Microsoft giver adgang til kildekode for at modbevise påstand om bagdøre

Illustration: leowolfert/Bigstock
Myndigheder i hele verden får fri adgang til Microsofts kode efter beskyldning om amerikanske bagdøre.
17

Microsoft åbner et nyt såkaldt transparency center i Brasilien, der skal give myndigheder mulighed for at blive forvisset om, at it-giganten ikke har installeret hemmelige bagdøre til amerikanske myndigheder.

Microsoft er stadig plaget af beskyldninger om, at kundernes kommunikation frit kan tilgås af den amerikanske efterretningstjeneste, skriver Venture Beat.

Læs også: Sociale medier sætter stopper for politi-spionage af demonstranter

Centeret i Brasilien tilslutter sig lignende centre i Bruxelles og Washington. I denne måned er der også blevet åbnet et center i Singapore, og endnu et er på trapperne i Beijing.

I centrene kan regeringseksperter tale ansigt til ansigt med udviklere, fortæller Mark Estberg, der er leder af Microsofts globale sikkerhedsprogram for regeringer.

»Regeringer kan selv verificere, at der ikke er nogen bagdøre,« fastslår han.

Læs også: Nyt hacker-legetøj: Eksperter finder bagdør i intelligent Fisher Price-bamse

I centrene er det ikke tilladt at have digitale enheder. På den måde kan ingen løbe med de massive mængder kode, softwarekæmpen viser frem.

Alene for mail- og server-produkter er der tale om 50 millioner kodelinjer, som besøgende kan inspicere på computere, der er tilsluttet et lokalt netværk, men ikke internettet.

Ifølge Microsoft får besøgende stillet værktøjer til rådighed for at kunne gennemgå koden.

Læs også: CFCS: Flere danske virksomheder APT-hacket af statsstøttet aktør

Tilliden til det amerikanske it-selskab har lidt under Snowdens afsløringer, der blandt andet dokumenterede, at USA udspionerede den daværende brasilianske præsident, Dilma Rousseff.

»Centeret har til formål at vise, at der ikke er nogen fælder - det er et godt skridt,« sagde en anonym brasiliansk embedsmand til nyhedsbureauet Reuters.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Milos Game

Konspirations teori (mere eller mindre):

Der er vist et udtryk (mener ikke at det er "dobbelt bogføring"), der går ud på, at man fører 2 "regnskaber": 1) Den ene er den legitime udgave, der evt. offentliggøres eller vises til myndighederne 2) Den anden er den der indeholder de faktiske oplysninger, dvs. afspejler de rigtige forhold, men som holdes skjult

Med ovenstående metode kan Microsoft jo faktisk fremvise #1 og benytte #2 i produktion. Mit gæt er, at den eneste måde at finde ud af om det er #1 eller #2, er at decompile slutresultatet, dvs. en faktisk Windows installation, selv om det er meget mere besværligt end at kigge på dokumenteret og pænt formateret kildekode.

Det kan naturligvis også være, at der ingen bagdøre er - men i den tid vi lever i, har diverse organisationer adgang til data via andre veje.

  • 8
  • 2
#4 Ole Kaas

Hvis man kompilerer koden og sammenligner resultatet med hvad Microsoft selv frigiver af software pakker, så kan man vel checke om det er den rigtige kode man kigger i?

Det kræver en vis tillid til det build environment man (måske) får stillet til rådighed. Svarer til at der var stillet et røntgenapparat op ved Mona Lisa så man ved møntindkast kunne få en gennmlysning og derved sandsynliggøre ægtheden. Men du ved ikke om maksinen rent faktisk gennemlyser - men istedet blot brummer lidt inden den serverer et lagret billede.

@Lars Jensen. Tag SHA hashes med på et ark papir på de binære du vil checke. Forudsætter selvfølgelig at man kan få lov at builde og køre en SHA checksum.

  • 4
  • 1
#5 Karsten Nyblad

Hvis man kompilerer koden og sammenligner resultatet med hvad Microsoft selv frigiver af software pakker, så kan man vel checke om det er den rigtige kode man kigger i?

I teorien ja, i praksis vil det være noget nær umuligt. Med det antal kode linjer vil det tage mange mandår at gennemgå det hele. Processen skal gentages, hver gang Microsoft kommer med en patch eller en ny version. Det må vist være lettere at droppe Microsoft og gå over til open source.

  • 4
  • 1
#7 René Nielsen

Er det ikke mest et marketingstunt?

Jeg tror personligt ikke på at lande som Kina, Rusland, Brasilien mv. vil lade sig duperer af at de kan få lov til at gennemgå kildekoden på de betingelser.

Når alt kommer til alt, så drejer det sig om tillid.

Det er jo ikke ligefrem tillidsskabende med hemmelige domstole og gag-ordrer – den slags er direkte ødelæggende for eksporten af IT produkter og fremmende for udviklingen af egne produkter.

  • 8
  • 0
#10 Thomas Toft

Det er dog altid bedre at starte et stykke længere fremme af vejen end at lukke øjnene for virkeligheden og gå tilbage til start hver gang. Statistik jeg har taget ud af den blå luft (aka. min egen mening) er at der er meget tæt på 100 procent sandsynlighed for en bagdør i Windows. Det vil selv det mest obskure open source projekt have svært ved at hamle op med og alle de andre med flere øjne vil være milevidt foran.

  • 0
  • 1
#11 Rune Jensen

Statistik jeg har taget ud af den blå luft (aka. min egen mening) er at der er meget tæt på 100 procent sandsynlighed for en bagdør i Windows.

Hvor stammer den oprindelige tese om, at der er bagdøre i Windows fra?

Hvis der kun er teorier, men aldrig har været beviser for noget, så er det vel svært at sige andet end "jeg ved ikke om der er bagdøre eller ej".

Den kan man også hæfte på Android og iOS.

Men at Microsoft nu gør så meget for at give et bedre indtryk af sikkerheden, må være fordi de føler sig truet af den teori. Derfor også interessant hvor den stammer fra. For hvis det er et sikkerhedsfirma for eksempel, som har udløst teorien, så må de også kunne levere noget mere end selve teorien. De må have nogle analyser eller lignende.

En helt anden måde at se på det på, er som udgangspunkt at gå ud fra at alle ens OSer har bagdøre, og at ingen elektronisk kommunikation man foretager kan antages at være sikker. og så agere udfra det. Det kan være noget med, at visse ting kun bliver kommunikeret på papir f.eks. Truslen om spionage kommer vel ikke kun fra NSA, skulle jeg mene.

I sidste ende, så ville jeg nok kigge på, hvad jeg skal kommunikere, og så sætte kommunikationsformen efter det. Jeg tror f.eks.ikke, at NSA har særligt glæde af at kunne spionere på mine gamle HTML-arkiver, som ligger i en eller anden cloud-service. Men de må da gerne forsøge, så kan de lære lidt om valid XTML 4.01 kodning.

  • 1
  • 0
#13 Magnus Jørgensen

Hvis man finder en bagdør, er det bevis for at den er der. Hvis man ikke finder nogen, så beviser det ikke, at der ikke er nogen.

Desuden må hele cirkuset hvor folk automatisk fik updateret deres Windows 7 og 8 maskiner til Windows 10, da så fast med 7" søm at OS'et er proppet med bagdøre.. Og hvis ikke, så kan de jo bare komme med en automatisk update der ikke informeres om.

  • 0
  • 3
#14 René Nielsen

Hvis man finder en bagdør, er det bevis for at den er der. Hvis man ikke finder nogen, så beviser det ikke, at der ikke er nogen.

Når firmaer som Apple, Microsoft, Google med flere flere udsender sikkerhedspatches, så er det jo fordi at noget ikke virker efter hensigten. Det kunne f.eks. være en patch som forhindre eskalering af rettigheder kombineret med afvikling af fremmed kode.

Ville det blive opdaget ved en gennemgang af kildekoden - næppe.

Hvis vi ser på den opfindsomhed som myndighederne i USA har udvist ved domstolene, hvor alt fra at omkode bilers bluetooth telefon forbindelse for at sikre sig rumaflytning af bilen til at Apple skulle lave en falsk opdatering som skulle sikre adgang for FBI til telefonen, så er det på ingen måde utænkeligt at f.eks. Microsoft bliver pålagt af en hemmelig domstol og i hemmelighed at tilbageholde sikkerhedsopdateringer, således at f.eks. NSA til stadighed har et antal sikkert virkende bagdøre.

  • 1
  • 0
#15 Rune Jensen

Hvis man finder en bagdør, er det bevis for at den er der. Hvis man ikke finder nogen, så beviser det ikke, at der ikke er nogen.

Nej, men hvis påstanden er, at der rent faktisk findes bagdøre, og der ikke findes nogen, så kan den påstand tilbagevises.

En påstand kræver beviser for at blive troet.

Det er derfor man er nødt til at sige, man ikke ved det, når der ikke er beviser for, ejheller imod.

Man kan heller ikke sige med sikkerhed, om der findes bagdøre i Android, fordi der er ingen beviser for det.

Man kan så godt lave en sandsynlighedsvurdering udfra hvad der er muligt, hvad der ikke bryder med naturlovene, og så evt. motiver og intentioner. Det kan måske være fornuftigt nok at gøre i mange tilfælde, men det er bare ikke et bevis.

Hvis man ingen beviser har, men man mener, der er både muligheder og intentioner, så vil det fornuftige vel være at antage, at alle OSer har bagdøre.

Hvorfor skulle f.eks. NSA fokusere kun på Windows, når langt den meste kommunikation foretages via mobile enheder i dag? Hvorfor er Google ikke også ude med det samme review af deres kode? Eller Apple?

  • 1
  • 0
Log ind eller Opret konto for at kommentere

Slut med "kodeord123": Nu kan du droppe adgangskoden på din Microsoft-konto

5

Olympus ramt af ransomware-angreb

0

Stor dansk virksomhed hacket: Strategi, sundhedsdata og medarbejderes finansielle oplysninger lækket på nettet

6
Job fra Jobfinder
Webinars and Whitepapersopen_in_new
Webinar
Webinar
Nyt samarbejde om it-sikkerhed for SMVer
Webinar
Webinar
Forstå de seneste anbefalinger i Schrems II-sagen
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder