van MS Office Web Apps wat nu met de 2010 versie mogelijk is?

(tenminste als je niet wilt dat de FSB je spulletjes kan lezen)

[Reactie gewijzigd door Jut op 26 juli 2024 22:54]

citegrene 11 juli 2010 07:50
De russen zullen dan ook de source zelf moeten gaan compilen, je kan nameljk aan de source nooit zien of deze bij de binary hoort.
hibbit 11 juli 2010 16:01
Politiek onhandig gekozen van Microsoft.... Ik denk dat er deze week behoorlijk wat kritiek zal komen aan het adres van MS.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq