Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 35 reacties

Een aantal beveiligingsexperts en burgerrechtenactivisten organiseert tijdens de RSA Conference een alternatieve beveiligingsconferentie. Ze boycotten de RSA Conference, omdat RSA zou hebben samengewerkt met de NSA.

trustyconIn de afgelopen maand zegde een aantal security-experts, waaronder Mikko Hyppönen van F-Secure, een toespraak op de RSA Conference af. De organisator en hoofdsponsor van die conferentie, RSA, zou in ruil voor een betaling van 10 miljoen dollar een algoritme met een backdoor van de NSA in een product hebben ingesteld als standaard. RSA heeft een statement uitgegeven waarin het de aantijgingen ontkent, maar volgens de critici is die ontkenning niet sluitend.

De boycotters hebben nu afgesproken om een alternatieve conferentie te organiseren, die tijdens de RSA Conference plaatsvindt. De conferentie, met de naam TrustyCon, wordt op de vierde dag van de RSA Conference gehouden. "De boycot is nodig omdat RSA zijn klanten heeft bedrogen", zegt beveiligingsexpert Alex Stamos tegenover Forbes. Onder andere Hyppönen zal er spreken, maar ook de Amerikaanse burgerrechtenactivist Chris Soghoian. Circa 500 sprekers van de RSA Conference hebben niet afgezegd, waaronder Bruce Schneier, die met Snowden samenwerkte.

De conferentie zal op een paar minuten lopen van de RSA Conference worden gehouden, in een bioscoop. Kaartjes kosten 50 dollar, wat weinig is voor een beveiligingsconferentie: de RSA Conference zelf kost voor een bezoeker 1900 tot 2600 dollar; Black Hat, een andere grote beveiligingsconferentie, is ongeveer even duur. De 50 dollar komt ten goede van de Electronic Frontier Foundation, een burgerrechtenorganisatie die vergelijkbaar is met het Nederlandse Bits of Freedom.

Moderatie-faq Wijzig weergave

Reacties (35)

Het begin van het einde van RSA. Dat hoop ik tenminste, want dan zouden in ieder geval bedrijven nog waarde hechten aan het vertrouwen in een beveiligingsinstantie en op vertrouwensbreuk actie ondernemen.
Het duurt enorm lang om een vertrouwensrelatie op te bouwen en deze kan op enkele minuten om zeep geholpen worden. Er zijn beweringen dat RSA geld heeft aangenomen en dat is voor sommigen blijkbaar al genoeg om te zeggen dat dat ook de waarheid is. RSA verdedigd zich op de enige manier dat het zich kan verdedigen door te ontkennen. Wat kunnen zij meer doen? Wat als deze geruchten niet waar zijn? Moeten we daarom een bedrijf ten gronde richten?
Het zijn geen geruchten, alles is onderbouwt met bewijzen.
De bewijzen zijn te vinden in de bron, i.e. de Snowden files, niet een Reuters artikeltje.
Maar hoe weet je of die files daadwerkelijk van Snowden afkomstig zijn?

(En zelfs als je dat zeker weet, hoe weet je dan dat die files dan weer van de NSA afkomstig zijn, en als je dat zeker weet, hoe weet je dan dat die files daadwerkelijk de intenties van de NSA representeren?)

Edit: Niet dat ik het niet geloof, overigens.

[Reactie gewijzigd door twop op 17 januari 2014 18:50]

Je haalt twee dingen door elkaar:

De Amerikanen zijn schuldig aan massa-spionage van zo ongeveer alles en iedereen op de hele planeet. Alle bedrijven die, al dan niet met onfrisse methoden, al dan niet tegen betaling, daaraan meegewerkt hebben die moeten waarschijnlijk (op straffe van draconische sancties) glashard liegen over hun betrokkenheid. (Weet iemand wat er gebeurt als je onder ede wordt gevraagd naar FISA opdrachten; mag / moet je dan meineed plegen, of hoe zit dan??)

De Chinezen (Huawei) worden beschuldigd van het meewerken aan spionage. "Detailtjes:"
  • Er is nog geen snippertje bewijs getoond; het zijn (op zijn best) geruchten of (op zijn slechts) laster.
  • Amerika is sowieso nogal protectionistisch; met valse beschuldigingen de Amerikaanse concurrenten van Huawei ondersteunen bij het binnenhalen van contracten past precies in hun straatje.
  • Amerika heeft zelf overal backdoors in zitten; met valse beschuldigingen de Amerikaanse concurrenten van Huawei ondersteunen bij het verspreiden van hun eigen backdoors "verkopen van hun producten" past precies in hun straatje.
Probleem is dat de NSA juist niet ontkent waar het omgaat; het bestaan van een backdoor in de encryptie. Ze ontkennen onder andere, dat ze er voor betaald hebben...

Stel: jij word tbeschuldigd dat je fraude hebt gepleegd met een vals paspoort en een bankrekeningnummer. En jij ontkent alleen maar dat je geen vals papoort en geen bankrekeningnummer hebt gebruikt :?

Precies... daar zit m de crux.
Inderdaad, hier is één van m'n favoriete Nederlandse gezegden van toepassing: "Vertrouwen komt te voet en gaat te paard."
De vraag is of je als Amerikaans bedrijf wel kunt bestaan als je niet meewerkt. Sommige gerechtelijke uitspraken moet je uitvoeren en daar mag je vervolgens niet over communiceren. Het zal allemaal vast niet zo zwart/wit zijn. Daarnaast heeft de overheid zoveel mogelijkheden om een bedrijf dwars te zitten.
en daar mag je vervolgens niet over communiceren
En dat is ook waarom ze bij hoog of laag blijven beweren dat ze dat nooit hebben gedaan. De vraag is ook niet of je als Amerikaans nog wel kan bestaan als je niet meewerkt. De vraag is eerder of je als Amerikaans bedrijf nog wel kan bestaan tegenover de rest van de wereld als je je bezig houdt met cloud, veiligheid, privacy etc. etc.

Het vertrouwen is gezakt naar een flink nulpunt en het ziet er naar uit dat dat steeds verder gaat zakken. Ik heb al conferenties meegemaakt waarin nadrukkelijk een disclaimer werd "besproken" om goed uit te zoeken wanneer je als NL bedrijf gebruik wilt maken van Amerikaanse software, hardware of diensten. En laten we eerlijk wezen, dat zou idd een grondreden moeten zijn bij het vooraf uitzoeken van welke diensten etc. je gebruik wilt maken.
De vraag is of je als Amerikaans bedrijf wel kunt bestaan als je niet meewerkt.
Sorry als het bot klinkt, maar dat is niet ons probleem, dat is een probleem wat de Amerikanen fijn zelf op mogen lossen. Stel dat RSA helemaal kapot gemaakt wordt door deze boycot, stel dat er nog een paar (middel)grote Amerikaanse techbedrijven omvallen omdat niemand meer zaken met ze wil doen (en stel dat Europese, Zuid-Amerikaanse en/of Aziatische bedrijven de "opengevallen" plek meteen inpikken), misschien dat dan de Amerikaanse overheid zichzelf eindelijk eens achter de oren krabt.

"Wij" (iedereen behalve de Amerikanen zelf) hebben geen enkele rechtstreekse invloed op de Amerikaanse politiek; alleen Amerikanen hebben stemrecht. Dat betekent dat we een andere manier zullen moeten vinden om ons ongenoegen kenbaar te maken (en op die manier indirecte invloed uit te oefenen) als ze iets uitvreten wat, naar onze maatstaven, volstrekt ontoelaatbaar is. En als dat dan een paar Amerikaanse banen kost, tja, da's erg vervelend voor de mensen die de sjaak zijn (dikke kans dat zijzelf er ook niks aan kunnen doen), maar vergeet niet dat een aanzienlijk deel van de NSA activiteiten economische spionage betrof of is er hier iemand die gelooft dat Merkel werd bespioneerd omdat ze een bomaanslag aan het voorbereiden was...? en dat kost uiteindelijk Europese banen.
Maar gebeurt dit niet evengoed in andere landen? Wordt er nu niet onredelijk veel het op Amerika afgeschoven terwijl bijvoorbeeld een China het waarschijnlijk even goed doet?

[Reactie gewijzigd door Autowiel op 18 januari 2014 09:01]

RSA als encryptiemethode is nog wel veilig voor de duidelijkheid, dit omdat het complete algoritme gewoon publiekelijk bekend is. Alleen de software die het bedrijf RSA uitgeeft, heeft (ondanks ontkennen waarschijnlijk) lekken door sleutels door te spelen aan de NSA of zwakke sleutels gegenereerd/gekozen.
RSA als encryptiemethode is nog wel veilig voor de duidelijkheid, dit omdat het complete algoritme gewoon publiekelijk bekend is.
De onderbouwing na "omdat" is volkomen ongeldig; het complete algorithme van Dual EC is namelijk ook publiekelijk bekend en toch zijn daar ernstige vraagtekens bij.

"RSA als encryptiemethode is voor zover op dit moment publiekelijk bekend, bij gebruik van een veilige methode om sleutels te genereren nog wel veilig". De reden hiervoor is wel deels de openbaarheid van het algorithme, maar de onderbouwing is pas compleet als je ook toevoegt dat onafhankelijke reviews geen zwakke punten hebben gevonden.
Ik geloof wel dat de RSA ditin ieder geval gedeeltelijk heeft gedaan (manipuleren van het algoritme). Het bedrag lijkt me echter zo laag. Ik weet niet wat hun jaarlijkse omzet is maar het lijkt me dat de reputatieschade vele malen hoger is dan 10 miljoen dollar. Maar mogelijk hebben ze wel een "als het uitkomst clausule" om deze schade te dekken..
RSA heeft het genoemde algoritme niet gemanipuleerd. Ze hebben het alleen in hun random generator suite opgenomen en ook default gemaakt.

Er zijn genoeg andere producten en open-source projecten die dezelfde random number generator gebruikt hebben.
De Amerikaanse geheime dienst zou beveiligingsbedrijf RSA tien miljoen dollar hebben betaald om een inmiddels omstreden algoritme als standaard in te stellen in beveiligingsproducten. Waarschijnlijk heeft het algoritme, dat door de NSA is ontwikkeld, een backdoor.
bron: nieuws: 'NSA betaalde beveiligingsbedrijf RSA voor inbouwen backdoor'
Uit dezelfde bron zie ik ook:
[...]
Desondanks is onduidelijk of het bedrijf wist dat de NSA een backdoor had ingebouwd: sommige medewerkers van het bedrijf zeggen tegenover Reuters dat het bedrijf daarover om de tuin is geleid. Dat er geen alarmbellen afgingen, zou te wijten zijn aan het feit dat de deal werd afgehandeld door mensen met een commerciële insteek in plaats van cryptografie-experts.
[...]
Dit geeft misschien een verklaring hoe de kwetsbare algoritme als standaard is gesteld (als de RSA inderdaad niets wist over de backdoor naar eigen zeggen).
Hoe naief ben je als bedrijf als je 10 Mio van de NSA accepteert om hun algoritme te gebruiken, en je denkt dat daar verder geen bijbedoelingen bij zijn? Lijkt me eerder dat je het dan niet WIL weten.
Doen alsof je neus bloedt, noemen ze dat :)
He hallo hier heb je een algoritme ontwikkelt door een paar van de slimste wiskundigen, oja we hadden ook nog 10 miljoen ergens rondslingeren dus als jij die ook bij je kan houden....
Ik weet niet of het normaal is dat iemand een bedrijf betaald om winst te maken met zijn product, maar het klinkt wel als een aandachtspuntje voor een bedrijfsbespreking...
zou hebben betaald. Er zijn dus geen bewijzen ... . Voor we een bedrijf ten gronde brengen, kom eerst eens met bewijzen ipv geruchten die evengoed kunnen ontstaan zijn bij een concurent.
Je vergeet een aantal aspecten, de reputatieschade ligt wellicht hoger, maar:
- het was niet bij voorbaat zeker dat de reputatieschade opgelopen zou worden. Stel dat het risico ingeschat werd op vijf procent. Dan loop je een risico van x miljoen voor 10 miljoen cash. Best een goede deal, waarschijnlijk.
- er kan druk vanuit de NSA hebben meegespeeld (al vind ik dat geen excuus noch beletsel voor strafrechtelijke vervolging, maar dat terzijde)
Ten slotte wordt de rol van de bedrijven overschaduwd door de rol van de NSA. Dit is een van de uitzonderingen waar het publiek daadwerkelijk wat doet – en ik vermoed dat dit niet voorzien is
Prijs is vrij normaal. De events waar het mee word vergeleken duren ook meerdere dagen, deze maar eentje :)

Okay, dan is het nog steeds weinig, maar een ticket voor het 4 daagse event CCC kostte slechts 80. OHM2013 idem dito, maar dat was een jongerenticket :+

[Reactie gewijzigd door Eloy op 17 januari 2014 16:33]

Alweer een mooie ontwikkeling voortgekomen uit de inspanningen van Edward Snowden !!
Wat mij betreft mag het bedrijf RSA worden opgeschort. Dankzij hun samenwerking met de NSA zijn ze niet meer als integer te beschouwen. Voor een beveiligingsbedrijf hoort zoiets eigenlijk de doodssteek te betekenen.
hun handelen en presenteren (logo e.d.) getuigd voor een deel van de zelfde denkwijzen of bouwstenen
de tijd zal ons leren hoe hun of het zich zal ontvouwen

(en wat hun aandeel word of is)

[Reactie gewijzigd door 500749 op 17 januari 2014 17:53]

Tijd voor een open source, p2p achtig alternatief, beveiliging moet niet bij een single bedrijf liggen. Kijk naar Bitcoin, trust is vervangen door wiskunde. Dat moet de oplossing worden.
Kunnen we security software die niet open source is nog wel vertrouwen?

Securitybedrijven moeten stoppen met het maken van software (tenzij het open source is). Het is een doodlopende weg. Ze kunnen zich beter richten op dienstverlening (pen testing e.d.).
Kunnen we security software die niet open source is nog wel vertrouwen?
Wanneer het in de VS gemaakt is in ieder geval niet meer. En open source software uit de VS alleen wanneer het onafhankelijk en uitgebreid getest is, door meerdere partijen van buiten de VS (en het VK).

[Reactie gewijzigd door Smekken op 19 januari 2014 02:05]

Ik ga geen bronnen geven maar ik weet 100% zeker dat je altijd achter de feiten aanloopt als het om beveiliging gaat. zelfs de HW is bepalend daar waar je een crypt op maakt. :z

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True