Szoftvereiben található sebezhetőségek részleteit osztja meg a Microsoft az USA kormányzati ügynökségeivel még a javításuk előtt

 ( trey | 2013. június 15., szombat - 19:18 )

Bugok részleteit közli a Microsoft #1

A Bloomberg robbantotta az újabb hírt: "A Microsoft Corp., a világ legnagyobb szoftvergyártó cége, szoftvereiben található bugokkal kapcsolatos információkkal lát el titkosszolgálati ügynökségeket még azelőtt, hogy nyilvánosan elérhetővé teszi azok javításait," "Ezek az információk aztán felhasználhatók arra, hogy megvédjék a kormányzati számítógépeket és arra, hogy hozzáférjenek terroristák vagy katonai ellenfelek számítógépeihez."

A Bloomberg cikkében arról is szó van, hogy a Microsoft és más szoftvergyártók, internetes biztonsági cégek tudatában vannak annak, hogy az efféle korai értesítési rendszer lehetővé teszi az USA kormányzata számára, hogy kihasználjon olyan hibákat, amelyek más országok kormányzatai számára eladott szoftverekben találhatók.

Frank Shaw, a Microsoft egyik szóvivője gyakorlatilag megerősítette, hogy cége átad ilyen információkat az USA kormányzata számára.

Megbízható partner program

A Bloomberg szerint nem a Microsoft az egyetlen aki ily módon együttműködik a kormányzattal. A cikk szerint technológiai, pénzügyi és gyártócégek ezrei adnak át érzékeny infókat az amerikai nemzetbiztonsági ügynökségeknek.

A részletek itt olvashatók.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Következő hírt már látom is:

"és igény szerint 'fejlesztenek' is kihasználható bugot szoftvereikbe, hogy az USA kormányzatának könnyebb dolga legyen a 'terroristákkal'"

Apropó, a legutóbbi 0day-jel kapcsolatban is nagy a hallgatás. Talán még bulletin se jelent meg róla. Se egy MSRC bejegyzés...

--
trey @ gépház

biztos vagyok benne, hogy van már ilyen beépített feature...

Az feature lenne. Én 'bugról' beszélek. Amit később el lehet maszatolni.

--
trey @ gépház

a mostani hír is, meg ez is olyan, hogy mindenki tudja, hogy létezik ilyen, csak még nem volt olyan, aki mindezt kiadta volna
---------------------------
���������������������������

Helyesebben: ...nem tűnt el rejtélyes körülmények között azelőtt, hogy kiadta volna. :)


Androbit.org informatikai magazin

this is not a bug it's a feature ! :D)

Vajon lesz BlackberryOS PC-re is? :-)

?

A botrány mobil ága csak a BB mobilokat nem érinti az eddigi hírek szerint. Vagy csak ügyes a BB és még nem bukott le. :-)

Igen ezt én is felvetettem az előző hírnél, de érdemben nem találtam "arcoskodást" (sőt semmit) a részükről, így lehet, hogy csak kerülik a témát. De a felhasználói tábor összetételéből, lehet következtetni, hogy nagy érvágás lenne, ha ők is belekeverednének.

In early November 2005 the US Department of Justice filed a brief requesting that RIM's service be allowed to continue because of the large number of BlackBerry users in the US Federal Government.[13]

In January 2006, the US Supreme Court refused to hear RIM's appeal of the holding of liability for patent infringement, and the matter was returned to a lower court. The previously granted injunction preventing all RIM sales in the US and use of the BlackBerry device might have been enforced by the presiding district court judge had the two parties not been able to reach a settlement.[14]

On February 9, 2006, the US Department of Defense (DOD) filed a brief stating that an injunction shutting down the BlackBerry service while excluding government users was unworkable. The DOD also stated that the BlackBerry was crucial for national security given the large number of government users.

9 May 2012 ... RIM's largest single customer, the U.S. Department of Defense, has approved the company-wide use of latest BlackBerry 7 phones.

Azaz? Konkrétan? Mivel sok kormányzati dolgozó használta ezért a DOD nem tudta kivonatni a piacról, de azért próbálták ellehetetleníteni. Akkor feltételezzük, hogy nem sikerült a rendszerbe jutnia?

Franciaországban nem kap érettségit az, aki nem képes egy hétköznapi szöveg megértésére.

Pont fordítva.

Az amerikai igazságügyi minisztérium nem tudta hivatalból kivonatni a piacról (a BB-t sw szabadalom megsértéséért beperelték), mert az amerikai védelmi minisztérium, mint az egyik legnagyobb BB ügyfél, közbelépett a szokásos "nemzetbiztonságra" hivatkozva. Akkor ők (DoD) mentették meg a BB-t: nesze neked "szabad piac".

"Szabad piacról" szólván egyébként az egész Kereskedelmi Világszervezet (WTO) vezetése BB-t használt akkoriban (nem tudom, hogy ez ma is így van-e). Mint ahogy Obama is BB függő, a PR szerint.

Ezek után döntsd el magadban, hogy kinek van hozzáférése a BB forgalmához.

"Franciaországban nem kap érettségit az, aki nem képes egy hétköznapi szöveg megértésére."
Ez nem szövegértés, hanem kombinálás. Természetesen kösz az infot!

Már van: http://index.hu/kulfold/hirek/2013/06/17/london_medvegyevet_is_lehallgatta/

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
rand() a lelke mindennek! :)

nem úgy volt, hogy a skype-ban beépített backdoor van? Vagy csak pletyka volt?

valoszinuleg csak a bing botja indexeli az url-ket, de persze mindent felfújnak... google ugyanezt csinálja emailekkel stb

Ó igen. Tényleg kevésbé gáz, hogy titkos, személyes adatokat gyűjt a bing, 'mer a gógel is csinálja, 'azmeg jócég...
A windózos backdoor meg külön plusz pozitívum.
Te komolyan így gondolkodsz?
--
AGA@
Fork portal és az egyik logóm :)

Főleg annak a tükrében, hogy az MS kampányának a gmail ellen egyik leghangsúlyosabb pontja, hogy ők aztán sose olvasnak bele semmilyen üzenetedbe (lásd gmail man)

beza, csak az NSA :)
---------------------------
���������������������������

NSA? "No Such Agency" :-D

Ezen fenyerítettem. :D

na de az nem backdoor. nekem olyasmi rémlik, hogy a gépedbe tudnak belenézni távolról vele. aztán lehet csak pletyka az egész :)

emlékeim szerint a skype-os beszélgetéseket már azelőtt felhasználtak bíróságokon, mielőtt az az MS-hez került. asszem a wikipedián van szó erről.(most nem kerestem utána)

Nem kell igény szerint fejleszteni semmit. A mostani hír a gyakorlatban egyenértékű az igény szerinti fejlesztéssel. Mivel sebezhetőségek mindig vannak, és előbb-utóbb ki is derülnek, az amerikai kormánynak mindig rendelkezésre áll néhány bug, amiből exploit lehet.
Nyilván a M$ csak akkor fogja majd kijavítani a hibákat, ha észreveszik, hogy az USA-n kívül más is kihasználja azokat. Sőt, igazából új értelmet nyert a Windows Update: az USA mindig kémkedhet a gépeden, a frissítések csak a többiekkel szemben jelentenek védettséget.

Ezek után a SELinux is gyanús nekem. Mondjuk a nyílt forrás miatt a SELinux legalább nem akkor frissül, amikor az USA akarja, hanem amikor véletlenül fölfedeznek benne valamit.
Lehet, hogy vissza kellene térni a grsecurity-hoz?

Bennem viszont az merült fel hogy az EU miért nem kötelezi ugyan erre a szoftver fejlesztő cégeket.

Mert az EU az nem egy allambol all, es mondjuk nem biztos, hogy Nemetorszag szeretne, ha a roman allam le tudna hallgatni. Amig az EU-n belul is verseny van a tagallamok kozott, addig ilyen nem lesz.

Ez így igen jó válasz, de szerintem mire megegyezznenek egy bugrol, már a platformot sem használnánk.

na ez is kemény. már semmi feltételezés, hanem nyers tény. így nyilván nem is kell a kérésekkel kapcsolatban együttműködni. csak amikor foltoznak egy rést, akkor kell küldeni nekik egy másikat. és közben büszkén mondhatják, hogy nincs backdoor a windowsban.

kíváncsi vagyok erre hogy fognak reagálni a különböző kormányok. ez azt jelenti, hogy nemzetbiztonságilag komoly kockázat win-t használni.

+1
Bár eddig is az volt és tudtak róla, hogy az. Bár egy jó Network Engineer azért meg tudja nehezíteni a dolgukat. A Cisconál nem fog kiborulni a bili?

obazmeg a nemzetbiztonsagi resznel lekoptem a telefonom rohoges kozben.

abba ne hagyd, en biztosan elolvasom amit irsz.

szoval vissza kene nezned par hirt az elmult ket hetbol, esetleg ennek a bejegyzesnek azon resze felett nem atsiklani, hogy tobb ceg bevett gyakorlatarol van szo sajnos. arra nem is irok mar kulon bejegyzest, hogy miert van a ms a hir szopoagan.

meg vagy ket lepcso, es a hup lesz az it-s blikk. en szaras kozben olvasom a par napos peldanyokat, lelkileg felkeszulve ra, anyosomek viszont jaratjak. esetleg irhatok autos hasonlatot.

--
Vége a dalnak, háború lesz...

ez egy jó példa az egymás idejét és energiát pazarló kommunikációra.

1 sor: ez ilyen kis én blog jellegű dolog. rajtad kívül mást nem érdekel. olyasmi, hogy ettem egy krémest nem volt jó. semmit nem ad a tárgyhoz.
2 sor: szintén fölösleges sor
3 sor: ebben talán van valami a tárgyhoz kapcsolódó. de itt is a személyről írsz alapvetően, abból kell következtetgetni, mit is akarsz mondani, ami jó alap a félreértésekre. ami megint fölösleges körökhöz vezet.
ha egy ilyen szerkezet van: minden x, F(x), akkor ha én valamiről írok, ami F, akkor az maxum kiegészítő, hogy vannak más F dolgok is nem megy szembe az eredeti mondandóval. és ha én erről az esetről akarok írni, az nem jelenti, hogy ne tudnék róla, hogy vannak más esetek is. szerintem csak minimális jó indulat kell, hogy ezt feltételezzük a másikról, ha egyszer benne van az adott cikkben amiről beszélünk.
4 sor: ez megint ez az én blog szerűség. rajtad kívül senkit nem érdekel fölösleges ilyennel spammelni itt mást. ha ezért olvasod OK, te dolgod.

szóval ha jól értem ennek a négy sornak a tartalmi része annyi, hogy vannak más érintett cégek is nem csak az MS. de ez meg le van írva az eredeti cikkben. szóval ezt is lehúzhatjuk.

Most már az USA katonai ellenfelei tudni fogják, mit jelent Microsoft szoftvert használni. Meg amúgyis, ki a terrorista?

Ezt már régóta tudják. Lásd például: Red Flag Linux, Loongson processzor.

Tökjó hogy lassan minden második hír arról fog szólni, hogy az ms és a google hogyan próbál poloskákat telepíteni.
-------------------------------------------------------------------------
Nem, de lehetne.

Vagy pont fordítva...hogy tesz az a kettő eleget annak titkosszolgálati nyomásnak, amit törvényekkel segítenek..

na igen, de én az xboxonera és a léggömbökre gondoltam.
az ilyen hírek után, nagyon hiteles a "senki nem férhozzá a kinetic-es felvetelekhez nyugi srácok" tipusú megnyugtatások.
-------------------------------------------------------------------------
Nem, de lehetne.

Minőségbiztosítás a Microsoftnál:
-Főnök! Főnök! Találtam egy bugot a Sanyi kódjában, ami távoli kódfutatást és privilégiumemelést tesz lehetővé.
-Nagyon jó, kiváló! Szólj a Sanyinak hogy fagyassza a kódot, a következő patchkedden megy ki mint hibajavítás. Te meg írjad gyorsan az exploitot, hétfő reggelre ott legyen a prism kukac nsa pont gov címen!

