Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 174 reacties

De Russische overheid wil inzage in de broncode van Apple-software om te kijken of die geen achterdeurtjes bevat die bedoeld zijn voor spionage. De Russen laten in het midden wat het gevolg is als Apple geen gehoor geeft aan het verzoek.

PoetinEen Russische minister uit het kabinet onder leiding van president Poetin heeft daarvoor gesproken met een topman van de Russische tak van Apple, zo schrijft persbureau Reuters. De zorgen van de Russische overheid over achterdeurtjes zijn vermoedelijk mede ingegeven door een recente beschuldiging van een beveiligingsonderzoeker. Apple ontkent steevast dat geheime diensten via achterdeurtjes toegang hebben tot zijn software.

Het is onbekend of Apple gehoor gaat geven aan het verzoek en waarover het verzoek precies ging: het ligt voor de hand dat het gaat om OS X en iOS, of een van beide. Met de inzage in de broncode wil de Russische overheid volgens Reuters zeker weten dat er geen achterdeurtjes inzitten, maar toegang tot de broncode kan de Russische overheid ook op het spoor brengen van onbekende kwetsbaarheden, die het vervolgens kan misbruiken om informatie te vergaren.

Het verantwoordelijke ministerie zegt niet wat de gevolgen zijn van een weigering van het verzoek, maar de kans bestaat dat de Russische overheid dan Apple-producten in de ban doet. Naast Apple heeft Rusland ook softwaremaker SAP benaderd met hetzelfde verzoek.

De Russische regering doet dit niet voor het eerst: Rusland verzocht eerder al Microsoft om de broncode te overhandigen van Windows en Office. Microsoft heeft daar gehoor aan gegeven. Rusland krijgt bovendien een wet die internetbedrijven verplicht data in Rusland zelf op te slaan om zo spionage te voorkomen.

Moderatie-faq Wijzig weergave

Reacties (174)

Met uitzondering van Apple's 100% eigen geschreven software (waar waarschijnlijk deze kwestie om draait) kan al inzage worden gedaan:

https://www.opensource.apple.com/
Onder welke naam vind ik de BSD-kernel dan in de gepubliceerde source-code? Al die GNU tools, libs (LibSSL &co uitgezonderd), etc heb je vrij weinig aan vanuit veiligheidsoogpunt, zolang je processen met de goede rechten draaien heeft dat weinig invloed op het systeem. Het wordt pas leuk als je een proces root-rechten kan laten krijgen zonder dat de gebruiker daar toestemming voor heeft.

edit:
Sorry, helaas net niet lang genoeg gezocht. Ik had in de lijst al wel gezocht op Mach, BSD, de link naar de kernel en nog wat termen.

Je laatste opmerking snap ik trouwens niet: als je in een *nix omgeving (of zelfs Windows vanaf Vista) een willekeurig stuk software installeert, zonder die root-rechten te geven, dan kan die software geen root-rechten krijgen zonder van andere fouten gebruik te maken. Zonder een 'waterdichte' kernel heeft een onderzoek van alle services en libraries met root-rechten weinig nut.

[Reactie gewijzigd door MBV op 30 juli 2014 20:56]

Een beetje meer research doen graag. Je kon ook Wikipedia raadplegen om na te gaan welke kernel MacOSX gebruikt.

Strikt genomen gebruikt MacOSX de Mach-kernel en gebruikt het delen van de BSD-kernel voor de POSIX API. Dus MacOSX gebruikt niet 100% een BSD kernel, maar dus een eigen, genaamd XNU.

https://www.opensource.apple.com/source/xnu/

Op de gelinkte webpagina is er zelfs een link naar een tutorial om je eigen kernel te builden: https://developer.apple.c...gramming/build/build.html

En Neen, elk stukje software kan fouten bevatten en elke fout kan het exploiteren van bugs om een permission escalation mogelijk maken.
Elk stukje software kan (zal) fouten bevatten, maar onder unix kan je alleen andere/verhoogde rechten krijgen als dat stukje software ook daadwerkelijk andere/verhoogde rechten heeft.

Een stuk software wat 100% in userland draait als een gewone user zal nooit en te nimmer een root exploit kunnen bevatten. Echter, als een stuk userland software gebruik maakt van daemons, kernel drivers en ander soort ongein, dan zou een fout in de software gebruikt kunnen worden om toegang te krijgen tot deze andere processen om een tweede exploit te gebruiken voor permission escalation.

De permission escalation is dan echter nog steeds niet mogelijk door de fout de userland software, maar door de fout in het systeem. De eerste fout zorgt alleen voor de mogelijkheid om die andere fout te bereiken.
Problemen in kernel drivers komen best af en toe voor. Afgelopen mei was er nog een probleem ontdekt in de Linux terminal drivers, waardoor je theoretisch kon rotzooien met je permissies (link).

Ook zie je tegenwoordig dat t.b.v. extra performance sommige zaken die in userland thuishoren naar kernelspace worden verhuist. Een voorbeeld is de HTTP listener in Windows. Voorheen zat die bovenop de sockets van het OS gebouwd, maar in IIS 6.0 is er een kernel-mode driver voor in de plaats gekomen. Scheelt flink in performance, maar potentieel wel gevaarlijk (vooral omdat HTTP listeners natuurlijk vaak openlijk aan het internet hangen).
Toch 1 land dat actie onderneemt tegen de afluisterpraktijken van USA. Eerst asiel verlenen aan Snowden, dan eisen dat data opgeslagen wordt in eigen land en vervolgens de broncode van Apple opvragen. Niet slecht.
Toch 1 land dat actie onderneemt tegen de afluisterpraktijken van USA. Eerst asiel verlenen aan Snowden, dan eisen dat data opgeslagen wordt in eigen land en vervolgens de broncode van Apple opvragen. Niet slecht.
Uhh asiel voor Snowden zolang hij maar braaf doet wat het Kremlin wil en ze alle informatie geeft die ze willen (alles dus). Denk jij echt dat Poetin die sores op zijn hals haalt zonder daarvoor iets terug te krijgen?

En data opslaan van alle Russen, goed idee kan je der zelf makkelijker bij. En zie het gevolg, een aantal sites is al bezig russen te vertellen dat ze niet meer welkom zijn. Wij sluiten ook onze Russische secties omdat ik niet van plan ben een server in Moscow neer te gaan zetten.

En ze hebben de code van Windows al. Zonder dat ze daar backdoors in hebben aangetoond. Is dat voor jouw dan reden om aan te nemen dat die er niet inzitten?

Ik denk dat je fixatie op de NSA je de rest van de wereld doet vergeten. We weten het van de NSA door Snowden. Naar er is geen Russische of Chinese Snowden en alleen daarom ga jij er van uit dat die landen minder kwalijke dingen doen.
Een Chinese Snowden zou bijna helemaal niets nieuws zeggen. Op de Chinese journaals en actualiteiten programma's worden de (privacy) schendingen gewoon vermeld inclusief waarom ze het gaan doen.

Het is de schijnheiligheid en de ontmaskering van de ware aard van de VS die de imago van de VS verpest.

[Reactie gewijzigd door Dr. Prozac op 30 juli 2014 20:16]

Uhh asiel voor Snowden zolang hij maar braaf doet wat het Kremlin wil en ze alle informatie geeft die ze willen (alles dus). Denk jij echt dat Poetin die sores op zijn hals haalt zonder daarvoor iets terug te krijgen?
Als je zulke claims maakt moet je ook met bewijs komen. Vooralsnog is dit gelul in de ruimte en daar heb ik persoonlijk de afgelopen tijd al te veel van gehoord.

Het ironische is dat Rusland helemaal niets van Snowden nodig heeft om er 'iets voor terug te krijgen'. De hele situatie is uit zichzelf al één grote troll naar de US. Het land dat claimt vrijheid te hebben en haar burgers te beschermen. Het land dat claimt dat Rusland die vrijheid juist niet heeft en haar burgers verraadt.

En wat gebeurt er? De US zit achter een van haar eigen burgers aan en wil hem vervolgen voor het bekend maken van misstanden die de overheid zelf begaan heeft. En het 'o zo boze' Rusland is uitgerekend het land dat deze US burger asiel biedt en die burger de vrijheid geeft deze misstanden aan het licht laat brengen.

De US zet zichzelf gewoon lelijk te kijk en Rusland lacht er - met een politieke knipoog en middelvinger - gewoon hard om.
Kijk een naar de timing van Rusland, Apple is Amerikaans... De verhoudingen liggen op dit moment alles behalve goed.
De backdoors zitten waarschijnlijk eerder in hardware zelf, wie gaat bijvoorbeeld de audio chip of de rom van de chip op een iPhone helemaal analyseren?

Apple weet het waarschijnlijk zelf niet eens, omdat net als bij alle telefoons de componenten bij duizend en één leverancier vandaan komt (kun je het eigenlijk nooit zeker weten)
Onwaarschijnlijk. Dan moeten alle providers en instanties die internetknooppunten beheren erbij betrokken zijn. Zo niet is er ook geen mogelijkheid om op afstand data door die backdoor te krijgen. Buiten dat communiceert alles via TCP/IP en kan alles gemonitord worden wat iedere verbinding of poging daartoe blootlegt.

Maar volgens mij is er iig op het gemiddelde mobiele apparaat helemaal geen backdoor nodig omdat er standaard processen op draaien die van alles naar commerciele partijen sturen die dat ongetwijfeld op hun beurt weer doorspelen aan
de nodige instanties. Wat wil je hebben NSA, geinstalleerde software, contactenlijst of wachtwoorden? Je online gedrag hoeft niet meer, dat was al gelogd.

[Reactie gewijzigd door blorf op 30 juli 2014 19:22]

De Snowden onthullingen hebben juist aangegeven dat er zo goed als 100% zeker geen backdoors in zitten.

Immers, de NSA geeft bakken met geld aan om te spioneren op de backbones via ingewikkelde interceptie op basis van dezlefde kwetsbaarheden die malware makens gebriken, doet zelf onderzoek naar het vinden naar zwakheden in telefoons en andere platformen en via wetgeving en geheime rechters dwingt grote bedrijven gegevens af te staan na een gerechterlijk bevel via PRISM. Als er een officiele backdoor in zat was dit alles niet nodig.
Verder is er na een vol jaar nog steeds geen bericht over backdoors noch van Snowden zelf nog van de mensen die de documenten ingezien hebben. Dit terzijl zo'n backdoor hét voorpagina nieuws zou zijn geweest.

Verder vergeten mensen dat de NSA niet alleen wil spioneren, maar ook wil voorkomen dat anderen bij hen spioneren. Men is echt niet zo dom te denken dat de Chinezen of Russen niet ook diezelfde backdoor zouden kunnen vinden en gebruiken. Dat zou de Amerikaanse overheid en bijvoorbeeld defensiebedrijven kwetsbaar maken want die gebriken ook al die systemen.

En dan hebben we het nog niet over het grote aantal mensen - niet werkzaam bij de NSA - dat bij dit soort backdoors hun mond zou moeten houden. Bij het inbouwen van een geheime sleutel (anders dan een backdoor) in het RNG algorithme werd bijvoorbeeld nog voor de standaard af was, het al ontdekt.

De grote bedirjven in kwestie zouden zich bovendien met hand en tand verzetten, want bij ontdekking is het een effectief bankroet van zo'n bedrijf.
Het aftappen van de backbones was volgens mij om massa surveillance mogelijk te maken. Als ze dit met de backdoors in Windows, Cisco IOS, etc zouden doen zou het inderdaad direct ontdekt worden.
Deze specifieke backdoors zullen waarschijnlijk via een portknock mechanisme werken, en gebruikt worden om specifieke doelen te hacken.
Achterdeurtjes eruit, broncode toesturen. Voila.
Het bekijken van de broncode op 1 bepaald moment is helemaal geen garantie dat er in geleverde (compiled) software geen backdoor zit. Hoe kan Apple garanderen dat de code dat ze zouden tonen ook daadwerkelijk in zijn geheel gebruikt wordt in hun geleverde producten?
My point exactly. Dat kunnen ze niet garanderen.
Naja kijk, er valt natuurlijk te werken met hashes he. De gecompileerde code heeft, alles tezamen, een bepaalde hash. Als die opeens afwijkt, dan moet er dus iets toegevoegd of verwijderd zijn.

Maar slechts een punt of komma anders kan dit al veroorzaken. De claim maken dat het komt door device informatie die toegevoegd wordt zou wellicht al een verschil kunnen maken...

Kortom: ik heb ook geen idee hoe, daarom lijkt t me ook zo verdomd simpel om hier vals te spelen door alle shit te verwijderen voordat t toegestuurd wordt.
Apple zei juist dat er geen achterdeuren zijn.

Wat voor mij betekent dat ze de voordeur op een kier hebben voor de geheime diensten. :+
Haha, daar had ik niet eens aan gedacht. :o
Ja, waarom niet eigenlijk?

[Reactie gewijzigd door Soldaatje op 30 juli 2014 19:52]

Idd, dit doet Microsoft ook altijd. :) Goed truukje. Blijft de klant happy en de NSA. Iedereen blij ! (behalve het volk maar wat boeit dat!)
Wie zegt dat de geleverde broncode exact gelijk is aan hetgeen de broncode is van de gecompileerde versie? En wat zit er in al die Windows updates verstopt? Zinloos netto gezien tenzij je alles zelf compileert en distribueert.
Ik heb eigenlijk geen verstand van programmeren, maar kan Rusland die broncode zelf niet gewoon decompileren?

Tis toch gewoon geschreven in C++ of whatever voor programeertaal? Die code wordt dan toch gecompileerd naar machinetaal, dus kan je dat toch makkelijk weer decompileren?
Of wordt het nog ergens gecodeerd ook? :?
ja en nee. Je kan het weer in soort source code omzetten, maar zonder logische namen ed wordt het heel erg lastig om te begrijpen.

Daarnaast veranderen compilers routines wel eens om ze efficienter te maken.
Ach, zoals Russen tijdens de 2e wereldoorlog al antwoordden op de vraag, "waarom vechten jullie voor die dictator Stalin", "als we moeten kiezen tussen Stalin en Hitler, dan maar een dictator die onze taal spreekt". Als je dan toch bespioneerd moet worden, dan maar door je eigen overheid, toch?
Ik word liever bespioneerd door een buitenlandse overheid dan door mijn eigen overheid. Waarom? Omdat mijn eigen overheid diegene is die me kan straffen voor wat ze vinden.
Nou wees blij, de Amerikanen spioneren ook ;)
Ik vind dit niet zo'n slecht idee. Zou NL ook moeten doen.
Maar laten we dan fair zijn, dan moeten andere bedrijven ook aan de bak. De meeste tweakers draaien Windows, hoe zit het daarmee dan?!

(de Russen hebben het al geprobeerd, maar NL nog niet geloof ik ;))

[Reactie gewijzigd door jopiek op 30 juli 2014 23:07]

Correctie: de meeste "Windows ICTers". Ook wel "windows software configurators"(niet programmeurs).
Tweakers gebruiken Linux o.a. raspberry pi enzo. Lekker knutselen en programmeren.
Lijkt mij vrij sterk dat Apple hierin mee zal gaan.
Stel dat Apple inzicht in hun broncode zou geven, dan denk ik niet dat dit ook de versie is waarin de achterdeurtjes naar de NSA zijn inbegrepen.

Een Russische Spion bij Apple in dienst lijkt mij slimmer.

[Reactie gewijzigd door Caddy op 30 juli 2014 19:46]

Lijkt me geen probleem. Uitprinten en opsturen.
Dit is simpel. Apple heeft van de NSA verplicht backdoors in moeten bouwen, nu zegt Rusland. Wij willen ook toegang!

Ik verwacht dat onze Minister Opstelten ook al bezig is met een verzoek aan Apple te sturen.

[Reactie gewijzigd door sanderev66 op 30 juli 2014 22:05]

Het lijkt me stug dat Opstelten weet wat een backdoor is.
Vraag me af of hij nu ook weet wat "spam" betekend. Of zou hij dat alweer vergeten zijn?

:+ Wat een slechte politicus.... dat soort mensen moet je opruimen uit de politiek. Je hebt er totaal niks aan.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True