'Hackers publiceren broncode pcAnywhere'

Hackers claimen de broncode van Symantecs pcAnywhere via bittorrent te verspreiden, terwijl Symantec zou hebben aangeboden om de dieven van de broncode 50.000 dollar te betalen. De diefstal zou al in 2006 hebben plaatsgevonden.

Symantec-logoWaarschijnlijk gaat het om oude software; Symantec zei eerder dat de diefstal, waarbij onder meer pcAnywhere-broncode zou zijn gestolen, in 2006 plaatsvond. Daarbij werd ook de broncode van een aantal Norton-producten gestolen, aldus het bedrijf. Een torrent van 1,2GB met de omschrijving van de software is nu verschenen op The Pirate Bay, ontdekte Cnet.

Symantec heeft nog niet bevestigd of het echt om de broncode gaat. Ondertussen is op Pastebin een e-mailconversatie verschenen tussen een medewerker van Symantec en de dieven van de broncode. Symantec zou de aanvallers 50.000 dollar hebben aangeboden. De authenticiteit van de conversatie is niet bevestigd, maar deze zou in januari en februari hebben plaatsgevonden.

De conversatie verliep steeds stroever. De dieven, die volgens Symantec deel uitmaken van Anonymous, beschuldigden Symantec ervan samen te werken met de FBI. Hoewel Symantec het in de conversatie ontkent, was dat inderdaad zo. Symantec wilde de dieven in de eerste maanden 2500 dollar per maand betalen. Als ze zich na drie maanden nog aan hun woord hielden, zouden ze het resterende bedrag krijgen. Daarvoor moesten ze wel een verklaring uitgeven waarin ze beweren te hebben gelogen over het stelen van de broncode. Waarschijnlijk wilde Symantec daarmee zijn reputatie beschermen.

De dieven verloren echter hun geduld, blijkt uit de conversatie; Symantec zou te traag handelen. Het bedrijf wilde garanties, zoals het inzien van bepaalde bestanden om te kunnen bevestigen dat het inderdaad om broncode van Symantec en Norton ging. Ook de betaling ondervond problemen. Uiteindelijk dreigden de aanvallers de code te verkopen op het internet. Waarom de broncode nu voor iedereen zichtbaar op het internet is geplaatst, is onbekend.

Eerder adviseerde Symantec gebruikers om pcAnywhere, dat gebruikers in staat stelt op afstand computers te beheren, uit te schakelen tenzij gebruik noodzakelijk was. Gebruikers van versie 12.0, 12.1 en 12.5 zouden een verhoogd risico lopen. Als de broncode is uitgelekt, zouden aanvallers de code kunnen inspecteren op kwetsbaarheden.

Door Joost Schellevis

Redacteur

Feedback • 07-02-2012 13:50 76

07-02-2012 • 13:50

76

Lees meer

Intel stopt met antidiefstaldienst
Intel stopt met antidiefstaldienst Nieuws van 29 december 2013
Pastebin-variant slaat data op met aes256-versleuteling
Pastebin-variant slaat data op met aes256-versleuteling Nieuws van 15 april 2012
Anonymous kraakt websites Amerikaanse marktwaakhond
Anonymous kraakt websites Amerikaanse marktwaakhond Nieuws van 17 februari 2012
Hackers kraakten VeriSign-systemen in 2010
Hackers kraakten VeriSign-systemen in 2010 Nieuws van 2 februari 2012
Symantec: Anonymous heeft broncode pcAnywhere gestolen
Symantec: Anonymous heeft broncode pcAnywhere gestolen Nieuws van 26 januari 2012
Amerikaanse rechter dwingt verdachte tot decrypten laptop
Amerikaanse rechter dwingt verdachte tot decrypten laptop Nieuws van 24 januari 2012
Symantec: hackers stelen broncode software
Symantec: hackers stelen broncode software Nieuws van 6 januari 2012
Meer producten en artikelen
Politiek en recht Privacy Symantec Antivirus Beveiliging Hackers

Reacties (76)

-Moderatie-faq
76
72
36
3
0
19
Wijzig sortering
ronaldmathies 7 februari 2012 13:55
Ik vindt het van beide kanten geen frisse zaak.... Zowel Symantec over het vragen om te ontkennen dat ze het hebben gestolen. En de Anonymous leden voor het stelen en publiceren.

Klinkt ook een beetje als een vorm van blackmail..
Verwijderd @ronaldmathies7 februari 2012 14:33
Dat ze van Anonymous zijn is natuurlijk de vraag. Omdat ze anoniem zijn kan ook iedereen zich voor hen uitgeven. De suggestie is dat dit criminelen zijn die op geld belust zijn. Maar als dat zo zou zijn, gaan die de FBI echt niet vertellen wie ze zijn. Dat lijkt me oerdom. En hoe weet je dat een verklaring die Symantec eiste van anonymous ook echt van anonymous komt. Hebben ze een uniek zegel die alleen zij kunnen afgeven en waar bestaat die dan uit? En zelfs dan, hoe weet publiek dan dat die verklaring echt van anonymous komt, als zij de zegel niet kennen. Hier klopt duidelijk iets niet.

Eigenlijk is het zo dat broncode eenmaal gestolen niet meer teruggegeven kan worden. Want ook al zou je alle kopieën vernietigen de ander kan daar nooit zekerheid over krijgen. Daarom kan nooit meer de oude situatie worden hersteld. De reden voor Symantec om in onderhandeling te gaan kan dan ook alleen maar zijn om de inbrekers te pakken. Verder valt er voor hen niets te winnen. De vraag om een verklaring te publiceren is dan ook slechts een schaduwspel. Of ze moeten samenwerken met de FBI om de groep anonymous op te pakken, dat kan ook.

Laten we een belangrijk aspect even naar voren halen. Het was Symantec die zelf vrijwillig geld aanbod aan dieven op een bepaald moment. Ik denk dat dit een uitgekiende poging was om anonymous te criminaliseren. Door een dialoog open te houden waarbij je geld aanbiedt kan je de indruk wekken dat anderen jou chanteren.

Maar het is zeer de vraag of dat werkelijk gebeurd is. Want dan is het toch echt de andere partij die geld eist. Maar als men zo dom is om in dit spel mee te gaan kan men mensen toch veroordelen. Neem bijvoorbeeld Joran van der Sloot die geld accepteerde van de familie voor extra informatie. Ook al lag het initiatief niet bij hem in de VS wordt je daarvoor veroordeeld. In de VS kennen ze niet het begrip "uitlokking" dat wij in het rechtssysteem kennen. In de VS wordt je veroordeeld ook als de autoriteiten jou verleiden tot een handeling die je anders misschien niet gepleegd zou hebben.

Ook al begaat de persoon de facto de overtreding en is in die zin schuldig, het is een gevaarlijke weg omdat het de overheid dan zelf een medespeler maakt in de criminaliteit en daarmee zijn morele overwicht verliest. Wat vinden wij van slechte mensen die anderen verleiden het verkeerde pad op te gaan? Die vinden wij oerslecht. Dus hoe kan de overheid in deze rol gaan zitten?

Het is griezelig om te zien hoe in een land als de VS de waarden steeds verder afkalven en corporaties zoveel macht hebben gekregen over het systeem dat de overheid de eigen bevolking gaat criminaliseren. Er is geen betere manier om de criminaliteit te vergroten dan de wetten zo te maken dat er steeds meer mensen mee in overtreding zijn. Tegelijkertijd wordt grenzeloze hebzucht geïnstitutionaliseerd en gelegaliseerd. De samenleving wordt gevestigd op lagere waarden en de hogere worden er ondergeschoffeld. Nobele mensen worden criminelen omdat ze zich daartegen verzetten.

Overigens wil dat niet zeggen dat ik de diefstal van broncode op enigerlei wijze goedkeur. Ik vind dat gewoon diefstal en als zodanig strafbaar. Maar ik krijg de indruk dat hier iets anders speelt dan diefstal. Wat we feitelijk hier op ons bord krijgen is een reeks beschuldigingen richting anonymous zonder dat er ook maar een vorm van bewijs is. Zoiets heet verdachtmaking.

Het vervelende is dat je als buitenstaander er niets inhoudelijks van kan zeggen. Zijn de mensen van anonymous werkelijk over de schreef gegaan of zijn ze het slachtoffer van verdachtmakingen? Het enige wat ik met zekerheid kan zeggen is dat de belastende verklaringen zonder bewijs zijn.

De manier waarop de tekst opgesteld is, is erg suggestief maar bewijst niet. Niet een keer staat er dat de dieven geld hebben gevraagd. Er wordt alleen maar gesuggereerd dat de dieven niet langer op het geld wilden wachten en daarom de gesprekken afbraken. Het kan ook heel goed zijn dat anonymous gelokt is met de beschuldiging, zich er tegen wilden verdedigen, zich niet lekker voelden bij de de constante geldaanbiedingen van Symantec en daarom de communicatie afbraken. Er staat niet eens in dat de "dieven" toegegeven hebben de broncode gestolen te hebben. Het bericht erg suggestief en daarmee ook zelf verdacht.

Wij weten inmiddels dat de Amerikaanse veiligheidsdiensten uit allesbehalve alleen maar goede padvinders bestaan. Ze martelen, chanteren, verspreiden leugens, blokkeren regelmatig de rechtsgang en helpen de meest ontaarde regimes in het zadel te blijven als ze maar Amerikaans belangen dienen. Groepen als anonymous zijn een doorn in het oog van Amerikaanse belangengroepen. Wij hebben kunnen zien hoe ze met wikileaks hebben afgerekend met zeer dubieuze beschuldigingen, onrechtmatige manier om de geldkraan dicht te draaien en zware ondemocratische politieke druk. Deze mensen zijn alles behalve nette ordehandhavers en ik bekijk hun verklaringen met de nodige skepsis.

Overigens moeten groepen als anonymous ook eens goed nadenken over het effect van hun acties. Ik geloof namelijk niet dat ze bezig zijn veel goeds te bereiken, maar vooral een excuus gaan vormen voor steeds strengere maatregelen die de vrijheid indammen. Zeker nu de georganiseerde criminaliteit en overheden het hacken zijn gaan gebruiken is het beter om zich daaruit terug te trekken als ze nobele doelen hebben. Wikileaks is een veel effectiever instrument om dingen aan de kaak te stellen, vrije nieuwsgaring is een recht en het heeft veel meer effect. De hoge heren luisteren alleen als er beroering ontstaat onder de bevolking en dat weten hackers echt niet te bereiken, ze vergroten alleen het onveiligheidsgevoel en spelen daarmee streng overheidsoptreden in de kaart. Laten bedrijven toch hun eigen lekken dichten en speel geen machtsspelletjes.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 12:12]

n4m3l355 @Verwijderd7 februari 2012 15:33
Een mooi verhaal over hoe het al dan niet crimineel gedrag is van Anonymous waarbij je de essentie legt dat Symantec ze geld aanbied en zij het afwijzen echter... het is toch simpel? De broncode is ontvreemd dit is simpelweg diefstal. Hier is weinig aan goed te praten. Dit heeft niets te maken met dat corporaties mogelijkerwijs veel te zeggen hebben in het senaat of dat de software nu bij voorbaat onveilig is maar een groep of individu die de broncode gejat heeft. Niks geen machtsspelletjes, niks geen criminaliseren het is zo vierkant als een suikerklontje.