--
http://csuhai.hu

like

+1

+1

Én azon lepődök meg, hogy van aki ezen lepődik meg...

Hajrá, srácok, csak így tovább!
--
Fight / For The Freedom / Fighting With Steel

http://i.imgflip.com/1zxt9.jpg
my whole life was a lie :D

:D

Ez ugy mukodik, hogy valamit valamiert.

A MS atad bizalmas infokat az usa kormanynak az meg cserebe elnez nekik ezt-azt, nekik mefeleloen alkotjak a torvenyeket (szabadalmak stb), hogy a monopol helyzetuk minel tovabb fentmaradhasson a dekstop rendszerek piacan. Erdekes, hogy az EU-t valamelyest zavarja a MS monopol helyzete, de az usa kormanyat egyaltalan nem...

Mindket fel jol jar, ezt mar nem mondhatjuk el a windows felhasznalokrol. A titkosszolgalat minel tobb infot a MS pedig minel tobb zsetont akar a felhasznaloktol.

Halkan kérdem, szerinted a Google, az Apple, a Red Hat, a Novell, vagy az IBM miért nem lehet érintett?

a RH kiadja a forráskódot.


Puppy linux felhasználó

De most nem backdoorokról, hanem 0-dayekről van szó. Azokat meg ugyanúgy jelentheti az RH is.

Náluk csak 0-sec van. :-)

Most akkor monopolhelyzetben vannak, vagy van Linux desktop, netalantan mar csak 20% a reszesedesuk (ahogy azt jevgenyij baratunk hiszi). Dontsetek mar el!

A PRISM-en csak az átlag állampolgár lepődik meg, paranoid informatikusok eddig is biztosra vették, hogy van ilyesmi.
De ez, amit az MS (és állítólag több ezer más USA szoftvergyártó cég csinál) kvázi szándékos backdoor építés. Szerintem nincs egy súlycsoportban a PRISM-el, attól sokkal sokkal durvább. Mi jön még? Backdoor lehet a vmwareben, oracleben, vagy akár intel hálókártyák firmwareben, hp szerverek ilo-jában, stb. stb. ?
Az is sejthető, hogy ez nem önkéntes tevékenység, hanem -ahogy valaki írta is- kényszerített, adok-kapok alapon működő üzlet.

atlag allampolgar vs. paranoid informatikusok....hat, nem ennyire ketpolusu a vilag.

Jó, hogy biztosra tudhatjuk, amit sejteni lehetett.

Nem vagyok kernel programozó: amikor az NSA a Linux kernelhez ír kódot (SE-Linux), azt átnézi valaki más is backdoor-okat keresve? Vagy kényelmesen tehetik bele a saját célú "hibákat"? Elvben ellenőrizhető a forráskód, de megteszi valaki?

torvalds az nsanak szol eloszor, ha hibat talal. :)
--
zsebHUP-ot használok!

+1. Bár nem kell szólni, hiszen a teljes forráskód minden külön megállapodás nélkül ott lehet náluk, és megtippelem, hogy ők is erősen rámennek a hibakeresésre :)

A poén jó, de van tényleges, szakmai információja valakinek a témáról?

Írt valaki pl. cikket arról, hogy "Én szakmai érdeklődésből átnéztem az NSA által fejlesztett kódokat és ezt foglalom össze egy cikkben"?

Bocs, én csak érdeklődő laikus vagyok, nem tudom, hogy mennek ezek a dolgok a Linux kernelben.

"Én szakmai érdeklődésből átnéztem az NSA által fejlesztett kódokat és ezt foglalom össze egy cikkben"

Az illető

a) véletlenül belefutott 1 éjszakai verekedésbe a hazafelé úton, és véletlenül pont őt szúrták szíven 3-an is vagy
b) már az NSA-nál dolgozik jó pénzért, és hivatalból befogja a pofáját

Ez 10 evig leledzett egy BSD kernelben. 2007-ig a linux kernel is tartalmazta. Az openssl/debil weakness masfel evig volt jelen. A legutobbi agyonhallgatott linux kernelben levo, a kozelmultban lebukott, aktivan kihasznalt local root sechole 3 evig figyelt benn a kodban javitatlanul.

Ugyhogy igen, elofordulhat. Attol, h opensource meg siman el lehet rejteni erdekes dolgokat es az is elofordulhat, h hosszu ideig nem tunik fel senkinek. Mint a fent emlitett ipsec backdoor, annak a patch-nek a 99.99%-a bullshit, egy byte pedig az aktiv kod. Ezert van az, h semmivel sem biztonsagosabb egy kod attol, h nyilt v. zart. (Tessek, lehet flamelni.)

---
pontscho / fresh!mindworkz

+1

persze, h semmi értelme flamelni, aki tanult sw archeológiát, azt tudja:

http://cm.bell-labs.com/who/ken/trust.html

Meglehet nézni gondolom, hogy ki küldött be kódot ahhoz a részhez, majd baráti látogatást tenni az illetőknél.

Legalabb olyan effektiv az otlet, mint IRC log alapjan feljelentest tenni.

---
pontscho / fresh!mindworkz

Miért? Semmit nem tudni róluk?

Várható/tudható volt de legyünk optimisták.

Ha a hatalom meg akar tudni valamit azt meg is fogja, de legtöbb esetben csak a semmit tudja meg vagy a saját rendszere veri át saját magát, pl iraki vegyi fegyverek amit egy angol hírszerző "talált ki" és a háború alapját szolgálta.

XX éve az országunk majdnem 10%-a egy besúgó hálózat része volt, csak azért hogy bugyuta információkat gyűjtsön. Mit evett, mit nem, hova ment, hova nem. De persze igazi államelleneset nem találtak soha csak politikait. Ma ezt megteheti egy automata szoftver és kész, a társadalom 99,999%-ának nincs olyan félnivalója amit keresnek.

Mi a jobb, online átkutatják a géped és békén hagynak, vagy napközben beugrálnak az ablakon és mindent áttúrnak?

Egyik sem.

nemide

Egy kérdés lenne, hogy általában a terroristák hülyék?

Ez azért fontos, mert ha én mondjuk főállásban terrorizálnék, akkor nem Microsoft Windows alól, vagy IPhone-nal dumálnék a haverokkal.

Valamelyik Derrickben volt, hogy a rosszfiúk a berlini falon üzengettek egymásnak, megkerülve a hivatalos kommunikációs vonalakat. Semmi érintkezés nem volt közöttük, mégis szervezetten ment minden. Végül azon buktak le, hogy a falat olvasgatják, de már a 80-es évek végén sem telefonálgatott, akinek esze volt.

Miert? Nagyobb pusztitast nehezen tudnanak csinalni, mintha tomegesen random telefonszamokat hivogatnak, majd olyan uzenetet hagynak, amivel az illetot bemartjak, aztan mosakodjon ki belole, ha tud...

"Autoimmun betegség
Autoimmunitásnak nevezzük azt a jelenséget, amikor az immunrendszer a szervezet saját alkotóelemeit „idegen testnek” érzékeli, és elpusztításukra törekszik."

Mióta kiütött ez a cirkusz, azon agyalok hogy vajon van-e értelme a security szakmának ill. hogy valaki security expert-ként dolgozik egy-egy nagyvállalatnál, ha az általa használt eszközök és szoftverek mind (szándékosan!) lyukasak? Tegyük fel h. nincs ismert bug a termékben (nagyvonalú voltam, de tegyük fel). Ha nincs ilyen bug, akkor vajon könnyen nyitható backdoor van az NSA kezében bejutni egy tetszőleges cég informatikai rendszerébe? Ha feltételezzük a Cisco/Juniper/Checkpoint mind a kezükre játszik, akkor az összes router / tűzfal / ASA, PIX stb. eszközük nyitható egyszerűen az NSA oldaláról. Ezeket hogyan kellene elképzelni? Jól definiált TCP/UDP/ICMP kopogtatással a forráskódban le van kezelve és kinyílik egy meghatározott TCP port, hiába tiltaná az admin által bekonfigurált ACL policy? Áttörve a security eszközöket, utána hasonló trükk megismételve az MS eszközökre stb.?

Vagy ilyen 100% hatékonysággal, dedikáltan az NSA számára beépített és egyszerűen nyitható hátsóajtó nincs egyik gyártónak? Ellenben pl. a publikum felé nem dokumentált sérülékenységek lepasszolásával implicit módon segítenek abban h. a titkosszolgálat végülis némi hekker munkával, de hozzáférést szerez a rendszerben. Eközben a gyártó szemrebbenés nélkül mondhatja az elferdített igazságot, hogy márpedig beépített hátsóajtót nem adott az NSA-nak, ugyanakor -és erről azért hallgatott eddig- tippeket igen, amik egész használhatónak bizonyultak?

Minek bohóckodnának oprendszer szinten, mikor egyből a hálókártya vezérlő és a processzor mikrokódjába is tehetnek backdoor-t? Ráadásul manapság már gyakran a prociba van beépítve a wifi eszköz is, így nem is kell bekapcsolni az ethernet kártyát :D Mivel az alaplap mindig áram alatt van, lényegében akkor kapcsolódik be a gép, amikor csak úri kedve tartja. Erről ennyit. :P

Kicsit gyanús lenne, ha csak úgy bepöccenne a gép magától... Főleg egy laptop esetében táska mélyén nyáron

Én nem tudom megállapítani egy összecsukott laptopomról (nem látom a ledet) hogy ki van-e kapcsolva, vagy csak suspendel. Ugyanígy a kindlemről sem, de ha jól tudom a microsoft felület is áram alatt van kikapcsolt állapotban. (mármint a ram és a processzor)


Puppy linux felhasználó

Pedig konnyen megeshet - az intel vpro (mas neven intel amt) majdnem minden komolyabb laptopba be van epitve - a gep kikapcsolt allapotaban is mukodokepes.

https://en.wikipedia.org/wiki/Intel_AMT_versions

Ha felnyitom a ThinkPademet kikapcsolt állapotban, gombnyomás nélkül bekapcsol. Ha ez megoldható, akkor a táska mélyén bekapcsolódás is megoldható lenne.

És akkor ilyenkor hogy nem fő meg?
Vagy gyökkettő MHz-n üzemelne ekkor?

Á, nem értesz hozzá. Ezek alapjáraton nem termelnek hőt, mert már olyan csúcsszuper a technológia. Az csak azért van, hogy amikor te rendesen használod, akkor külön álcázó teljesítménytranzisztorokat fűt. Illetve az energialobbi is azt akarja, hogy többet fogyasszon.
(gy.k. troll voltam)

De hát akkor ezek hőerőművek!
Már csak vízállóvá kell őket tenni, és már kész is sufnituning vellnessz gyógyfürdő!
A modern kor enbere nem tábortüzet rak, hanem bekapcsolja a gépét, és körül üli. :3
http://youtu.be/OsQDTB3Na2M?t=2m41s

Igen és az energiacégek meg jutalékot fizetnek ezért az Intelnek, csak hogy "kerek" legyen a "történet". :-D

a ram és a proci nem termel hőt, merevlemezt nem tudom lehet-e minimális hanggal és árammal írni/olvasni


Puppy linux felhasználó

Keresztkérdés: a RAM és a CPU által felvett villamos teljesítményből mi lesz, ha nem hő?

Nem hő lesz belőle, hanem nagy teljesítményű rádióhullám, melyet a legközelebbi műhold simán fogni tud!
Szóval most már nem elég csak a fejünket elegáns/hipszter sztaniol sapkába (miért nincs még ilyen a TF2-ben?) burkolni, hanem minden egyes kütyünket is be kell csomagolni. Főleg használat közben. Egy dupla falú Faraday-kalitkában. 5000 méter mélyen a földfelszín alatt.

gondolom információ.

Az az adatból lesz.

ATYAISTEN

Es az LHC altal felvett villamos teljesitmenybol mi lesz?

Science. :)

---
pontscho / fresh!mindworkz

a ram és a proci nem termel hőt

bohocmasni pls :)

úgy látom nagyon elkanyarodtunk az eredeti kérdésemtől a sci-fi irányába.. ami nem baj, csak haszontalan :)