Microsoft deelt bugs met de NSA, zo bleek afgelopen weekend. Deze bugs zouden worden gedeeld vóór het uitbrengen van de oplossing, de patch, waardoor de NSA een periode heeft om onopgemerkt in computers te kunnen breken.
Sinds Microsoft automatische updates aanbiedt zijn er twee grote problemen: systeembeheerders die niet structureel de updates toepassen en criminelen die de updates gebruiken als handleiding om in te breken in computers voordat de update is geïmplementeerd. Om die reden introduceerde Microsoft in 2003 “Patch Tuesday“. Iedere tweede dinsdag van de maand publiceert Microsoft in een keer alle updates van die maand.
Voor systeembeheerders is het op deze manier duidelijk wanneer zij de updates kunnen verwachten en daarmee worden de updates structureler toegepast. Dit beleid heeft er ook voor gezorgd dat kwaadwillende de updates moeilijker als handleiding kunnen gebruiken om in te breken, omdat het lek nu al vaak is gedicht met die update.
Exploitatie door de NSA
Nu blijkt, op basis van interviews door Bloomberg met vier anonieme bronnen, dat Microsoft vóór “Patch Tuesday” de lekken en bijbehorende patches al doorgeeft aan de NSA. Microsoft geeft een minimale reactie op dit nieuws: de NSA gebruikt het voor risico-analyse en –bestrijding. Dit klinkt als een eufemisme voor het al dan niet legaal toegang verkrijging tot computers.
Dit lijkt geen onderdeel te zijn van het PRISM programma. De informatie wordt vrijwillig naar de NSA gestuurd. Dezelfde bronnen van Bloomberg geven ook aan dat McAfee vrijwillig meewerkt met het versturen van gegevens naar de NSA.
Monocultuur
Qua besturingssystemen heeft Microsoft een marktaandeel 91%. Ze geeft de NSA daarmee praktisch wereldwijde toegang tot computers. Saillant detail is dat Nederlandse overheid zelf ook een monocultuur aan Microsoft-producten kent, waardoor de Amerikaanse inlichtingendienst zonder moeite hier ook naar binnen loopt.
Curieuze praktijken
Eerder werd al aangetoond dat Microsoft actief links volgt in Skype-berichten. Ondanks dat Microsoft toen aangaf dat dit voor malware- en spampreventie is, toonden onderzoekers aan dat dit zeer onwaarschijnlijk is.
Naast PRISM houdt de NSA er blijkbaar andere mogelijkheden op na om informatie te verkrijgen. En voor een bedrijf dat onlangs nog campagne voerde tegen Google omwille van de slechte privacy, houdt Microsoft zelf er ook curieuze praktijken op na.
Volgens mij is dit gewoon onderdeel van MAPP, een programma waarin Microsoft dit soort informatie deelt met makers van beveiligingssoftware.
Als Microsoft deze informatie niet direct met het NSA zou delen, dan zou de NSA er wel op andere wijzes achterkomen. Bijvoorbeeld door het op te eisen van die softwaremakers.
Het alternatief zou zijn niets delen voordat er gepatcht is. Dat zou echter betekenen dat er niets tegen het misbruik van de lekken gedaan kan worden – misbruik dat óók (en wellicht zelfs vooral) door de NSA gepleegd wordt. (Al zullen die het zo niet noemen.)
Ik vind het idee dat de NSA dit soort informatie heeft voordat de patches verspreid zijn niet erg prettig. Maar het alternatief is veel erger.
Naar mijn bescheiden mening zou het alternatief moeten zijn dat lekken meteen worden gepatcht, opdat mijn Windows computer niet vatbaar is voor zowel de NSA als andere criminelen.
@RoelErick dat is helaas vaak niet mogelijk. Lekken in software zijn vaak erg gecompliceerd, waardoor het ontwikkelen en testen van een patch tijd kost. Dat geldt overigens niet alleen voor Microsoft. Er is best discussie te voeren of men niet sneller kan patchen, maar het idee dat het meteen zou kunnen (hoe goed dat ook zou zijn) is naïef.
@MARTIJN GROOTEN, Er zit dus ruimte tussen het ontwikkelen van de patch en het releasen ervan.
Wat denk jij dat de NSA zou kunnen doen met deze geheime informatie? (behalve hun eigen computers beveiligen) Is het niet handiger om de informatie publiek te maken zodat iedereen maatregelen kan nemen om misbruik te voorkomen.
@flupzor Dat is een open discussie. Ik persoonlijk ben geneigd te denken dat wat er nu gebeurt het beste is: als je de informatie openbaar maakt dan geeft je in feite miljoenen computers op een presenteerblaadje aan computercriminelen. ‘Maatregelen nemen’ is niet eenvoudig, als het überhaupt mogelijk is. Zou jij weten hoe je moet beschermen tegen een buffer-overflow lek dat leidt tot een sandbox escape?
Het is goed in deze discussie te beseffen dat de NSA heel veel kennis van lekken heeft, lekken waar Microsoft en andere softwaremakers helemaal geen weet van hebben. Die blijven soms maanden of jaren onontdekt. Ik vraag me serieus af dit soort lekken, waarvan bekend is dat a) makers van beveiligingssoftware er van weten en b) dat ze snel gepatcht zullen worden, heel interessant zijn voor de NSA.
Als je dit interessant vindt, zoek eens wat filmpjes van Chris Soghoian van de ACLU. Hij vertelt vaak over de handel in zulk soort lekken.
Ik denk dat deze opmerking van Frank Shaw aan MAPP refereert
In an e-mailed statement, Shaw said there are “several programs” through which such information is passed to the government, and named two which are public, run by Microsoft and for defensive purposes
Er kunnen er best meer zijn en het niet uit te sluiten dat Microsoft soms dingen eerder aan de NSA vertelt dan aan anderen, al dan niet onder dwang. Maar ik zou voorzichtig zijn met het trekken van te vroege conclusies.
Eerdaags (pre-2003) werden alle patches/fixes per direct bekend gemaakt. Echter leidde dit een erg hoog aantal Zero-days omdat beheerders inconsequent de patches toepastte.
Omdat te voorkomen begonnen ze met Patch Tuesday. Het direct ter beschikking stellen van updates/patches werkt dus in feite tegen de beveiliging van (de massa van de) systemen.
Het oplossen van bugs is inderdaad lastig, Het wordt in het algemeen beschouwd als twee keer zo moeilijk als het schrijven van de code (aldus de befaamde quote van Kernighan.) Dat gezegd hebbende, lijkt het mij onwaarschijnlijk dat de NSA als “debugging partner” wordt gebruikt. Dit valt niet echt binnen de doelstellingen va de NSA en valt ook niet te rijmen met de “minimale overheid” filosofie van de VS (hier zijn andere partijen voor, zoals Sophos, McAffee & Kaspersky)
Dat het om een MAPP programma gaat, lijkt mij onwaarschijnlijk. Dan is er namelijk helemaal niets gelekt, en dat zou behoorlijke FUD van Bloomberg en de “lekkers” zijn. Afgezien van het feit dat de NSA een eigen Linux heeft ontwikkeld (SELinux) vraag ik me ook af hoeveel Windows machines er staan binnen de NSA (zonder AV?) om zelf te kunnen patchen.
The article is worth to be translated in Dutch after you have many US citizens, green card holders even small US military unite and IRS representants. It is explained how system work and it is basiclly not about any terror. It is 90% economic espionage on all levels.
flupzor
Interresant, ook voor de discussie rond de mogelijke hackbevoegdheid van de politie.
Martijn Grooten
Volgens mij is dit gewoon onderdeel van MAPP, een programma waarin Microsoft dit soort informatie deelt met makers van beveiligingssoftware.
Als Microsoft deze informatie niet direct met het NSA zou delen, dan zou de NSA er wel op andere wijzes achterkomen. Bijvoorbeeld door het op te eisen van die softwaremakers.
Het alternatief zou zijn niets delen voordat er gepatcht is. Dat zou echter betekenen dat er niets tegen het misbruik van de lekken gedaan kan worden – misbruik dat óók (en wellicht zelfs vooral) door de NSA gepleegd wordt. (Al zullen die het zo niet noemen.)
Ik vind het idee dat de NSA dit soort informatie heeft voordat de patches verspreid zijn niet erg prettig. Maar het alternatief is veel erger.
RoelErick
Naar mijn bescheiden mening zou het alternatief moeten zijn dat lekken meteen worden gepatcht, opdat mijn Windows computer niet vatbaar is voor zowel de NSA als andere criminelen.
Martijn Grooten
@RoelErick dat is helaas vaak niet mogelijk. Lekken in software zijn vaak erg gecompliceerd, waardoor het ontwikkelen en testen van een patch tijd kost. Dat geldt overigens niet alleen voor Microsoft. Er is best discussie te voeren of men niet sneller kan patchen, maar het idee dat het meteen zou kunnen (hoe goed dat ook zou zijn) is naïef.
flupzor
@MARTIJN GROOTEN, Er zit dus ruimte tussen het ontwikkelen van de patch en het releasen ervan.
Wat denk jij dat de NSA zou kunnen doen met deze geheime informatie? (behalve hun eigen computers beveiligen) Is het niet handiger om de informatie publiek te maken zodat iedereen maatregelen kan nemen om misbruik te voorkomen.
flupzor
@MARTIJN GROOTEN, oh, ik had je verkeerd begrepen, je suggereert dat alle klanten van Microsoft deze informatie ontvangen.
Dat zou niet overeen komen met het artikel van Bloomberg.
Martijn Grooten
@flupzor Dat is een open discussie. Ik persoonlijk ben geneigd te denken dat wat er nu gebeurt het beste is: als je de informatie openbaar maakt dan geeft je in feite miljoenen computers op een presenteerblaadje aan computercriminelen. ‘Maatregelen nemen’ is niet eenvoudig, als het überhaupt mogelijk is. Zou jij weten hoe je moet beschermen tegen een buffer-overflow lek dat leidt tot een sandbox escape?
Het is goed in deze discussie te beseffen dat de NSA heel veel kennis van lekken heeft, lekken waar Microsoft en andere softwaremakers helemaal geen weet van hebben. Die blijven soms maanden of jaren onontdekt. Ik vraag me serieus af dit soort lekken, waarvan bekend is dat a) makers van beveiligingssoftware er van weten en b) dat ze snel gepatcht zullen worden, heel interessant zijn voor de NSA.
Als je dit interessant vindt, zoek eens wat filmpjes van Chris Soghoian van de ACLU. Hij vertelt vaak over de handel in zulk soort lekken.
Martijn Grooten
Ik denk dat deze opmerking van Frank Shaw aan MAPP refereert
Er kunnen er best meer zijn en het niet uit te sluiten dat Microsoft soms dingen eerder aan de NSA vertelt dan aan anderen, al dan niet onder dwang. Maar ik zou voorzichtig zijn met het trekken van te vroege conclusies.
flupzor
@MARTIJN GROOTEN, Ik ben het met je eens dat we niet te snel conclusies moeten trekken. Rondom het NSA schandaal lijkt dat de norm te zijn geworden.
Thijs Baars
@Martijn Grooten, Flupzor, Roderick:
Eerdaags (pre-2003) werden alle patches/fixes per direct bekend gemaakt. Echter leidde dit een erg hoog aantal Zero-days omdat beheerders inconsequent de patches toepastte.
Omdat te voorkomen begonnen ze met Patch Tuesday. Het direct ter beschikking stellen van updates/patches werkt dus in feite tegen de beveiliging van (de massa van de) systemen.
Het oplossen van bugs is inderdaad lastig, Het wordt in het algemeen beschouwd als twee keer zo moeilijk als het schrijven van de code (aldus de befaamde quote van Kernighan.) Dat gezegd hebbende, lijkt het mij onwaarschijnlijk dat de NSA als “debugging partner” wordt gebruikt. Dit valt niet echt binnen de doelstellingen va de NSA en valt ook niet te rijmen met de “minimale overheid” filosofie van de VS (hier zijn andere partijen voor, zoals Sophos, McAffee & Kaspersky)
Dat het om een MAPP programma gaat, lijkt mij onwaarschijnlijk. Dan is er namelijk helemaal niets gelekt, en dat zou behoorlijke FUD van Bloomberg en de “lekkers” zijn. Afgezien van het feit dat de NSA een eigen Linux heeft ontwikkeld (SELinux) vraag ik me ook af hoeveel Windows machines er staan binnen de NSA (zonder AV?) om zelf te kunnen patchen.
The NSA Can Use Incidental Data Under Certain Conditions
The article is worth to be translated in Dutch after you have many US citizens, green card holders even small US military unite and IRS representants. It is explained how system work and it is basiclly not about any terror. It is 90% economic espionage on all levels.
Thijs Baars
I read the article (sorry for the late reply) but it doesn’t seem to be in our scope, as it doesn’t impact the Netherlands…