Ik snap eigenlijk niet eens hoe de beredenering tot stand kan komen als het zo helder is wat hier is gebeurd. Dat Symantec daarna mogelijkerwijs geld aanbood om het stil te houden is toch niet relevant, begrijpelijk maar verder doet het niets af aan deze zaak. Hopelijk dat deze criminelen dan ook zonder pardon worden opgepakt en keurig worden opgeborgen. Ze hadden namelijk er ook voor kunnen kiezen om Symantec te wijzen op een gat in hun beveiliging maar ze hebben deze met opzet misbruikt om aan te tonen dat ze het kunnen en om het nog mooier te maken vervolgens publiceren ze de broncode. Hier brengen ze niet alleen Symantec mee in verlegenheid dit gaat veel verder. Bedrijven en hobbyisten worden nu zonder goede reden blootgesteld aan verdere hackers die deze software gaan doorspitten op zoek naar fouten.

Natuurlijk kan men stellen dat dit ook bij een OS project het geval is alleen vermoed ik dat bij een OS project men eerder bereid is om fouten op te geven dan in deze situatie.
Nee... hier valt gewoon niets goeds over te zeggen.
jecowo @n4m3l3557 februari 2012 16:10
Voor jou is het schijnbaar duidelijk.. Maar is het niet een hoop geknutsel van symantec om de broncode en de voorwaarde die eraan worden gekoppeld af te kopen met 50000 dollar. Daarnaast hebben ze mogelijk al 6 jaar de tijd gehad om hun code te herschrijven.
Wees als bedrijf eerlijk tegenover je klanten en probeer de waarheid niet te verbloemen met een afkoopsom.
Stel voor dat deze broncode nu het inzicht geeft dat de amerikaanse FBI altijd kan inloggen op de pcanywhere software. Ga jij dan nog deze software installeren?
n4m3l355 @jecowo7 februari 2012 17:26
Jewoco en in hoeverre is de acties van Symantec verder relevant? Partij X "ontvreemd" de software van partij Y. Verder hoeven we toch niet te gaan met wat er gebeurd is? Dat partij Y vervolgens alles eraan doet om de broncode van de straat te houden is toch zeer begrijpelijk (sterker nog misschien zelfs dwangmatig van de FBI uit zonder enige mate van kennis te hebben). Dat deze broncode opeens inzicht geeft in wat dan ook maakt toch niemand iets uit? Had je als gebruiker dit gewild had je toch gewoon voor een OS pakket kunnen kiezen? Gebruikers kiezen voor een bepaald software pakket en kiezen voor een bepaalde structuur dat een bedrijf gehacked wordt geeft juist in deze situatie dezelfde gebruikers juist een groot probleem omdat ze worden blootgesteld aan fouten van mogelijkerwijs 6 jaar geleden. En dat het 6 jaar geleden is ook dat is geen garantie dat alles herschreven is. Een keer in de zoveeltijd komt er zelfs nog een bug tevoren in BSD van 15 jaar geleden. Leeftijd zegt uiteindelijk nog niets over het herschrijven (in hoeverre zoiets uberhaubt realistisch is met lopende ontwikkelingen) van een software pakket.
n4m3l355 @oliveroms7 februari 2012 17:23
Oliveroms, Het copieren van IP zal door iedere rechter als een criminele act gezien worden. Ongeacht of het nou om deze software gaat, specifieke algoritmes of hoe de pen die je nu in je handen hebt functioneerd zit er een bepaalde vorm van kennis in de ontwikkeling ervan. Niemand kan ontkennen dat Symantec geen directe schade ondervind wanneer concurrenten deze kennis ook op kunnen doen en toepassen voor eigen producten en dan nog niet te spreken over de eventuele misbruik van bijvoorbeeld hackers. Daarbij niet te vergeten wat de consequenties kunnen zijn voor de gebruikers hiervan die nu onnodig bloot worden gesteld aan deze mogelijke hackers.
Dit gaat niet om even een liedje copieren (discussie daar gelaten wat dat betekend) maar simpelweg ergens in te breken en dit te publiceren. Als dit een database was met jou gegevens stond de wereld op zijn kop maar nu het een Amerikaans bedrijf is maakt het niet uit?
corset @ronaldmathies7 februari 2012 14:26
Raar he? Opeens is het Anonymous. Zonder dat daar uberhaupt bewijzen voor zijn, en jaren voordat ze bestaan. Maar hey, dat is hetzelfde als 1 persoon van een hells angel is crimineel, dus ze zijn het allemaal. Ow wacht even..
mae-t.net @corset7 februari 2012 14:30
Iedereen kan en mag zich in principe anonymous noemen, en de kans is groot dat iemand die dat doet en het serieus meent, ook 6 jaar geleden al bij dergelijke activiteiten betrokken was. Anonymous hoefde daarvoor vanzelfsprekend nog niet te bestaan.
corset @mae-t.net7 februari 2012 14:32
Maar het bericht en de fipo laten het weer geweldig "Anon is weer schuldig bwahahaha" niveau lijken. Ik dacht dat we het telegraaf idee wel hadden gehad.

Het had allemaal genuanceerder gemogen. Zolang er geen bewijzen voor zijn, gewoon niet vertellen of met het idee van "Het schijnt dat X"

[Reactie gewijzigd door corset op 23 juli 2024 12:12]

eentonig @corset7 februari 2012 16:37
a·non·y·mous   [uh-non-uh-muhs] Show IPA
adjective
1.
without any name acknowledged, as that of author, contributor, or the like: an anonymous letter to the editor; an anonymous donation.
2.
of unknown name; whose name is withheld: an anonymous author.
3.
lacking individuality, unique character, or distinction: an endless row of drab, anonymous houses.

Aangezien ze niet weten wie de dader(s) waren, heeft Symantec eigenlijk wel gelijk. De dader(s) is/zijn anonymous. :P
SuperDre
@ronaldmathies7 februari 2012 20:38
Sorry hoor, maar de enige die blackmailen zijn de zogenaamde Anonymous lui.. Dat is gewoon niet goed te praten, die lui mogen wat mij betreft gewoon opgespoord en berecht worden en voor jaren in de gevangenis belanden..
Iftert @ronaldmathies7 februari 2012 13:57
Klinkt ook een beetje als een vorm van blackmail..
Beetje? ;)

De enige die hier de dupe van zijn zijn de gebruikers van Symantec. Want ik heb Symantec nog nergens een waarschuwing zien doen uitgeven. Juist dat vind ik heel slecht. Net of ze meer om hun naam geven dan om klanten.
Croga @Iftert7 februari 2012 14:15
Mischien moet je volgende keer het stuk lezen voordat je commentaar geeft.....
Eerder adviseerde Symantec gebruikers om pcAnywhere, dat gebruikers in staat stelt op afstand computers te beheren, uit te schakelen tenzij gebruik noodzakelijk was. Gebruikers van versie 12.0, 12.1 en 12.5 zouden een verhoogd risico lopen. Als de broncode is uitgelekt, zouden aanvallers de code kunnen inspecteren op kwetsbaarheden.
CodeCaster @Iftert7 februari 2012 14:20
Want ik heb Symantec nog nergens een waarschuwing zien doen uitgeven
"Goedemiddag,

U ontvangt deze mailing omdat wij vermoeden dat er zes jaar geleden programmacode van ons is ontvreemd. Hierdoor kunnen kwaadwillenden mogelijk gebruik maken van fouten die uit deze code blijken, wanneer wij die code inmiddels nog gebruiken en de lekken zelf niet allang gedicht hebben.

Wat dit voor u voor gevolgen kan hebben weten we nog niet, aangezien de boosdoeners er voor zover wij weten nog niets mee hebben gedaan.

Maar u bent gewaarschuwd!"

Of, wat had je dan willen horen?
Verwijderd 7 februari 2012 13:56
Norton is toch Symantec en vice versa ?
pe1dnn @Verwijderd7 februari 2012 15:38
Norton was het bedrijf van Peter Norton bekend van o.a. Norton Tools, Norton Guides en later ook virusscanners. In die dagen heel bekend en fel beconcurreerd door PC-Tools. Daar waar PC-Tools een groot log pakket was bestonden de Norton Tools juist uit kleine handige programma's. Het was zelfstandig totdat Symantec het kocht, volgens mij voornamelijk ook vanwege de goede naam die "Norton" toen nog had en Symantec zelf volkomen onbekend was.

De gevolgen van de overname waren al snel merkbaar. De handige tooltjes werden een log pakket "Norton integrated" en NAV zich ontwikkelde tot een megalomaan pakket dat je wel kon installeren maar zich echt overal in nestelde en waar je alleen met gruwelijk veel geduld weer van af kon komen. Na de horror versie NAV 2004 was dat reden voor mij om voorgoed afscheid te nemen van die fabrikant. Na de-installatie (en nodige grondige cleanup) was m'n PC opeens ook weer super snel.

Sinds die tijd heb ik alleen nog Norton Online Security gezien en dat was geheel onvrijwillig omdat ik net iets te snel heb doorgeklikt bij een installatie. Het agressief pushen om gebruikers in de Norton val te laten lopen is kenmerkend voor Symantec.

Ook nu blijkt de company policy nog steeds klant onvriendelijk, de keuze destijds om geen Symantec meer te gebruiken blijkt nog steeds een wijs besluit. Jammer dat niet genoeg mensen er ook zo over denken, dan waren ze al failliet geweest en dat was ook dit pcAnywhere probleem netjes opgelost.
Ramoncito @pe1dnn7 februari 2012 17:49
Uitstekend geschreven :)

Maar goed, deze diefstal wens je niemand toe en al helemaal niet als criminelen het dan ook maar voor de lol op internet zetten.. Ik begrijp diefstal, ik begrijp zelfs afpersing, maar ik begrijp de lol niet van het voor de lol tienduizenden softwaregebruikers een loer te draaien.. Niemand wint :(
3dfx @Verwijderd7 februari 2012 14:00
Norton is een product/merknaam van Symantec, vnl. bekend van de security-software (virusscanners e.d.), maar niet omgekeerd.
mae-t.net @3dfx7 februari 2012 14:35
Bijna goed. Norton was een zelfstandig bedrijf dat ooit is opgegaan in Synmatec. Wat de geschiedenis van Symantec zelf vóór die tijd was, weet ik helaas niet.

[Reactie gewijzigd door mae-t.net op 23 juli 2024 12:12]

SKiLLa @mae-t.net7 februari 2012 16:10
Om nog even preciezer te zijn: Norton Computing was het bedrijf van software ontwikkelaar Peter Norton totdat hij het in 1991 aan Symantec verkocht.

Norton Utilities en Norton Commander zijn klassiekers en tijdens het DOS tijdperk hoorde je daar alleen maar lovende kritieken over; het was gewoon hele goede software.

Norton Antivirus is nooit door Norton zelf ontwikkeld maar altijd door Symantec (sterker nog v1 was een doorontwikkeling van een ander overgenomen bedrijf).
Gtoniser 7 februari 2012 13:56
Ze zijn bij Symantec wel heel desperate als ze een anonieme hackersorganisatie geld gaan geven en er dan op vertrouwen dat die code nooit het daglicht ziet.
TDeK
@Gtoniser7 februari 2012 14:01
Precies, dat ging destijds bij UBS LGT ook fout. Maar hoe dan ook zijn de hackers criminelen en is Symantec net zo schuldig. Immers, hoeveel source-codes van bekende pakketten zijn er ondertussen gestolen waarbij het losgeld wèl is betaald? Dat weet dus niemand. En ook wel dom gedacht van Symantec om het zo te spelen. Als je als bedrijf zekerheid wilt, dan zul je moeten weten wie je tegenover je hebt; iets wat de hackers nooit zouden onthullen. Als je als bedrijf zoiets overkomt moet je geen enkele aandacht meer besteden aan de hackers, maar alle effort in het updaten en patchen van vatbare installaties in het veld. Want zoals gezegd, terughalen werkt toch niet (het is niet controleerbaar).

[Reactie gewijzigd door TDeK op 23 juli 2024 12:12]

Sissors @Gtoniser7 februari 2012 14:27
Je weet nooit of dat serieus was (al was het natuurlijk een schijntje voor een bedrijf als symantec), of een vertragingstaktiek danwel iets om de FBI een geldspoor te geven dat ze kunnen volgen.
Moby Dick @Gtoniser7 februari 2012 14:15
Klinkt mij nogal als het verhaal van de schorpioen en de vos (rivier oversteken, verraad).
Essox Lucius 7 februari 2012 13:56
Dus iedereen die genoemde versies van PcAnywhere heeft draaien is een (potentieel) onderdeel van een botnet?!
Lijkt mij dat dit om behoorlijk aantal pc's zal gaan dan.
Niet te vergeten de capaciteit van deze pc's, daar deze software naar mijn weten ook in menig zakelijke omgeving gebruik wordt.
IStealYourGun @Essox Lucius7 februari 2012 14:02
Eigenlijk nog niet. Zover ik weet zijn er nog geen exploits en dus ook geen problemen.
Soldaatje @IStealYourGun7 februari 2012 14:08
Heb jij de 1,2 GB al doorgelezen dan? ;)
Het is vandaag gereleased, geef de hackers even de tijd om de exploits te vinden.
“The encoding and encryption elements within pcAnywhere are vulnerable,” Symantec wrote in a report published earlier this week. “It is possible that successful man-in-the-middle attacks may occur depending on the configuration and use of the product. If a man-in-the-middle attack should occur, the malicious user could steal session data or credentials.”
http://www.frequentbusine...rs-stop-using-pcanywhere/
mae-t.net @Soldaatje7 februari 2012 14:32
Dus Symantec geeft toe dat ze 6 jaar geleden het obscuriteitsbeginsel aanhingen (iedereen maakt beginnersfouten, zelfs bedrijven die al 20 jaar bestonden kennelijk) en dat in de tussentijd niet dusdanig ernstig vonden dat ze maar eens langzamerhand aan nieuwe protocollen zijn gaan werken? Nouja, misschien ontdekten ze het probleem pas korter geleden, dat lijkt me een redelijke verklaring.

Opzich best moedig dat ze dat dan toegeven. Hulde daarvoor.

[Reactie gewijzigd door mae-t.net op 23 juli 2024 11:53]

John_Glenn 7 februari 2012 14:02
Eerder adviseerde Symantec... [...] ...zouden aanvallers de code kunnen inspecteren op kwetsbaarheden.
Lekker advies is dat van een beveiligingsbedrijf. Misschien moet iemand de mensen van OpenBSD waarschuwen dat de broncode van OpenSSH op straat ligt, kijken of ze ook zo reageren.
TDeK
@John_Glenn7 februari 2012 14:09
Publicatie van closed source code heeft voor softwarebedrijven drie nadelen:
  • Concurrenten en criminelen/hackers kunnen er met know-how vandoor gaan
  • Het word duidelijk dat het product niet doet (of juist meer) dan 'op de doos staat'
  • Het product zit zeer slecht in elkaar
Dit probleem speelt bij OpenSSH (open source) niet, omdat die code niet gebaat is bij obfuscatie (anders dan een security pakket). Ook juicht menig security algoritme het toe dat iemand de code kraakt; immers kan via die weg het algoritme worden verbeterd en kan men zo tot betere inzichten komen. Allemaal zaken waar commerciele partijen (die gewoon zoveel mogelijk geld willen verdienen met zo min mogelijk effort en inzet (lees: personeelskosten)) geen enkele baat bij hebben.
Ik denk dat Symantec in dit geval heel goed weet dat het ofwel een slecht pakket is, ofwel de meeste gebruikers geen veilige installatie hebben (denk aan lege wachtwoorden of standaard settings), met alle gevolgen van dien.

[Reactie gewijzigd door TDeK op 23 juli 2024 12:12]

mae-t.net @TDeK7 februari 2012 14:37
Ik begrijp uit bovenstaand dat je SSH niet onder de securitypakketten schaart? Verder ben ik het wel met je betoog eens.
friend @TDeK8 februari 2012 01:59
En punt 4: risico op ontdekking van al of niet bewust gejatte code of methodes uit andere (open source) software pakketten gevolgd door evt. bijbehorende rechtszaken, boetes en/of gezichtsverlies.
Verwijderd 7 februari 2012 14:01
Tja dat krijg je ervan als je met ze wil onderhandelen.

volgende keer, meteen bekend maken dat de data gestolen is, zodat de gebruikers in iedergeval de integriteit van je bedrijf kunnen vertrouwen.

Nu leidt Symantec alleen maar meer schade door de manier van omgaan
van inbraak.
Proxx @Verwijderd7 februari 2012 14:44
als je zou zeggen dat je gehacked bent door iemand en niet precies weet wanneer ,waarom en wat er allemaal gestolen (gekopieerd) is dan denk ik dat je klant ook met bosjes weg lopen.

voor allebei de manieren valt wat te zeggen.
[ti] 7 februari 2012 13:57
De broncode is te vinden door te zoeken op "Symantec's pcAnywhere Leaked Source Code" op die ene torrent site die XS4ALL en Ziggo moesten blokkeren ;)
MtC 7 februari 2012 13:59
Diefstal is in alle gevallen verwerpelijk.
Dit neemt niet weg dat dit Symantec wel eens heel zuur zou kunnen opbreken. Stel je maar eens voor dat uit de broncode blijkt dat elke connectie bijgehouden wordt in een logfiletje dat om de zoveel tijd netjes doorgestuurd wordt naar de FBI.
Niemand_Anders
7 februari 2012 14:09
Aangezien de broncode nu toch op straat ligt, waarom doet Symantec niet wat Netscape met Communicator en Borland met Interbase deed. Geef die 'oude' code aan de open source gemeenschap en kijk wat zij er nog allemaal mee kunnen doen.

Interbase gaat tegenwoordig door het leven als FirebirdSQL en Netscape is via een aantal reïncarnaties omgevormd tot Mozilla Firefox.

Citrix houd de basis van Xen open source, terwijl het daarnaast commerciele versies heeft welke aanvullende mogelijkheden.

Ik kan mij vootstellen dat RPD en VNC het markt aandeel van PcAnywhere flink hebben doen slinken. Als ze het goed aanpakken zouden ze zelfs weer marktaandeel kunnen winnen.
BlackMage 7 februari 2012 14:36
Ik kan me maar één reden bedenken waarom ze zo'n oude sourcecode niet openbaar willen hebben:

Er zit een groot fundamenteel lek in die nog steeds in de huidige versies zit en veel geld kost om te repareren.
blorf @BlackMage7 februari 2012 15:33
Volgens mij is het alleen maar mediageblaat oftewel aandachtstrekkerij van beide of een van beide partijen. pcAnywhere is voor zover ik weet een remote-desktop kloon. Van de broncode daarvan kun je denk ik alleen maar leren hoe je bestaande oplossingen moet jatten en in een nieuw jasje steken.
Heeft Symantec trouwens ook wel eens iets goeds gemaakt? Het laatste handige programma dat ik me herinner was Norton Commander wat later toevallig Symantec geworden is. :+

[Reactie gewijzigd door blorf op 23 juli 2024 12:12]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq