Boycotters RSA Conference organiseren eigen beveiligingsconferentie

Een aantal beveiligingsexperts en burgerrechtenactivisten organiseert tijdens de RSA Conference een alternatieve beveiligingsconferentie. Ze boycotten de RSA Conference, omdat RSA zou hebben samengewerkt met de NSA.

trustyconIn de afgelopen maand zegde een aantal security-experts, waaronder Mikko Hyppönen van F-Secure, een toespraak op de RSA Conference af. De organisator en hoofdsponsor van die conferentie, RSA, zou in ruil voor een betaling van 10 miljoen dollar een algoritme met een backdoor van de NSA in een product hebben ingesteld als standaard. RSA heeft een statement uitgegeven waarin het de aantijgingen ontkent, maar volgens de critici is die ontkenning niet sluitend.

De boycotters hebben nu afgesproken om een alternatieve conferentie te organiseren, die tijdens de RSA Conference plaatsvindt. De conferentie, met de naam TrustyCon, wordt op de vierde dag van de RSA Conference gehouden. "De boycot is nodig omdat RSA zijn klanten heeft bedrogen", zegt beveiligingsexpert Alex Stamos tegenover Forbes. Onder andere Hyppönen zal er spreken, maar ook de Amerikaanse burgerrechtenactivist Chris Soghoian. Circa 500 sprekers van de RSA Conference hebben niet afgezegd, waaronder Bruce Schneier, die met Snowden samenwerkte.

De conferentie zal op een paar minuten lopen van de RSA Conference worden gehouden, in een bioscoop. Kaartjes kosten 50 dollar, wat weinig is voor een beveiligingsconferentie: de RSA Conference zelf kost voor een bezoeker 1900 tot 2600 dollar; Black Hat, een andere grote beveiligingsconferentie, is ongeveer even duur. De 50 dollar komt ten goede van de Electronic Frontier Foundation, een burgerrechtenorganisatie die vergelijkbaar is met het Nederlandse Bits of Freedom.

Door Joost Schellevis

Redacteur

Feedback • 17-01-2014 16:06 35

17-01-2014 • 16:06

35

Lees meer

Onderzoekers: ook andere NSA-tool van RSA was kwetsbaar
Onderzoekers: ook andere NSA-tool van RSA was kwetsbaar Nieuws van 1 april 2014
RSA-baas verdedigt gebruik omstreden NSA-algoritme
RSA-baas verdedigt gebruik omstreden NSA-algoritme Nieuws van 27 februari 2014
RSA: overheden moeten stoppen met gebruik digitale wapens
RSA: overheden moeten stoppen met gebruik digitale wapens Nieuws van 25 februari 2014
'Spionage NSA is mede aan onszelf te wijten'
'Spionage NSA is mede aan onszelf te wijten' Nieuws van 15 februari 2014
Chaos Computer Club klaagt Duitse overheid aan om spionage
Chaos Computer Club klaagt Duitse overheid aan om spionage Nieuws van 3 februari 2014
Canadese geheime dienst volgde passagiers luchthaven tot week lang
Canadese geheime dienst volgde passagiers luchthaven tot week lang Nieuws van 31 januari 2014
Oprichter Wikipedia: bewerken artikelen moet eenvoudiger worden
Oprichter Wikipedia: bewerken artikelen moet eenvoudiger worden Nieuws van 28 februari 2013
Beveiligingsexpert Schneier: mens zal altijd zwakste schakel blijven
Beveiligingsexpert Schneier: mens zal altijd zwakste schakel blijven Nieuws van 28 februari 2013
Kaspersky: digitale oorlogsvoering is onverstandig
Kaspersky: digitale oorlogsvoering is onverstandig Nieuws van 27 februari 2013
'Stuxnet en Flame afkomstig van dezelfde ontwikkelaars'
'Stuxnet en Flame afkomstig van dezelfde ontwikkelaars' Nieuws van 26 februari 2013
FBI: stilzwijgen over datalekken helpt niet
FBI: stilzwijgen over datalekken helpt niet Nieuws van 2 maart 2012
Meer producten en artikelen
Politiek en recht Privacy

Reacties (35)

-Moderatie-faq
35
34
29
6
0
1
Wijzig sortering

Sorteer op:

