Microsoft giver adgang til kildekode for at modbevise påstand om bagdøre

20. oktober 2016 kl. 11:2917
Microsoft giver adgang til kildekode for at modbevise påstand om bagdøre
Illustration: Jesper Stein Sandal.
Myndigheder i hele verden får fri adgang til Microsofts kode efter beskyldning om amerikanske bagdøre.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Microsoft åbner et nyt såkaldt transparency center i Brasilien, der skal give myndigheder mulighed for at blive forvisset om, at it-giganten ikke har installeret hemmelige bagdøre til amerikanske myndigheder.

Microsoft er stadig plaget af beskyldninger om, at kundernes kommunikation frit kan tilgås af den amerikanske efterretningstjeneste, skriver Venture Beat.

Centeret i Brasilien tilslutter sig lignende centre i Bruxelles og Washington. I denne måned er der også blevet åbnet et center i Singapore, og endnu et er på trapperne i Beijing.

I centrene kan regeringseksperter tale ansigt til ansigt med udviklere, fortæller Mark Estberg, der er leder af Microsofts globale sikkerhedsprogram for regeringer.

Artiklen fortsætter efter annoncen

»Regeringer kan selv verificere, at der ikke er nogen bagdøre,« fastslår han.

I centrene er det ikke tilladt at have digitale enheder. På den måde kan ingen løbe med de massive mængder kode, softwarekæmpen viser frem.

Alene for mail- og server-produkter er der tale om 50 millioner kodelinjer, som besøgende kan inspicere på computere, der er tilsluttet et lokalt netværk, men ikke internettet.

Ifølge Microsoft får besøgende stillet værktøjer til rådighed for at kunne gennemgå koden.

Tilliden til det amerikanske it-selskab har lidt under Snowdens afsløringer, der blandt andet dokumenterede, at USA udspionerede den daværende brasilianske præsident, Dilma Rousseff.

»Centeret har til formål at vise, at der ikke er nogen fælder - det er et godt skridt,« sagde en anonym brasiliansk embedsmand til nyhedsbureauet Reuters.

17 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
17
31. oktober 2016 kl. 19:34

OK, er ikke SÅ meget inde i Android, men hvis sandt, så falder min argumentation nok dér.

16
31. oktober 2016 kl. 19:16

Rune Jensen: Android open source project.

Er, så vidt jeg ved, hele kildekoden til android.

15
22. oktober 2016 kl. 10:46

Hvis man finder en bagdør, er det bevis for at den er der.
Hvis man ikke finder nogen, så beviser det ikke, at der ikke er nogen.

Nej, men hvis påstanden er, at der rent faktisk findes bagdøre, og der ikke findes nogen, så kan den påstand tilbagevises.

En påstand kræver beviser for at blive troet.

Det er derfor man er nødt til at sige, man ikke ved det, når der ikke er beviser for, ejheller imod.

Man kan heller ikke sige med sikkerhed, om der findes bagdøre i Android, fordi der er ingen beviser for det.

Man kan så godt lave en sandsynlighedsvurdering udfra hvad der er muligt, hvad der ikke bryder med naturlovene, og så evt. motiver og intentioner. Det kan måske være fornuftigt nok at gøre i mange tilfælde, men det er bare ikke et bevis.

Hvis man ingen beviser har, men man mener, der er både muligheder og intentioner, så vil det fornuftige vel være at antage, at alle OSer har bagdøre.

Hvorfor skulle f.eks. NSA fokusere kun på Windows, når langt den meste kommunikation foretages via mobile enheder i dag? Hvorfor er Google ikke også ude med det samme review af deres kode? Eller Apple?

14
21. oktober 2016 kl. 09:29

Hvis man finder en bagdør, er det bevis for at den er der.
Hvis man ikke finder nogen, så beviser det ikke, at der ikke er nogen.

Når firmaer som Apple, Microsoft, Google med flere flere udsender sikkerhedspatches, så er det jo fordi at noget ikke virker efter hensigten. Det kunne f.eks. være en patch som forhindre eskalering af rettigheder kombineret med afvikling af fremmed kode.

Ville det blive opdaget ved en gennemgang af kildekoden - næppe.

Hvis vi ser på den opfindsomhed som myndighederne i USA har udvist ved domstolene, hvor alt fra at omkode bilers bluetooth telefon forbindelse for at sikre sig rumaflytning af bilen til at Apple skulle lave en falsk opdatering som skulle sikre adgang for FBI til telefonen, så er det på ingen måde utænkeligt at f.eks. Microsoft bliver pålagt af en hemmelig domstol og i hemmelighed at tilbageholde sikkerhedsopdateringer, således at f.eks. NSA til stadighed har et antal sikkert virkende bagdøre.

12
20. oktober 2016 kl. 21:26

Hvis man finder en bagdør, er det bevis for at den er der. Hvis man ikke finder nogen, så beviser det ikke, at der ikke er nogen.

11
20. oktober 2016 kl. 19:49

Statistik jeg har taget ud af den blå luft (aka. min egen mening) er at der er meget tæt på 100 procent sandsynlighed for en bagdør i Windows.

Hvor stammer den oprindelige tese om, at der er bagdøre i Windows fra?

Hvis der kun er teorier, men aldrig har været beviser for noget, så er det vel svært at sige andet end "jeg ved ikke om der er bagdøre eller ej".

Den kan man også hæfte på Android og iOS.

Men at Microsoft nu gør så meget for at give et bedre indtryk af sikkerheden, må være fordi de føler sig truet af den teori. Derfor også interessant hvor den stammer fra. For hvis det er et sikkerhedsfirma for eksempel, som har udløst teorien, så må de også kunne levere noget mere end selve teorien. De må have nogle analyser eller lignende.

En helt anden måde at se på det på, er som udgangspunkt at gå ud fra at alle ens OSer har bagdøre, og at ingen elektronisk kommunikation man foretager kan antages at være sikker. og så agere udfra det. Det kan være noget med, at visse ting kun bliver kommunikeret på papir f.eks. Truslen om spionage kommer vel ikke kun fra NSA, skulle jeg mene.

I sidste ende, så ville jeg nok kigge på, hvad jeg skal kommunikere, og så sætte kommunikationsformen efter det. Jeg tror f.eks.ikke, at NSA har særligt glæde af at kunne spionere på mine gamle HTML-arkiver, som ligger i en eller anden cloud-service. Men de må da gerne forsøge, så kan de lære lidt om valid XTML 4.01 kodning.

10
20. oktober 2016 kl. 18:55

Det er dog altid bedre at starte et stykke længere fremme af vejen end at lukke øjnene for virkeligheden og gå tilbage til start hver gang. Statistik jeg har taget ud af den blå luft (aka. min egen mening) er at der er meget tæt på 100 procent sandsynlighed for en bagdør i Windows. Det vil selv det mest obskure open source projekt have svært ved at hamle op med og alle de andre med flere øjne vil være milevidt foran.

9
20. oktober 2016 kl. 18:08

Karsten Nyblad: Med mindre du selv læser hver eneste linje kode og compiler dit open source program selv. Med en compiler du vel at mærke selv har lavet. Så kan du jo strengt taget ikke vide om der er nogen bagdøre i de programmer du bruger...

7
20. oktober 2016 kl. 15:02

Er det ikke mest et marketingstunt?

Jeg tror personligt ikke på at lande som Kina, Rusland, Brasilien mv. vil lade sig duperer af at de kan få lov til at gennemgå kildekoden på de betingelser.

Når alt kommer til alt, så drejer det sig om tillid.

Det er jo ikke ligefrem tillidsskabende med hemmelige domstole og gag-ordrer – den slags er direkte ødelæggende for eksporten af IT produkter og fremmende for udviklingen af egne produkter.

5
20. oktober 2016 kl. 14:00

Hvis man kompilerer koden og sammenligner resultatet med hvad Microsoft selv frigiver af software pakker, så kan man vel checke om det er den rigtige kode man kigger i?

I teorien ja, i praksis vil det være noget nær umuligt. Med det antal kode linjer vil det tage mange mandår at gennemgå det hele. Processen skal gentages, hver gang Microsoft kommer med en patch eller en ny version. Det må vist være lettere at droppe Microsoft og gå over til open source.

4
20. oktober 2016 kl. 13:05

Hvis man kompilerer koden og sammenligner resultatet med hvad Microsoft selv frigiver af software pakker, så kan man vel checke om det er den rigtige kode man kigger i?

Det kræver en vis tillid til det build environment man (måske) får stillet til rådighed. Svarer til at der var stillet et røntgenapparat op ved Mona Lisa så man ved møntindkast kunne få en gennmlysning og derved sandsynliggøre ægtheden. Men du ved ikke om maksinen rent faktisk gennemlyser - men istedet blot brummer lidt inden den serverer et lagret billede.

@Lars Jensen. Tag SHA hashes med på et ark papir på de binære du vil checke. Forudsætter selvfølgelig at man kan få lov at builde og køre en SHA checksum.

3
20. oktober 2016 kl. 12:55

Jo, men du må ikke tage kildekoden med ud fra rummet, så du har ikke noget at sammenligne med.

2
20. oktober 2016 kl. 12:19

Hvis man kompilerer koden og sammenligner resultatet med hvad Microsoft selv frigiver af software pakker, så kan man vel checke om det er den rigtige kode man kigger i?

1
20. oktober 2016 kl. 12:07

Konspirations teori (mere eller mindre):

Der er vist et udtryk (mener ikke at det er "dobbelt bogføring"), der går ud på, at man fører 2 "regnskaber":

  1. Den ene er den legitime udgave, der evt. offentliggøres eller vises til myndighederne
  2. Den anden er den der indeholder de faktiske oplysninger, dvs. afspejler de rigtige forhold, men som holdes skjult

Med ovenstående metode kan Microsoft jo faktisk fremvise #1 og benytte #2 i produktion. Mit gæt er, at den eneste måde at finde ud af om det er #1 eller #2, er at decompile slutresultatet, dvs. en faktisk Windows installation, selv om det er meget mere besværligt end at kigge på dokumenteret og pænt formateret kildekode.

Det kan naturligvis også være, at der ingen bagdøre er - men i den tid vi lever i, har diverse organisationer adgang til data via andre veje.