Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 109 reacties

Beveiligingsonderzoeker Michael Ossman is bezig om een reeks hulpmiddelen die de NSA tot zijn beschikking heeft na te bouwen. Zijn doel is dat iedereen door zijn project toegang krijgt tot de technologie van de NSA.

NSA LogoHet project is gebaseerd op de ANT Catalog; een soort bestelgids voor medewerkers van de NSA, uitgelekt door Edward Snowden, met daarop 49 verschillende types soft- en hardware die ingezet kunnen worden voor spionage. Op de site van het project, dat NSA Playset heet, worden in de komende tijd handleidingen vrijgeven voor de bouw van een aantal sets en tools die zijn afgeleid van de tools in de ANT Catalog. Volgens Ossman zullen deze sets en tools stuk voor stuk makkelijk in gebruik zijn. Hij hoopt dat zijn project beveiligingsprogramma's toegankelijker, makkelijker te begrijpen en moeilijker te vergeten zal maken.

In aanloop naar zijn presentatie op Def Con 22 in augustus dit jaar noemt Ossman LoudAuto een van de belangrijkste onderdelen op de ANT Catalog-lijst die kunnen worden nagebouwd. LoudAuto is een chip die in een apparaat kan worden ingebracht of los bij iemand kan worden verborgen. Vervolgens kan de chip van afstand, zonder dat hij stroom nodig heeft, via radiogolven geactiveerd worden. Hierdoor kan data uit bijvoorbeeld smartphones doorgestuurd worden naar de eigenaar van de chip. Ossman heeft naar eigen zeggen een functionerend prototype van LoudAuto gemaakt, dat hij op Def Con 22 zal demonstreren.

Ossman zal ontwikkelaars die willen meewerken aan het project met open armen ontvangen; nadat ze een zogeheten Playset hebben ontwikkeld, kunnen ze een lijst met benodigde onderdelen en software, samen met instructies voor de maak van de Playset opsturen. Vervolgens wordt de set ingedeeld in een van de categorieën. Momenteel zijn er zes categorieën, uiteenlopend van tools voor 'passieve radio-onderschepping' tot rootkits voor belangrijke softwareplatforms als servers en mobiele apparaten.

''Uiteindelijk moet er een complete Playset komen, zodat iedereen dezelfde hulpmiddelen tot zijn beschikking heeft als de NSA'', legt Ossman uit in een gesprek met NuTech. Volgens hem gaat het om interessante technieken en hij denkt dat het maatschappelijk relevant is dat mensen snappen hoe deze werken. In de komende tijd zal Osmann over zijn project spreken op verschillende conferenties, waaronder de Hack in the Box-conferentie die eind deze week plaatsvindt in Amsterdam. Hij zal laten zien hoe mensen compleet met opensourceonderdelen hun eigen NSA Playset kunnen bouwen en zal zijn eigen prototype van de LoudAuto demonstreren.

Moderatie-faq Wijzig weergave

Reacties (109)

Tuuirlijk zullenj deze producten worden gebruikt voor minder legale doeleindes. De NSA gebruikt deze tools ook voor doeleinden die alleen maar 'legaal' zijn omdat politieke bobo's het zeggen.

Het achterliggende doel is natuurlijkk dat het bombarderen van het internet met zulke tools uiteindelijk leid tot een aanscherping van protocollen, het dichten van gaten en het bewuster maken van mensen, iig van de ICT sector.

Wat dat betreft werkt ICT niet anders dan de wapenindustrie. Als iedereen vecht met zwaarden en slechts een klein groepje met geweren dan zal er weinig behoefte zijn aan maatregels tegen vuurwapens. Maar als iedereen gaat rondlopen met vuurwapens dan zal de verdediging er tegen zich ook aanpassen. Hetzelfde geld voor deze ICT tools.
Mooie analogie. Zullen we dan ook iedereen kernwapens geven, en hopen dat de wetenschap snel genoeg is met het uitvinden van een tegenmiddel?
Met kernenergie kun je bijvoorbeeld een land opblazen, maar zelfs met de slechts mogelijke intenties zal je dat met deze tools nog steeds niet lukken.

Ik schaar me volledig achter Auredium, de gedachte zal inderdaad zijn 'hoe bekender het word hoe beter we het kunnen tegenhouden' en ik kan me dan ook goed voorstellen dat dit de drijfveer was voor meneer Ossman.

Daarbij, besef je wel dat de gemiddelde zichzelfbenoemde hacker geen flauw idee heeft wat de helft van deze tools doet, of hoe ze werken, of dat er overal sporen worden achtergelaten.
Natuurlijk was het een nogal overdreven vergelijk, maar vergis je niet een gedreven hacker kan met de goede tools een boel ellende en zelfs doden op z'n geweten hebben. Het is eigenlijk zelfs een slechte hyperbool omdat een kernwapen nogal een suďcidale component heeft.
Dit soort hacktools zijn veel laagdrempeliger en daarom zullen veel meer mensen 'm kunnen en willen toepassen.

En jij hebt wel dat inzicht wat je er allemaal mee kan doen? Hoe gevaarlijk het kan zijn in de handen van de verkeerde lui?
Maakt niet uit hoor ;) overdreven vergelijkingen zijn de mooiste.

En tuurlijk zou een gedreven hacker met de juiste knowhow deze tools behoorlijk kunnen misbruiken, maar m'n punt was nou juist een beetje dat deze personen echt niet zo wijdverspreid zijn als soms word gesuggereerd, het gros is gewoon 'scriptkiddie' wat van voren niet weet dat ie van achteren gevolgd word.

Ja de tools zijn laagdrempeliger (dan het zelf moeten bedenken en maken van de tools) maar dan nog moet je wel weten wat je ermee kan. Bijvoorbeeld, ik zou al echt niet weten wat ik kan met iets als CHUCKWAGON, en zoals je ziet word dat dus ook niet even snel uitgelegd.

En nee hoor, ik weet ook niet precies wat de gevaren van de tools zijn, ik weet alleen wel dat de term 'hackers' een heel vormbaar begrip is. Als ik een pakketje van iemand opvang met een of andere gratis tool (cain&abel bijvoorbeeld) ben ik ook al een hacker, maar dat is natuurlijk geen juiste beredenering. (ik ben dan maar een simpel scriptkiddie, die zichzelf binnen no-time in de problemen werkt)
Dan weet je al meer dan ik, maar ik kan me voorstellen dat vooral de (semi-) georganiseerde clubs hiervan gaan profiteren. Er zijn een boel partijen met een boel geld, maar niet de know how om eigen hardware te designen of high-end tools te ontwikkelen. Hoe je het wend of keert, je maakt hacken laagdrempelige beschikbaar. Op dit gebied is kennis zeldzamer dan veel geld. Denk ik. :)
Op dit gebied is kennis zeldzamer dan veel geld.
Dat is waar
Nou .. ik snap de achterliggende gedachte wel hoor.. maar ik heb liever al mijn gegevens in het bezit van de NSA dan van een willekeurige dorpsbewoner die wat minder gecontroleerd te werk gaat eigenlijk.

Niet dat de NSA heilig is. Bepaald niet zelfs. Maar nu weet je tenminste wáár je gegevens blijven..
En wat ga je ertegen doen? Een pruillip opzetten? De tools komen er, of jij of een overheid dat nu wil of niet. Dat is de kracht van zes miljard mensen en het internet.
Jammer, die reactie. Ik snap prima dat die tools er komen. Je reageert nu om het reageren, niet op wat ik zeg -- ik stel alleen dat mijn overbuurman niet over alle tools zou moeten hoeven te beschikken die veiligheidsdiensten zouden moeten hebben.

Als ik die lijn doortrek is het namelijk ook gewoon slecht dat ik geen politiefuncties zomaar mag beoefenen. Want dat is een overheidstaak. Die worden betaald van mijn centen; dan mag ik dat toch zeker óók? De veiligheidsdiensten net zo. Ik heb in het verleden wel eens gekscherend gedacht aan een particuliere flitsdienst. Eigen camera's naast de wegen die tegen concurrerende prijzen 'flitsen'. "Deze overtreding wordt mede mogelijk gemaakt door <...>. Volgende week hebben wij een aanbieding en krijgt u 10% korting op overtredingen boven 20 km p/u". Kan óók niet zomaar he :)
Bedenk het dan zo, als deze tools "openbaar goed" worden dan kunnen bedrijven als Microsoft Google Apple etc zorgen dat hun hardware in ieder geval veilig is.

Daarbij is het ook zo dat de NSA veel (zoniet alles) voor zichzelf hebben gehouden, dat het nu openbaar word betekend ook dat bijvoorbeeld de "High Tech Crime Unit" er toegang tot heeft. (en er in ieder geval uit zou kunnen leren)

En dan zie ik toch 100 keer liever dat een of andere overheids organisatie in Nederland alles over me weet, dan de NSA. En dat is niet omdat ik iets te verbergen heb, maar ik vind het nogal wiedes dat als Amerika iets over mij wil weten, ze dat braaf aan de Nederlandse overheid vragen. Die mogen dan lekker beslissen of het volgens Europese en Nederlandse wetgeving "in de haak is", in plaats van dat Amerika maar lekker op eigen houtje aan Europese/Nederlandse burgers komt.
En hoe bescherm ik mij tegen iets als LoudAudio dan wel precies? Met encryptie? Moet ik dan in code gaan praten over de telefoon? Lijkt mij een interessante gewaarwording.
Of dat VoIP ook snel op de mobiel komt, en dan met versleuteling. Dan is het dus niet gelijk spraak.

Tenzij het een echt microfoontje is dat je stem herkent.
Het IS een echt microfoontje, lees je het artikel waarop je op reageert wel?
Ik had het anders geďnterpreteerd, maar dat blijkt incorrect. Dan moeten we inderdaad versleuteld praten :)
Ja, ik snap wel dat die tools er komen, en de argumentatie ("zij hebben het, dus mogen wij ook") snap ik ook wel. Maar als je dat doortrekt is het niet zo gek dat Iran en Noord Korea kernbommen willen bouwen, want 'hullie hep dat ook'. En in de basis is dát nog niet eens zo slecht, maar ik vertrouw de persoon aan die knoppen niet zo...

Getuige hoe Nederland omgaat met ICT en databeveiliging, doe mij dan toch die Amerikanen maar. Anders weet je zéker dat het op straat ligt zometeen.. en ja, als de Amerikanen iets zouden moeten weten over me, moeten ze het aan onze overheid vragen, dát gedeelte kan ik me helemaal in vinden :)
Liever de NSA... wow. Naief, of gebrek aan kennis?

De VS kan op basis van de gegevens die de NSA buitmaakt een lijst opstellen van zo'n 3000 personen die vervolgens op de kill list staan van JSOC. JSOC zit in 80 landen over de gehele wereld. Kortom, het maakt niet uit waar je bent, wie je bent. Je bent de sigaar.

http://www.businessinside...jsoc-in-dirty-wars-2013-4

Sterker nog, dit is momenteel een feit. Praktijkvoorbeelden laten zien dat wanneer een 'target' benaderd wordt, alle onschuldige omstanders als 'collateral' worden gezien; jammer maar helaas.

Misschien de docu Dirty Wars eens kijken, dan denk je nog wel een keertje na over dit soort uitspraken. Met het buitenlandbeleid van de VS van de afgelopen jaren moet toch wel duidelijk zijn dat die lui er echt niet voor 'ons' Europeanen zijn... Dus filosofeer even door wat dit voor ons betekent mocht het ooit tot een conflict komen met een Amerikaanse belanghebbende.

[Reactie gewijzigd door Vayra op 26 mei 2014 18:24]

@Vayra : ja, liever de NSA inderdaad. Beter dat dan een buurman met een wrok. Geloof me, er worden meer mensen per dag omgelegd door 'geliefden', bekenden of buren dan door de NSA/JSOC ..

Als de NSA een lijst maakt op basis van gegevens die ze vergaren hoef ik me geen zorgen te maken in elk geval. Als er maar 3000 mensen op die lijst staan, van de 7 miljard die er rondslenteren op deze aardkloot, kan ik met een aan zekerheid grenzende waarschijnlijkheid stellen dat ik dat niet ben.

Bovendien is de kans dat Rusland of het midden-Oosten gekke dingen gaat doen met ons gróter dan dat we bonje krijgen met de Amerikanezen.
Leuk dat je hiermee ook de criminelen die niet voor de NSA werken toegang geeft tot deze tools. Daar zullen burgers vast ook last van hebben.
Leuk dat je hiermee ook burgers toegang geeft tot deze tools, daar zullen overheden wel last van hebben. Die overheden kunnen dan ineens weer heel democratisch verantwoord in de gaten gehouden worden door burgers.
Hoe zie je dat voor je? Stuur je een zakkenroller af op Rutte om zo'n afluister-chip op z'n mobiel te plaatsen? Of doe je dat zelf onder begeleiding van een Mission Impossible deuntje...

Dat er iets moet veranderen wat betreft spionage zal iedereen het wel mee eens zijn, maar de oplossing is om zelf lekker mee te gaan doen lijkt me niet heel werkbaar. Ik vind het zelfs net zo stupide als het een goed idee vinden dat burgers tanks en granaatwerpers mogen gebruiken om zo het leger 'heel democratisch' tegenwicht kunnen bieden.
Jouw laatste zin is grappig genoeg wel de basis van de Amerikaanse wapenwet als grondrecht.
In Nederland zal sowieso geen actie ondernomen worden, met uitzondering van Bits of Freedom (waar bijna niemand vanaf weet of om geeft) en de Piraten Partij (waar bijna niemand op stemt) geven we in Nederland eigenlijk helemaal niets om onze privacy.

In o.a. Duitsland nemen mensen hun privacy echter wel serieus. Een voorbeeld hiervan is toen een politicus bezig was een wet erdoor te drukken die Duitsers zou verplichten vingerafdrukken op te nemen in het paspoort. De argumenten waren dat dat veilig en betrouwbaar kon gebeuren. Duitse actievoerders hebben toen de vingerafdruk van die politicus van een glas wijn gehaald en vergroot op posters gedrukt, om te laten zien dat dit helemaal niet veilig en betrouwbaar is. Bron: http://beta.slashdot.org/story/99322

Zo kan ik me ook wel voorstellen dat o.a. Duitsers straks inderdaad politici en geheime diensten gaan afluisteren, om de geheime gang van zaken omtrent het massaal afluisteren van burgers door de overheid te publiceren. Dan heb je Edward Snowden niet meer nodig om je te vertellen dat democratie niet meer bestaat in je land. In plaats van Snowden kunnen dan de journalisten in je land zelf weer de democratie bewaken (zoals ze dat ooit deden).

[Reactie gewijzigd door GeoBeo op 26 mei 2014 17:20]

Ik denk dat de overheden al rillen bij de gedachte, dat de gewone burger HUN in de gaten houdt :P en er dan in een keer rechten komen hiervoor.
Hoe hypocriet
Misschien is dat de reden waarom het illegaal is om te doen als je niet bij een geheime dienst werkt?
Het verschil is dat het zelf maken van een kernbom, zelfs met alle kennis en materialen beschikbaar, nogal lastig is (vraag maar aan Noord-Korea), terwijl digitale wapens gratis beschikbaar zijn met bijna ongelimiteerde kracht. Iedereen kan voor een paar honderd dollar een botnet inhuren en deze (nog te ontwikkelen) tools loslaten als digitale kernbommen, daar zitten serieuze nadelen aan.
Dat zeg ik toch helemaal niet? Ik vind het alleen erg twijfelachtig dat er een derde partij in dit spanningsveld wordt betrokken die de burger wederom alleen maar tot last is en ook niet (in 'tegenstelling' tot de NSA) onder toezicht van een overheid staat en nog veel minder nobele doelen in de zin heeft.
Oh? Dus het is voor jou ineens legaal om dit soort tools te gebruiken? Da's nieuws voor mij.

Als jij deze tools toepast dan ben je dus gewoon de wet aan het overtreden, of je het nu leuk vind of redelijk vind, de NSA heeft wel degelijk de wet aan zijn kant in zijn activiteiten. Jij niet.
Klopt, je overtreed dan de wet. Ik heb niet gezegd dat dat niet zo is. Edward Snowden overtreed ook de wet. Is hij daarmee een slecht mens? Is het onethisch wat hij doet, of is de wet juist onethisch?
Uh huh...? De normale gang van zaken in een democratie is om dan de wet te veranderen, niet om zelf maar lekker te gaan afluisteren want, goh, wie weet kom je een keer iets op het spoor wat mogelijk onethisch of onwettig is.
En hoe moet je precies de wet veranderen als je niet kunt weten wat de wet is en hoe die uitgevoerd wordt? Zonder Edward Snowden (die 100% tegen de wet in gaat) hadden we nooit kunnen weten dat we afgeluisterd worden. Als we niet weten dat we afgeluisterd worden, hoe zouden we daar dan wat tegen moeten doen?

In andere woorden: jij gaat er voor het gemak van uit dat wetten democratisch tot stand zijn gekomen, transparant/bekend zijn voor burgers en ook volgens democratische principes door burgers veranderd zouden moeten kunnen worden. Hetgeen alle 3 niet het geval is in o.a. de VS.

[Reactie gewijzigd door GeoBeo op 26 mei 2014 17:57]

Dat is onzin, de wetten zijn wel degelijk bekend en democratisch tot stand gekomen, wat niet openbaar is zijn de opsporingsbevelen waar de NSA zich van bedient.

De wetgeving en de uitvoering daarvan door oa. de NSA wordt wel degelijk gemonitored (iig in theorie) door zowel de Senaat als het Huis van Afgevaardigden. Als die liggen slapen of hun werk niet goed doen dan wel geen moeite hebben met de activiteiten van de NSA dan is het aan de stemmers om daar wat aan te doen.
Ah ok, dus wat Snowden ons vertelde/vertelt wisten we allemaal al? Vandaar dat het nieuws was? Was allemaal al bekend voor je?

:? |:(
Allemachtig zeg, blijf jij nou constant de doelpalen verzetten of wat? Je trekt conclusies uit het luchtledige.
Mogelijk.

Andere optie is dat hard- en software leveranciers hun producten verbeteren, en daarmee de consumenten beschermen tegen criminelen én de NSA.
Er zijn inderdaad genoeg criminelen binnen de NSA.
Zodat iedereen zijn eigen PRISM kan draaien, en even de mailtjes van zijn buren door te nemen?
Geen idee wat hiervan te denken.

[Reactie gewijzigd door SherlockHolmes op 26 mei 2014 13:04]

Duidbaar maken hoe makkelijk bepaalde informatie te achterhalen is is, in mijn ogen, een uitstekende manier om mensen duidelijk te maken waarom ze gegevens beter moeten beveiligen.

E-mail onderscheppen is zeer eenvoudig, aangezien het een onversleuteld protocol is. Er zijn maar weinig mensen zich bewust van en als je het ze probeert uit te leggen kijken ze je vaak glazig aan. Als jij ze laat zien dat jij hun mail kunt lezen snappen ze het vaak wel en zijn ze soms ook te bewegen hierin verbetering te brengen.
E-mail onderscheppen is zeer eenvoudig, aangezien het een onversleuteld protocol is.
Het protocol misschien wel, maar veel e-mail servers hebben ondersteuning (of verplichting) voor een beveiligde verbinding, net zoals webpagina's. Met diezelfde logica is HTTP verbinding ook zeer eenvoudig, aangezien het een onversleuteld protocol is. Tenzij het HTTPS is.
Nee TLS/SSL is *optioneel* voor e-mail servers. Dat wil zeggen dat als je e-mail wilt kunnen verzenden/ontvangen je praktisch altijd moet downgraden naar onbeveiligde verbindingen wanneer een van de betrokken servers niet geconfigureerd is om over een encrypted verbinding te werken. Dit is met een MITM attack ook makkelijk te forceren zodat zelfs wanneer beide servers encryptie ondersteunen de MITM van elkaar kan doen geloven dat de ander dat niet doet. Combineer dat met grote hoeveelheden misgeconfigueerde certificaten en je kan toch nooit verifieren dat je met de juiste server, en niet een MITM, praat. Dus zelfs wanneer je verbinding encrypted is is afluisteren nog mogelijk in geval van SMTP.

Conclusie: e-mail transport is *nooit* veilig (tenzij je alleen e-mail naar jezelf of andere servers onder eigen beheer verstuurt). Zoiets als PGP/GPG maakt de transport-veiligheid irrelevant (voor message content, niet de metadata) maar is helaas lastig om op te zetten en goed te krijgen.
Https verbindingen worden helaas ook 'bij bosjes' afgeluisterd.

Los van de summiere berichten die hier nu over naar buiten komen, bedenk even wat er ongeveer een jaar geleden gebeurde, die 2 grote certificaat partijen die gehackt waren, die 2 zijn toen ontdekt, maar voor hetzelfde geld zijn er nog 30 andere partijen ook gehackt en strooit de NSA al jaar en dag neppe certificaten over iedere server waar ze een kijkje in willen nemen.

Ook relevant, gezien we het over email hebben, recentelijk kwam nog naar buiten dat Google ('of all people') wel https gebruikte 'naar buiten toe', maar niet voor het interne verkeer.. (hebben ze ondertussen opgelost) en ja wij weten natuurlijk niet of een Google medewerker is omgekocht om een laptopje of wat dan ook te laten slingeren in een Google serverpark, waarna iedereen vrolijk kan meelezen.
Maar als iemand op DefCon zoiets presenteert dan zal de gemiddelde gebruiker daar nog steeds niets van snappen, en er dus ook geen duidelijke mening over hebben.

Of hoop je soms dat iedereen slachtoffer wordt van afluisterpraktijken, en dat er daardoor maatschappelijk draagvlak komt om deze praktijken aan te pakken?

Lijkt mij persoonlijk niet de gewenste route.
Of hoop je soms dat iedereen slachtoffer wordt van afluisterpraktijken, en dat er daardoor maatschappelijk draagvlak komt om deze praktijken aan te pakken?
Geen idee wat de insteek achter het project is, maar een mogelijke manier om ertegenaan te kijken is dat dit alle producenten van beveiligingssoftware een gigantische schop onder hun kont geeft.
Enigszins vergelijkbaar met het EICAR "testvirus"; als je software deze openbaar beschikbare tools (waar dus eenvoudig tegen te testen is) al niet buiten de deur kan houden, dan is je product niet heel erg goed. "We" hebben geen manier om te testen of de malware van de echte NSA wordt gedetecteerd en tegengehouden, maar er komt nu in elk geval een alternatief waar wel tegen te testen is.

@reactie:
Voor open source software: ja. Voor closed source...
Denk aan fouten in Windows, virusscanners, firewalls, routers, etc, etc, etc.

[Reactie gewijzigd door robvanwijk op 26 mei 2014 16:19]

Dus alles wat ze binnen dit project maken wordt (door anderen) dichtgetimmerd, en vervolgens werkt het dus niet meer.

Ze kunnen dan toch beter hun energie direct steken in het dichten van al die gaten?
Veel gaten worden niet gedicht als het ze niet of nauwelijks beinvloed.
Zodra hun producten links en rechts neergehaald worden gaan hun klanten dat minder leuk vinden en ondernemen ze wel actie.
Ik denk inderdaad dat dit plan wel kan slagen. Zodra bedrijven er achter komen hoe makkelijk er door iedereen gespioneerd kan worden zal men toch betere security (a.k.a.privacy) willen hebben.

Het is nu al zo dat deze zaken niet alleen door de NSA maar ook door commerciële bedrijven gedaan worden en een opensource project zal zeker duidelijk maken hoe nijpend de situatie omtrent internet beveiliging is.

Het lijkt me ook veel eenvoudiger om de spionage tools te makendan om alle gaten te dichten (er zijn inmiddels nu zoveel gaten geprikt door de NSA en vergelijkbare diensten), dat zal dus toch collectief moeten gebeuren.
Ja , het idee zal voor sommigen nobel zijn maar ik ben ervan overtuigd dat kwaadwillenden in hun handen wrijven en voor de meerderheid van de burgers deze tools abacadabra en dus ontoegankelijk zullen zijn!
De Chinese overheid zal het maar al te graag downloaden. En andere hackers. Hoewel ik me afvraag of er geen export restrictie op komt.

Het idee is dat men er op deze manier ook achterkomt hoe de tools werken en hoe je je er tegen kan wapenen. Maar voor Jan met de Pet is dat natuurlijk allemaal te moeilijk..
En jij denkt dat iedereen die hier z'n beroep van maakt het niet al lang in handen heeft? Vergeet het maar, geheime diensten hebben al jaren die speeltjes... Het gaat er juist om dat Sjon Bierkrat ook weet waardoor ie afgeluisterd kan worden, en zodra hij de pr0n van z'n buren gejat heeft, gaat aandringen op beveiliging bij z'n overheid, provider en OS-bouwer zodat zijn pr0n niet door de buren gezien wordt.
Het is misschien lastig voor Jan met de Pet, maar ik denk dat dit project bedrijven en organisaties dwingt om gaten te dichten. Als er bijvoorbeeld op softwarematig gebied een soort "vuurproef" met een druk op de knop kan worden uitgevoerd door iedere consument, wordt het een soort keurmerk. En dan zullen bedrijven en organisaties waarschijnlijk streven om een goed cijfer te halen, en heeft Jan met de Pet een veiliger systeem.

Deze tools zijn geen vuurwapens of iets dergelijks. Tegen een vuurwapen is niets in te brengen, er kunnen daarentegen wel schilden gebouwd worden tegen deze software. Hoe meer mensen toegang hebben tot deze software, hoe sneller een schild gebouwd is.

Een andere manier om het te bekijken is dat bepaalde organisaties nu duidelijk een voordeelpositie hebben, en dat door iedereen toegang te geven tot deze macht er een evenwicht kan ontstaan. Dan moet dit project uiteraard wel kunnen opboksen tegen de technieken van bijvoorbeeld de NSA.

Het kan naar mijn mening hoe dan ook niet veel slechter dan de huidige situatie, dus dit lijkt me geen slechte ontwikkeling.

[Reactie gewijzigd door Steef435 op 26 mei 2014 22:53]

Het mooie van dit initiatief is dat als iedereen de tools bezit, niemand de tools bezit. Als een grote groep ineens dit playset kan gebruiken worden de minimale beveiligingseisen gewoon hoger, je moet immers een en ander kunnen garanderen. Gevolg is dus dat NSA weer van 0 moet beginnen.
Precies! Het komt nooit aan hoe makkelijk het kan. Kwestie van: eerst zelf zien (lees: slachtoffer worden) en dan pas geloven.
Inderdaad, goed initiatief, en het zou nog beter zijn als (de redactie van) allerlij grote IT communities (hint hint! dit verwacht ik wel een beetje van Tweakers!) eens gaan spelen met die tools en hun bevindingen openbaar maken, geloof maar dat de schrik er dan opeens in zit en alles en iedereen zn code begint op te poetsen.
De Tweakers redactie kan er best mee gaan spelen maar als ik het zo lees is het meeste van de tools nou niet echt wat je noemt legaal.
De NSA pushen andere methoden te gebruiken en besef te creëren hoe de NSA achter jouw informatie komt, waar de gevaren liggen van privacy gevoelige informatie icm IT gerelateerde systemen etc etc. Niet geheel nutteloos dus.
Informatie dat de NSA die tools heeft is anders voldoende om de gevaren te onderkennen, daar heb ik de tool zelf niet voor nodig.

Naar mijn opinie zijn de enigen die hiermee gediend worden degenen die er gebruik van gaan maken en ik denk dat je er wel vanuit kan gaan dat het dan niet om positieve doeleinden zal gaan.
Dan heb je natuurlijk nog steeds toegang nodig tot die mails. Dus als jij google kan overhalen om toegang tot al het e-mail verkeer te geven, kan je de tooling gebruiken om een hele hoop mensen te tracken.
Of je moet toegang hebben AMS-IX om een tapje te zetten, dat kan natuurlijk ook :+

Dergelijke tooling geeft je nog geen toegang tot de data, maar je kan er de data wel mee inzichtelijk maken.
Een stok achter de deur om gaten te dichten. Het publiceren van tools die het voor iedereen mogelijk maken af te luisteren dwingt tot actie.

De NSA gebruikt nu beveiligingslekken die ze geheimhouden. Dat betekent dat de Amerikaanse overheid ook lek is. Als de tools om deze lekken te [mis|ge]bruiken algemeen verkrijgbaar zijn kunnen de amerikaanse overheid, software- en hardwareleveranciers niet meer anders dan de gaten dichten.

Beste stok achter de deur: Als een veiligheidsonderzoeker een lek vindt eerst melden bij de software of hardware fabrikant in kwestie. Standaard periode geven om het probleem op te lossen en na afloop van deze periode opnemen in deze tools of het nu opgelost is of niet.
Gaat dat lampje nou echt niet branden?

De NSA is ongelofelijk naief geweest. Ze hebben al deze technologie en al deze methoden ontwikkeld met het idee dat alleen zij slim genoeg waren om het te benutten, en het idee dat niemand er achter ging komen. Snowden heeft die gedachte al op z'n kop gezet, maar de openbaarmaking van deze stukken en de beweging die eruit is ontstaan is nu niet meer te stoppen: iedereen kan het nu, en daarmee is direct het nut en de meerwaarde van al die tools teniet gedaan. Want de data is niet meer betrouwbaar, wordt gemanipuleerd, en wat nog belangrijker is: omdat iedereen het nu kan is er veel meer noodzaak om met een protocol en systeem te komen waarin wél weer veiligheid kan worden gewaarborgd. Want hoe waarborgt de NSA nu haar eigen veiligheid? En de andere overheidsinstanties in alle anderen landen? Ook die hebben zwaarwegende belangen, en veiligheid op die terreinen zal en moet doordruppelen naar het bedrijfsleven en de burger.

Verder is dit natuurlijk een ijzersterk (politiek) statement dat op een unieke manier de overheden dwingt tot openheid van zaken en het herzien van alle principes en mechanismen rondom informatiebeveiliging. Verder drukt het initiatief iedereen met de neus op de feiten: elke sukkel kan nu met makkelijke tools in jouw data. Na de media aandacht is dit dus de klap op de vuurpijl en het ultieme middel om verandering af te dwingen.

[Reactie gewijzigd door Vayra op 26 mei 2014 16:19]

Hier ben ik het compleet mee eens. Deze tools dwingen een gigantische druk naar veilige hardware en software op. Dat zou kunnen betekenen dat de veiligheid van een mobieltje zwaarder zou kunnen gaan opwegen dan een langere accu duur bijvoorbeeld. Een zeer goede ontwikkeling die veiligheid innovatie enorm gaat stimuleren de komende tijd.
Goed verhaal. Maar zelfs al had de NSA deze methoden niet ontwikkeld, zou iemand anders het wel doen.
1 Bewustwording: publiek opvoeden
2 Deze tools kunnen voor goed en kwaad gebruikt worden
3 Als je deze tools hebt en snapt dan kan je ze gebruiken om jezelf er tegen te beschermen

Probeer het te zien als een wapen en je wil niet dat daar een monopolie op is.
Ah, omdat de politie vuurwapens heeft moet jij ze ook hebben want hoe weet je anders dat je met een kogel iemand kan doden of verwonden, toch? Da's de logica die hier gebruikt word, een hele foute logica imho.
Maar het staat je vrij om te onderzoeken hoe een wapen werkt en in elkaar zit. Daarna kun je legaal body armor kopen. Dat is een beetje de context.
Dus jij vindt het wenselijker dat alleen een club uit de VS die als oogmerk heeft onder de radar opereren met het grootste budget ter wereld puur ten dienste van de grootste wereldmacht, die tools heeft?

Je vergelijking met vuurwapens gaat niet op. Als je zou willen, kun je morgen een vuurwapen in huis hebben. Wil je volautomatisch? Dan misschien iets harder zoeken. Maar het is er, en ook in Nederland 'readily available'. Dus het is eerder zo dat dit initiatief zorgt dat dergelijke 'wapens' net zo goed beschikbaar zijn als vuurwapens.

De vraag of dat goed of slecht is, is helemaal niet makkelijk te beantwoorden. Er zijn best situaties te bedenken waarin het toch wel verdomd wenselijk is dat met geld alles te koop is - ook vuurwapens.
Ik vind de acties en tools van de NSA in het geheel niet wenselijk, ik zie alleen geen enkel voordeel aan het idee om die tools ook beschikbaar te stellen aan iedereen met name om het feit dat ik zeer weinig reden zie om aan te nemen dat die tools dan verantwoord gebruikt worden.
Dan ga je voorbij aan de realiteit van vandaag de dag. Die realiteit is namelijk dat de kennis over de methoden van de NSA al openbaar is.

Kortom, wordt het niet door dit platform uitgedragen, dan wordt het óók op die manier gebruikt maar dan buiten de openbaarheid en openheid van een opensource project. En dat gebrek aan transparantie zorgt ervoor dat er geen vaart gemaakt kan worden met maatregelen die deze methoden onmogelijk maken. De kans dat er dán criminele handelingen plaatsvinden is veel groter en veel lastiger te onderscheppen of te detecteren.
Oh, ok, dus als we deze spionage tools openbaar maken en aan iedereen ter beschikking stellen dan word het illegaal om ze te gebruiken? Da's wel gek want het is nu al illegaal om de meeste van die tools in te zetten tegen anderen.

Dit draagt totaal niets bij aan transparantie maar alleen aan distributie, de informatie over die tools draagt bij aan transparantie, niet de tools zelf.
Probeer het te zien als een wapen en je wil niet dat daar een monopolie op is.
Laat ik nu willen dat de staat een monopolie op wapens heeft en dat ze niet in handen moeten komen van burgers.
De grap is nu juist dat in vrijwel alle gevallen de overheid/regering de partij is die in grote aantallen wapens levert aan burgers.

En hoe regelen die jagers dat dan? En wat dacht je van dingen als de wapenvergunning? De staat heeft nog nooit een monopolie op wapens gehad en zal het nooit hebben.
Ik ben benieuwd hoe die chip dan de data van de nabij gelegen smartphone "pikt".
Het is een stand-alone unit, die niets van de smartphone 'pikt'. Hij kan alleen (eventueel, hoeft niet eens) ingebouwd worden, en fungeert dan als microfoon die op afstand uitgelezen kan worden. Ik ben met je eens dat het wat rottig verwoord is in het artikel..
Meneer Ossman lult uit z'n nek!! Wat hier genoemd wordt is, zonder toevoeging van energie, niet mogelijk!! Daar neem ik niets van terug voordat ik zoiets werkend heb gezien. Tot dan: Bullshit!!
Kan iemand even uitleggen aan p21pme hoe het dan kan dat het kastje op mijn voorruit een signaal stuurt naar de ontvangers boven de tolpoortjes? En hoe een RFID datzelfde kan doen? Of hoe een moderne creditcard dat trukje ook kan? Of hoe.... laat ik maar ophouden.

Meneer Ossman zie overigens niet dat er geen energie ingevoerd word. Klein detail.
Nergens voor nodig Mathijs, Ik heb hier meer dan genoeg van dat spul staan om mensen op een hele vervelende manier te controleren op wat ze doen. Ik ontwerp en bouw dat spul zelf.
Als meneer Ossman dat niet gezegd heeft, waarom staat het dan wel in de tekst?

Wat RFID betreft enzo: Die dingen die geven alleen een ingebakken code af als ze geactiveerd worden. In enkele luxe uitvoeringen kan een organisatie er nog wat info in bakken maar dan houdt het echt op. Als je eens goed bekijkt/open maakt dan zie je dat er een behoorlijke draadspoel in zit. Deze spoel heeft een tweevoudige functie: samen met een condensator bepaald het de werkfrequentie, ten tweede zorgt de draadspoel ervoor dat er voldoende hoogfrequent energie wordt opgevangen om de in de chip aanwezige transponder te activeren en in zeer korte tijd (enkele milliseconden) z'n data over te dragen.
Dit alles op een afstand van pak em beet maximaal 15 meter!!! (de ontvangen energie is zeer zwak en moet ook nog gebruikt worden om energie op te wekken om het signaal terug te sturen en het rendement is ietsje minder dan 100%.....)
Het is wel mooie techniek......dat wel!

Maar om microfoonsignalen over te dragen is toch echt van een hele andere orde, daar heb je redelijk wat energie voor nodig, dat het allemaal in een chipje ingebouwd kan worden, geen probleem, heb ik ook hier liggen (CML maakt dat spul gewoon commercieel) maar zonder externe voeding: no way!!
Los van dat het vermoedelijk gebruikt gaat worden voor minder legale doeleinden : ze steken met dit project wel een lekker dikke middelvinger op naar de NSA & Friends.

Ben benieuwd hoe lang het gaat duren voordat de eerste (fysieke) deuren worden ingetrapt door overheidsinstanties ;)
Die snap ik niet. Wat is die dikke middelvinger naar de NSA? De enige die hier potentieel last van heeft zijn diegene die zich niet goed beschermen tegen dit soort onzin. Door dit open source beschikbaar te maken, wordt dit soort troep laag drempelig beschikbaar voor oa:
- de geheime diensten van landen die niet de kennis en financiën hebben hiervoor
- criminele organisaties die hun digitale activiteiten willen uitbreiden
- script-kiddies die de boel willen verzieken

Zeker het voorbeeld van die LoudAuto chip... Wie heeft hier wat aan behalve een iemand die de boel wil oplichten? Je ziet het hopelijk niet voor je dat underground activisten dit gaan gebruiken om hoge ambtenaren af te luisteren enzo. Dat is leuk voor een game of een tv series, maar in het echt een enkeltje/retourtje cel. En terecht, iets met privacy.

De enige die er iets aan zouden kunnen hebben zijn onderzoekers die tegenmiddelen maken, maar dat lijkt hier niet de opzet.
Nou dit hele project is gewoon een bijna ludieke manier om het publiek meer inzicht te geven in hoe ver de overheid kan gaan met het monitoren van het internet / telefonie net / etc. En Criminelen (of "terroristen" ) krijgen hiermee mogelijk nieuwe inzichten in hoe ze onopgemerkt moeten communiceren.

Ook zal de mening van het publiek hierdoor mogelijk beďnvloed worden, wat natuurlijk negatief is voor de regering. (Het zal moeilijker worden om dit te verantwoorden richting de burgers).
Als dit project een succes word en "iedereen" het kan gebruiken is er maar een logisch gevolg natuurlijk: betere privacy maatregelen en strengere beveiligingen en dat lijkt me dan ook het hele punt van het project. De NSA heeft nu enkel een voordeel omdat ze de "enige" zijn die het doen.
Ik zie niet in dat dit een logisch gevolg is. Je gaat er vanuit dat alles 100% te beveiligen is, en dat is gewoon niet zo.

Het is ook een naďeve illusie dat de NSA de enige is. Ik verwacht dat op z'n minst China en Rusand met soortgelijke onzin bezig zijn, en waarschijnlijk ook meerdere 'kleinere' mogendheden in meer of mindere mate.
De enige die hier potentieel last van heeft zijn diegene die zich niet goed beschermen tegen dit soort onzin.
Dat is precies wat ze willen bereiken, chaos en daarmee hopelijk wereldwijde aandacht in het nieuws/politiek.
Als iedereen hierover kan beschikken zul je overal over je schouder moeten kijken, je apparatuur in een Faraday kooi stoppen en met scanners door je huis lopen.
Dergelijke inbreuken op de vrijheid kan geen enkele overheid negeren.

Het uiteindelijke doel is naar mijn idee om de macht van de NSA in te verkleinen, door indirect regelgeving te verwekken, de kennis van burgers te vergroten en misschien wel een markt te creëren voor anti spionage producten.
ze steken met dit project wel een lekker dikke middelvinger op naar de NSA & Friends.
Hoezo? Ze helpen ze enorm. De NSA kan en zal deze tools als ze een beetje goed zijn ook gaan inzetten en kan hun budgetten dan minder aan tooling en meer aan schaalvergroting besteden.
Als er een goede toolset uitkomt lijkt me de NSA juist de grote winnaar.
Het is geen middelvinden en rr worden geen deuren ingetrapt, heel misschien zal NSA en collegas een heel klein deel van hun eigen tooling vervangen door deze tooling als het beter blijk te zijn.

Dat is het enige effect op de overheidsinstanties.
Door dit soort lui, gaat het internet ooit gecensureerd raken. Heel erg jammer, dat je mensen laat denken dat ze dezelfde tools als de NSA omhanden kunnen krijgen.

'' Volgens hem gaat het om interessante technieken en hij denkt dat het maatschappelijk relevant is dat mensen snappen hoe deze werken''

Blijf a.u.b. nadenken mensen en geloof niet in al deze gehypte media nonesense. Ik heb diverse werkzaamheden gedaan voor de overheid, men doet daar niet zomaar geheimzinnig over hetgeen wat ze in Zoetermeer allemaal hebben liggen qua apparatuur.

Voor de mensen die naar de HAXPO gaan, cu @ :)

Tevens een prestatie als het hem lukt om alles bugvrij na te bouwen.
En als dat is gelukt wil ik graag de Warrior Pride hebben. Zodat als mijn telefoon wordt gestolen ik deze toch nog kan vinden (en dan niet door find my iphone -.-)
https://en.wikipedia.org/wiki/WARRIOR_PRIDE

[Reactie gewijzigd door Dr.Root op 26 mei 2014 13:44]

Commerciele motieven + politieke censuur uit "schurkenstaten" zijn de sterkste drijfveren voor verdere censurering van het internet, dit zal er weinig tot geen invloed op hebben.
Top. Hopelijk zal de wereld dan wat bewuster zijn van beveiliging.
Project Samaritan -> Person of Interest Season 3 dingen hiero..
Ben benieuwd hoeveel kracht hier voor nodig is.
Hoelang zou het duren voor de Amerikaanse veiligheidsdiensten of die van bevriende state deze site uit de lucht hebben gehaald onder de noemer staatsveiligheid.

Het domein staat in ieder geval in Panama geregistreerd
Het zal natuurlijk een doelwit worden van veel aanvallen van veiligheidsdiensten. Maar omdat alles opensource wordt gemaakt zal het niet lang duren voordat dit informatie zich over de wereld verspreid en voor altijd voor iedeen beschikbaar is.

Ik ben het er mee eens dat bepaalde mensen deze tools erg goed kunnen gaan benutten om lekken in hun netwerk te dichten maar voor een normale gebruiker zullen deze tools weinig tot geen nut hebben,

Om er gebruik van te maken zal enige kennis van bepaalde systemen nodig zijn zoals Kali linux.
Er zijn zo nog trends die je kunt zien aankomen. Privaat wapenbezit bijvoorbeeld, zodra men een 3D printable pistool uitvindt met een significant grotere kans om het doelwit om zeep te helpen dan de gebruiker. Dan kun je als overheid nog staan roepen dat het niet mag.

Zelfde geldt overigens voor cryptocurrencies. De bitcoin is in handen van een bende idioten maar als het concept ooit doorbreekt dan zal de overheid er geen fluit tegen kunnen beginnen.

En dus deze microfoontjes. Kwak de blueprints op de P2P-netwerken en iedereen met toegang tot materiaal (of een 3D-printer) kan er zo een maken. Dat is pas een sea change.
Geloof maar dat als ze die site offline (kunnen) trekken er meteen 100 mirrors beschikbaar zijn, (echte) hackers zijn nog een stuk moeilijker tegen te houden dan een piratebay of wikileaks.

En het is een stuk logischer als de NSA hier vrolijk aan mee doet, om vervolgens de slimste mensen 'op te slokken', dat is toch wat ze meestal in Amerika doen bij dit soort zaken. (want het gaat hier dus gewoon over een samenwerkings projectje voor een hacker conferentie, en het is algemeen bekend dat de NSA CIA FBI etc daar 'scouts' hebben rondlopen)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True