Weergave:
Fawn 17 januari 2014 16:11
Het begin van het einde van RSA. Dat hoop ik tenminste, want dan zouden in ieder geval bedrijven nog waarde hechten aan het vertrouwen in een beveiligingsinstantie en op vertrouwensbreuk actie ondernemen.
Blokker_1999
@Fawn17 januari 2014 16:27
Het duurt enorm lang om een vertrouwensrelatie op te bouwen en deze kan op enkele minuten om zeep geholpen worden. Er zijn beweringen dat RSA geld heeft aangenomen en dat is voor sommigen blijkbaar al genoeg om te zeggen dat dat ook de waarheid is. RSA verdedigd zich op de enige manier dat het zich kan verdedigen door te ontkennen. Wat kunnen zij meer doen? Wat als deze geruchten niet waar zijn? Moeten we daarom een bedrijf ten gronde richten?
fevenhuis @Blokker_199917 januari 2014 16:52
Het zijn geen geruchten, alles is onderbouwt met bewijzen.
HetMes @fevenhuis17 januari 2014 17:25
De bewijzen zijn te vinden in de bron, i.e. de Snowden files, niet een Reuters artikeltje.
Verwijderd @HetMes17 januari 2014 18:49
Maar hoe weet je of die files daadwerkelijk van Snowden afkomstig zijn?

(En zelfs als je dat zeker weet, hoe weet je dan dat die files dan weer van de NSA afkomstig zijn, en als je dat zeker weet, hoe weet je dan dat die files daadwerkelijk de intenties van de NSA representeren?)

Edit: Niet dat ik het niet geloof, overigens.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 07:25]

robvanwijk
@Blokker_199917 januari 2014 23:07
Je haalt twee dingen door elkaar:

De Amerikanen zijn schuldig aan massa-spionage van zo ongeveer alles en iedereen op de hele planeet. Alle bedrijven die, al dan niet met onfrisse methoden, al dan niet tegen betaling, daaraan meegewerkt hebben die moeten waarschijnlijk (op straffe van draconische sancties) glashard liegen over hun betrokkenheid. (Weet iemand wat er gebeurt als je onder ede wordt gevraagd naar FISA opdrachten; mag / moet je dan meineed plegen, of hoe zit dan??)

De Chinezen (Huawei) worden beschuldigd van het meewerken aan spionage. "Detailtjes:"
  • Er is nog geen snippertje bewijs getoond; het zijn (op zijn best) geruchten of (op zijn slechts) laster.
  • Amerika is sowieso nogal protectionistisch; met valse beschuldigingen de Amerikaanse concurrenten van Huawei ondersteunen bij het binnenhalen van contracten past precies in hun straatje.
  • Amerika heeft zelf overal backdoors in zitten; met valse beschuldigingen de Amerikaanse concurrenten van Huawei ondersteunen bij het verspreiden van hun eigen backdoors "verkopen van hun producten" past precies in hun straatje.
bed76 @Blokker_199917 januari 2014 16:56
Probleem is dat de NSA juist niet ontkent waar het omgaat; het bestaan van een backdoor in de encryptie. Ze ontkennen onder andere, dat ze er voor betaald hebben...

Stel: jij word tbeschuldigd dat je fraude hebt gepleegd met een vals paspoort en een bankrekeningnummer. En jij ontkent alleen maar dat je geen vals papoort en geen bankrekeningnummer hebt gebruikt :?

Precies... daar zit m de crux.
Maurits van Baerle @Blokker_199917 januari 2014 17:03
Inderdaad, hier is één van m'n favoriete Nederlandse gezegden van toepassing: "Vertrouwen komt te voet en gaat te paard."
Verwijderd @Fawn17 januari 2014 16:18
De vraag is of je als Amerikaans bedrijf wel kunt bestaan als je niet meewerkt. Sommige gerechtelijke uitspraken moet je uitvoeren en daar mag je vervolgens niet over communiceren. Het zal allemaal vast niet zo zwart/wit zijn. Daarnaast heeft de overheid zoveel mogelijkheden om een bedrijf dwars te zitten.
Yzord @Verwijderd17 januari 2014 17:49
en daar mag je vervolgens niet over communiceren
En dat is ook waarom ze bij hoog of laag blijven beweren dat ze dat nooit hebben gedaan. De vraag is ook niet of je als Amerikaans nog wel kan bestaan als je niet meewerkt. De vraag is eerder of je als Amerikaans bedrijf nog wel kan bestaan tegenover de rest van de wereld als je je bezig houdt met cloud, veiligheid, privacy etc. etc.

Het vertrouwen is gezakt naar een flink nulpunt en het ziet er naar uit dat dat steeds verder gaat zakken. Ik heb al conferenties meegemaakt waarin nadrukkelijk een disclaimer werd "besproken" om goed uit te zoeken wanneer je als NL bedrijf gebruik wilt maken van Amerikaanse software, hardware of diensten. En laten we eerlijk wezen, dat zou idd een grondreden moeten zijn bij het vooraf uitzoeken van welke diensten etc. je gebruik wilt maken.
robvanwijk
@Verwijderd17 januari 2014 22:57
De vraag is of je als Amerikaans bedrijf wel kunt bestaan als je niet meewerkt.
Sorry als het bot klinkt, maar dat is niet ons probleem, dat is een probleem wat de Amerikanen fijn zelf op mogen lossen. Stel dat RSA helemaal kapot gemaakt wordt door deze boycot, stel dat er nog een paar (middel)grote Amerikaanse techbedrijven omvallen omdat niemand meer zaken met ze wil doen (en stel dat Europese, Zuid-Amerikaanse en/of Aziatische bedrijven de "opengevallen" plek meteen inpikken), misschien dat dan de Amerikaanse overheid zichzelf eindelijk eens achter de oren krabt.

"Wij" (iedereen behalve de Amerikanen zelf) hebben geen enkele rechtstreekse invloed op de Amerikaanse politiek; alleen Amerikanen hebben stemrecht. Dat betekent dat we een andere manier zullen moeten vinden om ons ongenoegen kenbaar te maken (en op die manier indirecte invloed uit te oefenen) als ze iets uitvreten wat, naar onze maatstaven, volstrekt ontoelaatbaar is. En als dat dan een paar Amerikaanse banen kost, tja, da's erg vervelend voor de mensen die de sjaak zijn (dikke kans dat zijzelf er ook niks aan kunnen doen), maar vergeet niet dat een aanzienlijk deel van de NSA activiteiten economische spionage betrof of is er hier iemand die gelooft dat Merkel werd bespioneerd omdat ze een bomaanslag aan het voorbereiden was...? en dat kost uiteindelijk Europese banen.
Autowiel @robvanwijk18 januari 2014 09:00
Maar gebeurt dit niet evengoed in andere landen? Wordt er nu niet onredelijk veel het op Amerika afgeschoven terwijl bijvoorbeeld een China het waarschijnlijk even goed doet?

[Reactie gewijzigd door Autowiel op 27 juli 2024 07:25]

thomasmoors 17 januari 2014 16:28
RSA als encryptiemethode is nog wel veilig voor de duidelijkheid, dit omdat het complete algoritme gewoon publiekelijk bekend is. Alleen de software die het bedrijf RSA uitgeeft, heeft (ondanks ontkennen waarschijnlijk) lekken door sleutels door te spelen aan de NSA of zwakke sleutels gegenereerd/gekozen.
robvanwijk
@thomasmoors17 januari 2014 23:15
RSA als encryptiemethode is nog wel veilig voor de duidelijkheid, dit omdat het complete algoritme gewoon publiekelijk bekend is.
De onderbouwing na "omdat" is volkomen ongeldig; het complete algorithme van Dual EC is namelijk ook publiekelijk bekend en toch zijn daar ernstige vraagtekens bij.

"RSA als encryptiemethode is voor zover op dit moment publiekelijk bekend, bij gebruik van een veilige methode om sleutels te genereren nog wel veilig". De reden hiervoor is wel deels de openbaarheid van het algorithme, maar de onderbouwing is pas compleet als je ook toevoegt dat onafhankelijke reviews geen zwakke punten hebben gevonden.
almar 17 januari 2014 16:13
Ik geloof wel dat de RSA ditin ieder geval gedeeltelijk heeft gedaan (manipuleren van het algoritme). Het bedrag lijkt me echter zo laag. Ik weet niet wat hun jaarlijkse omzet is maar het lijkt me dat de reputatieschade vele malen hoger is dan 10 miljoen dollar. Maar mogelijk hebben ze wel een "als het uitkomst clausule" om deze schade te dekken..
zeroxcool @almar17 januari 2014 16:15
RSA heeft het genoemde algoritme niet gemanipuleerd. Ze hebben het alleen in hun random generator suite opgenomen en ook default gemaakt.

Er zijn genoeg andere producten en open-source projecten die dezelfde random number generator gebruikt hebben.
Verwijderd @zeroxcool17 januari 2014 16:19
Bron?
Verwijderd @Verwijderd17 januari 2014 16:21
De Amerikaanse geheime dienst zou beveiligingsbedrijf RSA tien miljoen dollar hebben betaald om een inmiddels omstreden algoritme als standaard in te stellen in beveiligingsproducten. Waarschijnlijk heeft het algoritme, dat door de NSA is ontwikkeld, een backdoor.
bron: nieuws: 'NSA betaalde beveiligingsbedrijf RSA voor inbouwen backdoor'
Verwijderd @Verwijderd17 januari 2014 16:25
Uit dezelfde bron zie ik ook:
[...]
Desondanks is onduidelijk of het bedrijf wist dat de NSA een backdoor had ingebouwd: sommige medewerkers van het bedrijf zeggen tegenover Reuters dat het bedrijf daarover om de tuin is geleid. Dat er geen alarmbellen afgingen, zou te wijten zijn aan het feit dat de deal werd afgehandeld door mensen met een commerciële insteek in plaats van cryptografie-experts.
[...]
Dit geeft misschien een verklaring hoe de kwetsbare algoritme als standaard is gesteld (als de RSA inderdaad niets wist over de backdoor naar eigen zeggen).
Verwijderd @Verwijderd17 januari 2014 16:31
Hoe naief ben je als bedrijf als je 10 Mio van de NSA accepteert om hun algoritme te gebruiken, en je denkt dat daar verder geen bijbedoelingen bij zijn? Lijkt me eerder dat je het dan niet WIL weten.
watercoolertje @Verwijderd17 januari 2014 16:39
Doen alsof je neus bloedt, noemen ze dat :)
RGAT @Verwijderd17 januari 2014 17:29
He hallo hier heb je een algoritme ontwikkelt door een paar van de slimste wiskundigen, oja we hadden ook nog 10 miljoen ergens rondslingeren dus als jij die ook bij je kan houden....
Ik weet niet of het normaal is dat iemand een bedrijf betaald om winst te maken met zijn product, maar het klinkt wel als een aandachtspuntje voor een bedrijfsbespreking...
Blokker_1999
@Verwijderd17 januari 2014 16:29
zou hebben betaald. Er zijn dus geen bewijzen ... . Voor we een bedrijf ten gronde brengen, kom eerst eens met bewijzen ipv geruchten die evengoed kunnen ontstaan zijn bij een concurent.
-Tom @almar17 januari 2014 22:25
Je vergeet een aantal aspecten, de reputatieschade ligt wellicht hoger, maar:
- het was niet bij voorbaat zeker dat de reputatieschade opgelopen zou worden. Stel dat het risico ingeschat werd op vijf procent. Dan loop je een risico van x miljoen voor 10 miljoen cash. Best een goede deal, waarschijnlijk.
- er kan druk vanuit de NSA hebben meegespeeld (al vind ik dat geen excuus noch beletsel voor strafrechtelijke vervolging, maar dat terzijde)
Ten slotte wordt de rol van de bedrijven overschaduwd door de rol van de NSA. Dit is een van de uitzonderingen waar het publiek daadwerkelijk wat doet – en ik vermoed dat dit niet voorzien is
Eloy 17 januari 2014 16:31
Prijs is vrij normaal. De events waar het mee word vergeleken duren ook meerdere dagen, deze maar eentje :)

Okay, dan is het nog steeds weinig, maar een ticket voor het 4 daagse event CCC kostte slechts 80. OHM2013 idem dito, maar dat was een jongerenticket :+

[Reactie gewijzigd door Eloy op 27 juli 2024 07:25]

eheijnen 17 januari 2014 16:33
Alweer een mooie ontwikkeling voortgekomen uit de inspanningen van Edward Snowden !!
Amanoo 17 januari 2014 16:42
Wat mij betreft mag het bedrijf RSA worden opgeschort. Dankzij hun samenwerking met de NSA zijn ze niet meer als integer te beschouwen. Voor een beveiligingsbedrijf hoort zoiets eigenlijk de doodssteek te betekenen.
Verwijderd 17 januari 2014 17:49
hun handelen en presenteren (logo e.d.) getuigd voor een deel van de zelfde denkwijzen of bouwstenen
de tijd zal ons leren hoe hun of het zich zal ontvouwen

(en wat hun aandeel word of is)

[Reactie gewijzigd door Verwijderd op 27 juli 2024 07:25]

G-Nux 18 januari 2014 00:03
Tijd voor een open source, p2p achtig alternatief, beveiliging moet niet bij een single bedrijf liggen. Kijk naar Bitcoin, trust is vervangen door wiskunde. Dat moet de oplossing worden.
marcelvb 18 januari 2014 02:47
Kunnen we security software die niet open source is nog wel vertrouwen?

Securitybedrijven moeten stoppen met het maken van software (tenzij het open source is). Het is een doodlopende weg. Ze kunnen zich beter richten op dienstverlening (pen testing e.d.).
Verwijderd @marcelvb19 januari 2014 02:02
Kunnen we security software die niet open source is nog wel vertrouwen?
Wanneer het in de VS gemaakt is in ieder geval niet meer. En open source software uit de VS alleen wanneer het onafhankelijk en uitgebreid getest is, door meerdere partijen van buiten de VS (en het VK).

[Reactie gewijzigd door Verwijderd op 27 juli 2024 07:25]

Mel33 17 januari 2014 17:03
Ik ga geen bronnen geven maar ik weet 100% zeker dat je altijd achter de feiten aanloopt als het om beveiliging gaat. zelfs de HW is bepalend daar waar je een crypt op maakt. :z

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq