Europarlement wil opensource stimuleren om backdoors tegen te gaan

De justitiecommissie van het Europees Parlement heeft voor een reeks voorstellen gestemd om ongewenste toegang tot Europese gegevens in de cloud te beperken. Onder andere moet gebruik van opensourcesoftware gestimuleerd worden om te voorkomen dat data uitlekt via backdoors.

Het rapport met de voorstellen is afkomstig van GroenLinks-Europarlementariër Judith Sargentini. Zowel de linkse als de rechtse leden van de justitiecommissie van het Europees Parlement schaarden zich woensdagochtend achter haar plannen, waarmee het zeer waarschijnlijk is dat het Europarlement er ook mee instemt. Volgens Sargentini is een 'veilige Europese cloud' noodzakelijk om 'Amerikaans datagraaien' en misbruik door criminelen te voorkomen. Onder andere zouden Europese overheden over moeten stappen op Europese cloudaanbieders die veiligheid kunnen garanderen.

Daarnaast zouden in Europa het gebruik en de ontwikkeling van opensourcesoftware gestimuleerd moeten worden. "Voorheen had opensource in het Europees Parlement een hippie-imago en waren er juist vraagtekens bij de veiligheid", stelt Sargentini tegenover Tweakers, "maar sinds de onthullingen van klokkenluider Snowden over het inbouwen van backdoors door de NSA in commerciële software is de interesse in opensource toegenomen, al is interesse nog wel iets anders dan uiteindelijke wetgeving."

Een ander belangrijk onderdeel van het voorstel is een verbod op het overdragen van persoonlijke data van EU-burgers door Europese cloudaanbieders aan buitenlandse overheden. Volgens Sargentini is dit na de Snowden-onthullingen zeker haalbaar: "Dit stond aanvankelijk ook in de voorstellen voor aanpassing van de Europese richtlijn gegevensbescherming, die momenteel ook speelt, maar dit is eruit gehaald na pressie van de Amerikanen. Mijn collega wil het er weer inzetten en ik denk dat het een haalbare kaart is: het parlement lijkt wakker geschud."

Nu stallen veel Europese organisaties hun data nog bij Amerikaanse cloudaanbieders, zoals Amazon. De Amerikaanse overheid kan op basis van de FISA-wet of de Patriot Act moeiteloos bij die gegevens. "Wat als er straks een grote goedkope Russische cloudaanbieder opstaat en financiële instellingen daar gebruik van gaan maken?", vraagt Sargentini zich af.

De Europarlementariër noemt het een win-win als de EU streeft naar veilige cloudplatformen. "Het is goed mogelijk dat ook organisaties van buiten de EU voor Europese cloudaanbieders gaan kiezen, als we hier goede richtlijnen voor databescherming hebben", denkt ze.

De uitwerking van het voorstel komt op het bordje van Eurocommissaris Kroes te liggen, na de plenaire stemming in het Europees Parlement. Kroes pleitte al eerder voor het opzetten van een 'Europese cloud' maar volgens Sargentini stond bij die plannen economische groei centraal, en was niet nagedacht over databescherming.

IT-banen

Reacties (83)

FreeTweaker 18 september 2013 19:37

Helemaal stoppen met die 'cloud'-servers.
Terug weer naar 'eigen'-data-servers en eigen software.

Je legt toch ook niet je portemonnee ergens buiten op een bankje neer, met het idee, dat het wel handig is, als je vrouw daar in de buurt is, zodat ze dan wat geld er uit kan halen, om daar ter plaatsen wat boodschappen te kunnen doen.

Alles zoveel-als-mogelijk weer in 'eigen'-beheer houden. Veel veiliger.

En hou op met dat idee dat alles versleuteld is...

Inderdaad ... BackDoors.

awulms @FreeTweaker • 18 september 2013 21:36

Ik weet niet hoe het met jouw zit maar ik heb, net zoals de meeste mensen, het grootste deel van mijn geld veilig op de bank staan zodat ik er overal ter wereld bij kan zonder dat ik een al te groot bedrag in baar geld hoef mee te slepen. Dus ja, de meeste mensen hebben hun geld al jaren in de cloud staan.

BeosBeing @awulms • 30 september 2013 11:27

Ik weet niet hoe het met jouw zit maar ik heb, net zoals de meeste mensen, het grootste deel van mijn geld veilig op de bank staan zodat ik er overal ter wereld bij kan zonder dat ik een al te groot bedrag in baar geld hoef mee te slepen. Dus ja, de meeste mensen hebben hun geld al jaren in de cloud staan.

En dat is dus ook al jaren geleden fout gegaan (overduidelijk in de bankencrisis, minder duidelijk in de monetaire politiek; het creëren van chartaal geld en inflatie)

Verwijderd 19 september 2013 09:27

Ken Thomson heeft al gewezen op een manier om een backdoor in te bouwen die niet terug te vinden is in de source door een backdoor in de compiler te bouwen.
http://scienceblogs.com/g...e-loops-dennis-ritchie-a/
Tevens met alle firmware blobs in de kernel is het voor een organisatie als de nsa met een gigantisch budget niet zo moeilijk om in vrijwel elke computer een backdoor te krijgen.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 05:20]

bstard @Verwijderd • 19 september 2013 10:33

Interesante situatie. Dit werkt voor een selectief gezelschap aan OS's, versies en CPU's.

Zou het haalbaar zijn zo crosscompiling te backdoor'en? 2nd phase selfcompiled compilers? (Waar je met een binaire compiler een compiler compiled, en die gemaakte compiler gebruikt om de final te bouwen. Dit ivm optimalisaties en dependancies)

Daarnaast: deze truuk vereist een lap code in de compiler, die alleen op een bepaalde cpu draait, met bepaalde libaries en execution ondersteuning (aout/elf/etc). Ik ben geen specialist maar zie toch een hele kudde beren op de weg om deze compiler backdoor a) te initieren, en nog veel lastig b) te handhaven, te updaten. Op een gegeven moment gaat zo'n code insertion fout, segfault je login binairy en gaat er iemand kijken waarom. Zover mij bekend is dat nog nooit aan het licht gekomen.

Firmwares zijn wel een probleem inderdaad.

[Reactie gewijzigd door bstard op 23 juli 2024 05:20]

Verwijderd @bstard • 19 september 2013 18:35

In theorie zou het ook haalbaar moeten zijn voor crosscompiling maar volgens mij was het meer een proof of concept dat je met alleen het controleren van de source niet uit kunt sluiten dat er geen backdoor is.

Cerberus_tm

18 september 2013 18:07

Uitstekend. Het enige is dat we ook garanties moeten hebben dat de Europese geheimediensten zich niet te buiten gaan het bespioneren van burgers: het Britse GCHQ is zo mogelijk nog erger dan de NSA, en is op bepaalde terreinen ook nog minder gereguleerd dan de NSA. Die regels moeten tegelijkertijd sterk verscherpt worden.

madmaxnl @Cerberus_tm • 18 september 2013 20:08

Ja, maar Engeland kun je nog enigszins sancties opleggen of boycotten op een of andere manier, bij een groot macht als Amerika is dat niet het geval.

Er is letterlijk en figuurlijk niks dat wij kunnen doen zonder dat we ons zelf daarmee in de voet schieten. Zelfs met een sanctie of boycot voor Engeland gaan we er zelf op achteruit.

Rusland daarentegen kun je ook niet veel tegen beginnen, daarvan zijn we ook te afhankelijk idem dito voor China.

Mogelijke, vergezochte, oplossing: Ze moeten België even opsplitsen in Vlaanderen en Wallonië en dan van Brussel een soort van nieuwe staat maken vanwaar Europa wordt bestuurd. Dan kan een nieuwe speler (cloud/hardware/software/provider etc etc) vanuit die nieuwe staat opereren in Europa zonder dat het in land X of Y is gevestigd waardoor geen enkel land in Europa meer invloed kan uitoefenen dan andere landen.

[Reactie gewijzigd door madmaxnl op 23 juli 2024 05:20]

Cerberus_tm

@madmaxnl • 20 september 2013 04:52

Dat is waar, op Engeland kunnen we nog een beetje meer druk uitoefenen. Toch ik denk dat serieuze politieke druk van de EU en dreigen met sancties tenzij de NSA ophoudt met bepaalde spionage van Europanen best veel effect zou hebben. De handel met Europa is veel belangrijker voor Obama dan zelfs de positie van de NSA. Maar het probleem is dat "we" dat niet doen, omdat "we" England, Frankrijk, Duitsland, en de rest zijn, en we bespioneren zelf ook onze eigen burgers. "We" zijn immers onze overheidsapparaten, en die vinden het helemaal niet zo super erg wat de NSA allemaal doet, omdat ze het veelal zelf ook doen en allerlei andere belangen hebben.

Goed, misschien spioneren we/ze gemiddeld wat minder dan Engeland, en misschien is dat net genoeg om "ons" druk te laten uitoefenen op Engeland. Maar dat moet nog blijken.

We zijn in zekere zin afhankelijk van Rusland voor de afname van gas, maar Rusland is net zo hard van ons afhankelijk vanwege...de afname van gas (mijn excuses voor de rhetorische trucjes, maar het komt nu even zo bij me op, ook nog excuses voor de aanhalingstekens eerder). Dus zowel Europe als Rusland kunnen elkaar in dat opzicht net zo hard onder druk zetten. En handelsbelangen wegen voor vrijwel alle landen zwaarder dan spionage, dus er is wel het een en ander mogelijk.

Wat betreft Brussel als aparte staat, wie bestuurt die dan? Het Europarlement is wel enigszins OK, maar de Europese Commissie is in veel opzichten net zo fout als de Americaanse regering: zij hebben ons al die nare verdragen met America opgedrongen, zoals het verdrag waarmee we nog steeds al onze vliegdata met America delen, en ACTA, en een hele hoop meer. Dus daar verwacht ik niet zo heel veel van...

BeosBeing @madmaxnl • 30 september 2013 11:14

Ja, maar Engeland kun je nog enigszins sancties opleggen of boycotten op een of andere manier, bij een groot macht als Amerika is dat niet het geval.

Gewoon hen de Eu uitgooien, ze zijn sinds de oprichting ervan al aan het dwarsliggen.
(Behalve wanneer dat een keer wel nodig is, zoals bij het toevoegen van 15 nieuwe Eu-landen, wat de bestaande Eu gewoon niet aankon.

Mogelijke, vergezochte, oplossing: Ze moeten België even opsplitsen in Vlaanderen en Wallonië

Dat hadden ze in 1830 al moeten doen. Destijds wilde men heel België aansluiten aan Frankrijk en in Wallonië gaan die stemmen nog steeds op.

en dan van Brussel een soort van nieuwe staat maken vanwaar Europa wordt bestuurd. Dan kan een nieuwe speler (cloud/hardware/software/provider etc etc) vanuit die nieuwe staat opereren in Europa zonder dat het in land X of Y is gevestigd waardoor geen enkel land in Europa meer invloed kan uitoefenen dan andere landen.

Dan hebben waarschijnlijk alleen de lobbygroepen nog invloed, met name die van de kapitaalkrachtige commerciële grote geldgraaiers.

Twizzlerz 18 september 2013 18:07

Als ik zie hoe weinig actie wordt ondernomen vanuit nederland om dit tegen te gaan, denk ik zo dat het in Europa ook niet veel meer aandacht gaat krijgen. En dat alles omdat 'Oom Amerika' genoeg invloed heeft op ons zodat dit er niet doorkomt.
Daarnaast wist Europa natuurlijk allang dat dit allemaal gaande is (verwacht ik), en dit doen ze alleen maar even als goedmakertje naar het volk toe (wat eigenlijk ook weinig zin heeft aangezien niemand zich écht aan de acties van de NSA lijkt te storen).

[Reactie gewijzigd door Twizzlerz op 23 juli 2024 05:20]

onetime @Twizzlerz • 19 september 2013 16:08

Prism is er al. "Iedereen" die invloed heeft op deze nieuwe wetten en regels zal worden "geadviseerd" om niets te veranderen.

We hebben een verbod nodig voor primair overheden en verder alle europese organisaties om andere dan 100% europese cloud providers te gebruiken. En alles opensource.

Verwijderd 18 september 2013 18:31

R. Stallman propageert dit al jaren. Closed source software gebruikt de gebruiker ipv dat de gebruiker de software gebruikt. Binary executables zonder source zijn de duivel. Dat wil niet zeggen dat er in opensource software geen (opzettelijke) fouten zitten maar wel dat wij ze door de source uit te pluizen er uit kunnen halen. Je zou dan ook de compiler source moeten ontbuggen en evt de bios+ISA. Grote issue is er met de MS CryptoAPI of X509 Cryptoclasses voor het genereren van keypairs. Wie zegt mij dat MS hier geen backdoor inbouwt? OpenSSL als alternatief dan maar waar de source wel van beschikbaar is.

DeRooienKomen 18 september 2013 19:07

De toekomst met The Internet Of Things waarin zelfs je koelkast en je thermostaat je verraadt:

“It was terribly dangerous to let your thoughts wander when you were in any public place or within range of a telescreen (webcam, mobiel, internetkoelkast, internetthermostaat, smart-TV etc...). The smallest thing could give you away. A nervous tic, an unconscious of anxiety, a habit of muttering to yourself__anything that carried the suggestion of abnormality, of having something to hide. In any case, to wear an improper expression on your face (to look incredulous when a victory was announced, for example) was itself a punishable offense. There was even a word for it in Newspeak: facecrime, it was called.”
― George Orwell, 1984

Verwijderd 18 september 2013 20:43

Euhm, Judith Sergentini is van Groenlinks!

Verwijderd 18 september 2013 22:00

Een paar punten:
- Een backdoor is geen bug, maar een moedwillig aangebracht gat.
- Zelf code controleren en compileren als methode? Dan ook de broncode van de compiler, assembler Nz.
- Repos die gehackt worden, en voorzien van wat? Voorbeelden graag. Yep, komt-ie al: kernel.org, Nee hoor, wat daar misbruikt werd was proprietair. Die bedoel ik dus niet. Voorbeelden van malware die bijv. via de repos van Fedora, (open)SUSE, Debian is binnengekomen na een hack.
- Zoek 's even naar wat er in München op dit gebied allemaal gedaan is. En wat dat oplevert: geld gaat naar mensen die werken/ontwikkelen, niet naar de grote spelers.
- De grootste flauwekul is nog wel dat in 2003 middels de motie Vendrik de nederlandse overheid al lang "te allen tijde, waar mogelijk" zich dient te bedienen van open standaarden en open source. Tien jaar verder huisvest diezelfde overheid de vehikels waarmee de grote spelers zichzelf hun eigen geld lenen om zodoende geen belasting te betalen. En daar mag de open source wereld dan tegen opboksen.
- Een ontwikkelaar die ongein uitvreet in de open source wereld, krijgt die hele wereld over zich heen, en niemand zal zijn pakketten / code meer gebruiken. Die sociale controle is er, en werkt.

Wakker worden Nederland, de boot is al gemist, maar met een stukje hard zwemmen nog best te halen.

Loller1 18 september 2013 18:17

Backdoors, want open source heeft nooit backdoors. Tuurlijk, als je het echt wilt stellen zonder backdoors, dan moet je gewoon geen IT meer gebruiken. Daarmee bedoel ik niet dat privacy me niks interesseert, in tegendeel zelfs. Het is gewoon deze vage beslissing: het maakt geen verschil, backdoors zijn gewoon bugs, en open source heeft dat net zo goed. Als de NSA informatie wilt stelen van Europa, dan doen ze dat gewoon, met of zonder backdoors, met of zonder open source. Het enige verschil dat dit maakt is dat bedrijven met closed source software nu worden benadeelt, en of ze Europees zijn of niet lijkt hier niks uit te maken, alweer.

Verwijderd @Loller1 • 18 september 2013 18:28

Ik denk dat je niet begrijpt wat een backdoor is.

Jij denkt misschien dat we het hebben over bugs, die we kunnen gebruiken om binnen te komen op een remote systeem ? Noem je dat een backdoor ? Da's niet een backdoor.

Een backdoor is een stukje software die van te voren bewust is ingebakken om toegang te geven tot een systeem. Echter, deze functionaliteit wordt expres geheimgehouden. In het bijzonder geheim gehouden voor de gebruiker van de software. De gebruiker weet dus niet dat de maker van de software (en zijn vriendjes, zoals de NSA) binnen kan komen op zijn computers, zonder dat hij daar van weet.

Als je kant-en-klare software koopt, dan krijg je een executable. Het is vrij moeilijk om aan de executable te zien of er backdoors in zitten. Bij Open Source krijg je de source code. Die je daarna zelf kunt compileren. Je kunt zelf in de source code kijken, en zien of er iets verdachts in zit. In de praktijk betekent dat dat jij dat niet doet, maar wel tientallen of honderden anderen. Die kun je meer vertrouwen dan dat ene Amerikaanse bedrijf dat onder de Amerikaanse wetgeving valt.

Bugs is weer een ander verhaal.

Ayporos @Verwijderd • 18 september 2013 18:54

Houd er dan wel weer rekening mee dat eigenlijk nòòit echt 100% veilig bent hoor, ook niet met open source..

Leuk dat jij die code kunt controleren.. maar die zul je toch echt door een compiler moeten halen wat een executable is en welke vrij gemakkelijk opgezet kan worden dat het in elk programma dat het compileert een backdoor automatisch inbouwd.

Uiteraard kun jij die compiler ook zelf compileren maarja wederom moet dat ook weer via een exe gaan...

Dus wil je ècht veilig zijn dan zul je op zijn minst in ruwe binary een assembler+linker moeten schrijven welke je dan een in assembly geschreven compiler laat maken om een C of andere 3e/4e generatie taal compiler te laten maken etc etc.

Maar 't allerleukste is dan eigenlijk nog wel dat er ook net zo goed backdoors in je hardware/bios/UEFI/processor/built-in NIC kan zittten.

Oftewel... bouw je eigen microprocessor, microcontrollers, moederbord en NIC maar als je ècht veilig wilt zijn. En dan uiteraard moet je ook even je eigen OS schrijven en alle applicaties en drivers die je nodig hebt.

Whoeps, ik sla een beetje door maar het beeld is duidelijk:
Als die knurften van de NSA of wie dan ook niet meer bij microsoft/google/FB/Amazon etc kunnen aankloppen dan kloppen ze wel bij intel/amd aan en/of NIC/mobo fabrikanten.

+ dan hebben we het nog niet eens over (internationale) ISP's gehad en het feit dat het internet beheerd wordt door een in 'MURICA gevestigde instantie.

Je kunt het zo gek maken als je wilt natuurlijk maar op een gegeven moment zul je toch op zijn minst ìemand moeten vertrouwen, anders kom je daadwerkelijk op bovengenoemde uit en dat is simpelweg onwerkbaar. In plaats van open-source pushen zodat iedereen iedereen kan 'controleren' zouden we er allemaal volgens mij veel meer bij gebaat zijn als we eens wat doen aan de hele vertrouwenskwestie.

- Overheid vertrouwd haar volk niet -> spionage
- Overheid vertrouwd andere overheden niet -> spionage + absurde militaire budgets
- Bedrijven vertrouwen haar klanten niet -> DRM, EULA, etc etc
- volk vertrouwd niets en niemand -> ja jammer maar volk heeft geen macht en kan dus niks doen

Het klinkt misschien stom maar waarom zijn we hier bezig met symptoombestrijding in plaats van het probleem aan te pakken?

Om maar even lijp te doen zal ik voor de grap wat tekst quoten uit een recentelijk liedje:
"we're all wonderful, wonderful people
So when did we all get so fearful? "

[Reactie gewijzigd door Ayporos op 23 juli 2024 05:20]

Verwijderd @Ayporos • 19 september 2013 01:24

Ja, ik ben me er van bewust dat een goede rootkit zo veel tools aanpast, dat het (bijna) onmogelijk is om als simpele gebruiker er achter te komen dat er backdoors in je software zit. Compilers, debuggers, noem maar op.

Toch zie ik minder gevaar voor backdoors met Open Source Software (OSS). De hackers moeten wel heel veel te pakken nemen om hun backdoors helemaal geheim te houden. Zoveel, dat ik denk dat het een stuk moeilijker zal zijn met OSS dan met proprietary software.

Zelfs backdoors in de hardware bakken zal helemaal minder goed werken. Die hardware zal echt samen moeten werken met het OS en de drivers om iets te kunnen. Run een ongebruikelijk OS, of download het OS van een ongebruikelijke source (die het zelf gecompileerd heeft), en die hardware-backdoors kunnen weinig uitrichten.

Ayporos @Verwijderd • 19 september 2013 06:12

Allemaal leuk en aardig maar jullie missen wel compleet mijn punt.

Excuses als mijn verhaal een beetje een warboel was, maar het punt was toch echt dat het probleem hem zit in de vertrouwenskwestie, nìet in de wel of niet haalbaarheid van enerzijds spionage en anderzijds bescherming daartegen.

@qlum:
Ik ben het geheel met je eens. Open-Source is de toekomst en heeft zeker enorme voordelen.. echter niet hoofdzakelijk op het gebied van veiligheid.
Dat maakt het dus enkel triester dat het Europarlement het nu ineens vanuit dat standpunt als iets goeds beschouwd..
Zo bewijzen ze dus maar weer dat bureaucratische entiteiten keer op keer de plank mis zullen slaan als het om innovatie gaat.

qlum

@Ayporos • 18 september 2013 21:07

Zelfs al zou je je computer zelf bouwen, de software zelf bouwen, de compiler zelf bouwen en hem niet verbinden met het internet dan nog is natuurlijk ook nog steeds mogelijk om op meer traditionele wijze spionage te plegen. Tuurlijk is wat de NSA doet niet goed voor europa (denk niet dat economische belangen niet de belangrijkste factor zijn hier) maar de wereld is wel een stuk veiliger geworden in de afgelopen 50 jaar en eerlijk gezegd denk ik dat het meer politiek opgelost moet worden dan dat we allemaal paranoide gaan worden.

De NSA en andere inlichtingendiensten kennen altijd wel een weg naar binnen hoe graag we ook zouden willen dat dit niet zo is, ik denk dat we er gewoon me hebben te leven en misschien mogen onze inlichtingendiensten ook wel is wat terug spioneren bij de NSA en op deze manier weten waar het fout zit. in plaats van paranoide naar zogenaamd veilige open-source software te gaan.

Desalniettemin denk ik dat open-source software een goed streven is, misschien niet voor de veiligheid maar gewoon omdat het op den duur de boel best efficiënter kan maken.

rob12424 @Ayporos • 18 september 2013 23:06

Ik vind het argument van opensource leuk. Maar bedenken ze wel dat SE Linux, door jawel de NSA is ontwikkeld?

Dus ik vraag me dan weer af gaat iedereen dan ook over op AppArmor binnen het europarlement?

Verwijderd @rob12424 • 19 september 2013 18:29

Ook SE Linux is volledig open source. Dus daar zullen geen backdoors van de NSA inzitten.Het gaat er niet om door wie de code is ontwikkeld, het gaat erom of je de mogelijkheid hebt te controleren of het veilig is. Bij closed source heb je die mogelijkheid nooit, dus vandaar dat je dat als instantie die persoonlijke informatie opslaat beter niet kunt gebruiken

rob12424 @Verwijderd • 21 september 2013 15:14

Ja, maar dat is dus grootste probleem: Dat opensource is en de code gecontroleerd kan worden wil nog niet zeggend at er tijd is om alle code ook daadwerkelijk te controleren

Soldaatje @Loller1 • 18 september 2013 18:26

Bugs die moedwillig ingebracht zijn door de NSA en verborgen door de gecompileerde code.
In open source kan je het in ieder geval nog controleren en zien als er iets niet klopt.
Die closed-source bedrijven moeten zich maar aanpassen of ten onder gaan, hun plaats wordt weer ingenomen door andere open source bedrijven.

Verwijderd @Soldaatje • 18 september 2013 19:20

Bugs die moedwillig ingebracht zijn door de NSA en verborgen door de gecompileerde code.
In open source kan je het in ieder geval nog controleren en zien als er iets niet klopt.
Die closed-source bedrijven moeten zich maar aanpassen of ten onder gaan, hun plaats wordt weer ingenomen door andere open source bedrijven.

Maar dan moet je wel altijd je eigen code compileren.... doe jij dat met alle opensource software die je gebruikt? Ik niet en ik denk vrijwel niemand, we pakken allemaal gecompileerde versies van een website.

beyonix @Verwijderd • 18 september 2013 20:12

Even hardop denken:
Gecompileerde code zou je kunnen ondertekenen door een persistente URI naar de broncode achter de gecompileerde code te voegen, het geheel te hashen en encrypten met een private key. Dat zou je dan kunnen interpreteren als teken dat die gecompileerde code het product is van de broncode bereikbaar via die URI.

Vervolgens krijg je een probleem dat je de stack van componenten (server: hardware, os, compiler; netwerk; je eigen pc) die betrokken zijn bij dat proces ook allemaal betrouwbaar moeten zijn. Het ondertekenen moet verifieerbaar alleen gedaan kunnen worden door de compiler. Alle software componenten zou je opnieuw open kunnen maken, en het gecompileerde resultaat zou je op bovenstaande manier betrouwbaar kunnen maken. Ik denk dat dat wel de soort weg is die we moeten inslaan om de principes die we handhaven in een democratie te beschermen op het internet.

Qua hardware is het wat lastiger om te verifieren dat er nergens in de keten die leid tot het eindproduct een ongewenste stap heeft plaatsgevonden. Aan de andere kant is het ook moeilijker om die zwakheden effectief te exploiteren maar voor overheden is dat beduidend laagdrempeliger. Het zou me dan ook niet verbazen als de NSA zich nu meer gaat richten op het verder ontwikkelen en promoten van trusted platform chips. Op zich ben ik een voorstander van trusted computing, zolang die module inderdaad functioneert zoals de bedoeling is...

Aan de andere kant, ik meen me te herinneren dat open source repositories ook wel eens malware hebben bevat die lang onopgemerkt is gebleven. Maar dat zou je nog kunnen aanpakken door alleen werkelijk geidentificeerde mensen te laten committen naar zo'n repository, alsmede strenge wetgeving opstellen rondom het posten van exploits/malware in open source repositories.

Ik ben in ieder geval al blij met dat het idee van open source software als beveiliging tegen misbruik wat meer bekend raakt in de politiek en het bredere publiek. Het zal nooit waterdicht worden, maar openheid kan de schaal van misbruik wel terugdringen denk ik.

arendjr @Verwijderd • 18 september 2013 20:18

Jij en ik als individuen doen dat niet nee, maar voor een cloud provider met focus op security is zelf compileren wel een heel haalbare optie. Sterker nog, sommigen doen dit nu al vanuit performance oogpunt (customized kernels, e.d.).

Croga

@Loller1 • 18 september 2013 18:31

backdoors zijn gewoon bugs

Backdoors zijn niet persé bugs als wetgeving een software bedrijf dwingt ze te implementeren.

Backdoors in veel software en platformen zijn opzettelijk ingebouwd door de bouwers omdat de NSA/Amerikaanse wet het verplicht. Dat heeft in het geheel niets met bugs te maken.

Ja, de NSA heeft genoeg knappe koppen op de payroll om bugs te vinden die soortgelijke functionaliteit bieden. Maar door te beginnen met ze niet opzettelijk in te bouwen maak je het op z'n minst lastiger voor ze en in sommige gevallen zelfs onmogelijk.

sharkwouter @Loller1 • 18 september 2013 18:33

Het aantonen van een backdoor in closed source software is vrijwel onmogelijk, in open-source software is dit niet zo moeilijk aangezien iedereen de code gewoon kan lezen. Voor bedrijfen kan het best intressan zijn om iemand i te huren die de source-code naleest, dan weet je zeker dat het veilig is. Dit kan niet met closed source alternatieven, daarbij moet je de verkoper maar geloven...

Wat jij trouwens aangeeft is een lek, niet een backdoor. Een backdoor is er namelijk niet per ongeluk. Ook lekken zijn een minder groot probleem, omdat iedereen een patch kan bouwen voor het lek.

Het benadelen is onzin, als de concurrentie open-source software aanbied dan mag je geld verdienen door daar support aan te bieden. Je kan zelfs je eigen fork maken en daarvoor support bieden, maar afhankelijk van de licentie moet die meestal ook open-source zijn.

DeRooienKomen 18 september 2013 18:52

Opensource gaat niet helpen als er trojans in de intel-chips zitten.

Op tweakers' webconcurrent arstechnica(US) is er zojuist een artikel verschenen (Tweakers-redactie iemand?):

Researchers can slip an undetectable trojan into Intel’s Ivy Bridge CPUs
http://arstechnica.com/se...o-intels-ivy-bridge-cpus/

Verwijderd @DeRooienKomen • 18 september 2013 20:43

dan moeten ze ook maar open source hardware stimuleren

En alleen chip bakkers uit Europa vertrouwen, Had Neelie kroes niet al een idee / voorstel om een grote Europese Chip ontwikkelaar te creëren? Perfect moment voor dat.

Thedr @DeRooienKomen • 19 september 2013 01:20

Zelf even wakker worden dan, t.net heeft hier vanmorgen om 9.32 uur reeds over bericht!

Daarnaast is dit een zeer lastige 'hack' omdat het tijdens de productie van de wafer moet gebeuren.

Meer open source is wat mij betreft altijd goed! In Duitsland zijn ze daarmee op overheids niveau iig op de goede weg. Bedenk daarnaast dat FOSS niet perse gratis software hoeft te betekenen!

DeRooienKomen @Thedr • 3 oktober 2013 12:09

Wat late reactie nu van mij:
Thx, dat had ik (blijkbaar) niet gezien.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (83)

Sorteer op:

Weergave: