Szoftvereiben található sebezhetőségek részleteit osztja meg a Microsoft az USA kormányzati ügynökségeivel még a javításuk előtt

Microsoft, Windows

Bugok részleteit közli a Microsoft #1

A Bloomberg robbantotta az újabb hírt: "A Microsoft Corp., a világ legnagyobb szoftvergyártó cége, szoftvereiben található bugokkal kapcsolatos információkkal lát el titkosszolgálati ügynökségeket még azelőtt, hogy nyilvánosan elérhetővé teszi azok javításait," "Ezek az információk aztán felhasználhatók arra, hogy megvédjék a kormányzati számítógépeket és arra, hogy hozzáférjenek terroristák vagy katonai ellenfelek számítógépeihez."

A Bloomberg cikkében arról is szó van, hogy a Microsoft és más szoftvergyártók, internetes biztonsági cégek tudatában vannak annak, hogy az efféle korai értesítési rendszer lehetővé teszi az USA kormányzata számára, hogy kihasználjon olyan hibákat, amelyek más országok kormányzatai számára eladott szoftverekben találhatók.

Frank Shaw, a Microsoft egyik szóvivője gyakorlatilag megerősítette, hogy cége átad ilyen információkat az USA kormányzata számára.

Megbízható partner program

A Bloomberg szerint nem a Microsoft az egyetlen aki ily módon együttműködik a kormányzattal. A cikk szerint technológiai, pénzügyi és gyártócégek ezrei adnak át érzékeny infókat az amerikai nemzetbiztonsági ügynökségeknek.

A részletek itt olvashatók.

( trey | 2013. 06. 15., szo – 20:20 )

Következő hírt már látom is:

"és igény szerint 'fejlesztenek' is kihasználható bugot szoftvereikbe, hogy az USA kormányzatának könnyebb dolga legyen a 'terroristákkal'"

Apropó, a legutóbbi 0day-jel kapcsolatban is nagy a hallgatás. Talán még bulletin se jelent meg róla. Se egy MSRC bejegyzés...

--
trey @ gépház

Igen ezt én is felvetettem az előző hírnél, de érdemben nem találtam "arcoskodást" (sőt semmit) a részükről, így lehet, hogy csak kerülik a témát. De a felhasználói tábor összetételéből, lehet következtetni, hogy nagy érvágás lenne, ha ők is belekeverednének.

In early November 2005 the US Department of Justice filed a brief requesting that RIM's service be allowed to continue because of the large number of BlackBerry users in the US Federal Government.[13]

In January 2006, the US Supreme Court refused to hear RIM's appeal of the holding of liability for patent infringement, and the matter was returned to a lower court. The previously granted injunction preventing all RIM sales in the US and use of the BlackBerry device might have been enforced by the presiding district court judge had the two parties not been able to reach a settlement.[14]

On February 9, 2006, the US Department of Defense (DOD) filed a brief stating that an injunction shutting down the BlackBerry service while excluding government users was unworkable. The DOD also stated that the BlackBerry was crucial for national security given the large number of government users.

9 May 2012 ... RIM's largest single customer, the U.S. Department of Defense, has approved the company-wide use of latest BlackBerry 7 phones.

Franciaországban nem kap érettségit az, aki nem képes egy hétköznapi szöveg megértésére.

Pont fordítva.

Az amerikai igazságügyi minisztérium nem tudta hivatalból kivonatni a piacról (a BB-t sw szabadalom megsértéséért beperelték), mert az amerikai védelmi minisztérium, mint az egyik legnagyobb BB ügyfél, közbelépett a szokásos "nemzetbiztonságra" hivatkozva. Akkor ők (DoD) mentették meg a BB-t: nesze neked "szabad piac".

"Szabad piacról" szólván egyébként az egész Kereskedelmi Világszervezet (WTO) vezetése BB-t használt akkoriban (nem tudom, hogy ez ma is így van-e). Mint ahogy Obama is BB függő, a PR szerint.

Ezek után döntsd el magadban, hogy kinek van hozzáférése a BB forgalmához.

Nem kell igény szerint fejleszteni semmit. A mostani hír a gyakorlatban egyenértékű az igény szerinti fejlesztéssel. Mivel sebezhetőségek mindig vannak, és előbb-utóbb ki is derülnek, az amerikai kormánynak mindig rendelkezésre áll néhány bug, amiből exploit lehet.
Nyilván a M$ csak akkor fogja majd kijavítani a hibákat, ha észreveszik, hogy az USA-n kívül más is kihasználja azokat. Sőt, igazából új értelmet nyert a Windows Update: az USA mindig kémkedhet a gépeden, a frissítések csak a többiekkel szemben jelentenek védettséget.

Ezek után a SELinux is gyanús nekem. Mondjuk a nyílt forrás miatt a SELinux legalább nem akkor frissül, amikor az USA akarja, hanem amikor véletlenül fölfedeznek benne valamit.
Lehet, hogy vissza kellene térni a grsecurity-hoz?

( prion | 2013. 06. 15., szo – 20:34 )

na ez is kemény. már semmi feltételezés, hanem nyers tény. így nyilván nem is kell a kérésekkel kapcsolatban együttműködni. csak amikor foltoznak egy rést, akkor kell küldeni nekik egy másikat. és közben büszkén mondhatják, hogy nincs backdoor a windowsban.

kíváncsi vagyok erre hogy fognak reagálni a különböző kormányok. ez azt jelenti, hogy nemzetbiztonságilag komoly kockázat win-t használni.

obazmeg a nemzetbiztonsagi resznel lekoptem a telefonom rohoges kozben.

abba ne hagyd, en biztosan elolvasom amit irsz.

szoval vissza kene nezned par hirt az elmult ket hetbol, esetleg ennek a bejegyzesnek azon resze felett nem atsiklani, hogy tobb ceg bevett gyakorlatarol van szo sajnos. arra nem is irok mar kulon bejegyzest, hogy miert van a ms a hir szopoagan.

meg vagy ket lepcso, es a hup lesz az it-s blikk. en szaras kozben olvasom a par napos peldanyokat, lelkileg felkeszulve ra, anyosomek viszont jaratjak. esetleg irhatok autos hasonlatot.

--
Vége a dalnak, háború lesz...

ez egy jó példa az egymás idejét és energiát pazarló kommunikációra.

1 sor: ez ilyen kis én blog jellegű dolog. rajtad kívül mást nem érdekel. olyasmi, hogy ettem egy krémest nem volt jó. semmit nem ad a tárgyhoz.
2 sor: szintén fölösleges sor
3 sor: ebben talán van valami a tárgyhoz kapcsolódó. de itt is a személyről írsz alapvetően, abból kell következtetgetni, mit is akarsz mondani, ami jó alap a félreértésekre. ami megint fölösleges körökhöz vezet.
ha egy ilyen szerkezet van: minden x, F(x), akkor ha én valamiről írok, ami F, akkor az maxum kiegészítő, hogy vannak más F dolgok is nem megy szembe az eredeti mondandóval. és ha én erről az esetről akarok írni, az nem jelenti, hogy ne tudnék róla, hogy vannak más esetek is. szerintem csak minimális jó indulat kell, hogy ezt feltételezzük a másikról, ha egyszer benne van az adott cikkben amiről beszélünk.
4 sor: ez megint ez az én blog szerűség. rajtad kívül senkit nem érdekel fölösleges ilyennel spammelni itt mást. ha ezért olvasod OK, te dolgod.

szóval ha jól értem ennek a négy sornak a tartalmi része annyi, hogy vannak más érintett cégek is nem csak az MS. de ez meg le van írva az eredeti cikkben. szóval ezt is lehúzhatjuk.

( ezqgtouvszfgc | 2013. 06. 15., szo – 20:43 )

http://www.h-online.com/security/news/item/Microsoft-doesn-t-close-all-…

http://www.h-online.com/security/news/item/USB-sticks-as-modern-Trojan-…

http://www.h-online.com/security/news/item/Microsoft-s-instructions-for…

http://www.h-online.com/security/news/item/Microsoft-fixes-AutoRun-disa…

http://www.h-online.com/security/news/item/Microsoft-presents-beta-of-t…

http://www.h-online.com/security/news/item/Microsoft-confirms-USB-troja…

Actions speak louder than words

( utpKabel | 2013. 06. 15., szo – 21:14 )

Most már az USA katonai ellenfelei tudni fogják, mit jelent Microsoft szoftvert használni. Meg amúgyis, ki a terrorista?

( heckles04 v | 2013. 06. 15., szo – 22:05 )

Tökjó hogy lassan minden második hír arról fog szólni, hogy az ms és a google hogyan próbál poloskákat telepíteni.
-------------------------------------------------------------------------
Nem, de lehetne.

( csuhi | 2013. 06. 15., szo – 22:18 )

Minőségbiztosítás a Microsoftnál:
-Főnök! Főnök! Találtam egy bugot a Sanyi kódjában, ami távoli kódfutatást és privilégiumemelést tesz lehetővé.
-Nagyon jó, kiváló! Szólj a Sanyinak hogy fagyassza a kódot, a következő patchkedden megy ki mint hibajavítás. Te meg írjad gyorsan az exploitot, hétfő reggelre ott legyen a prism kukac nsa pont gov címen!

--
http://csuhai.hu

( vomberg | 2013. 06. 16., v – 00:40 )

Én azon lepődök meg, hogy van aki ezen lepődik meg...

( tombenko v | 2013. 06. 16., v – 02:06 )

Hajrá, srácok, csak így tovább!
--
Fight / For The Freedom / Fighting With Steel

( airwave | 2013. 06. 16., v – 18:02 )

Ez ugy mukodik, hogy valamit valamiert.

A MS atad bizalmas infokat az usa kormanynak az meg cserebe elnez nekik ezt-azt, nekik mefeleloen alkotjak a torvenyeket (szabadalmak stb), hogy a monopol helyzetuk minel tovabb fentmaradhasson a dekstop rendszerek piacan. Erdekes, hogy az EU-t valamelyest zavarja a MS monopol helyzete, de az usa kormanyat egyaltalan nem...

Mindket fel jol jar, ezt mar nem mondhatjuk el a windows felhasznalokrol. A titkosszolgalat minel tobb infot a MS pedig minel tobb zsetont akar a felhasznaloktol.

( rts | 2013. 06. 17., h – 08:43 )

A PRISM-en csak az átlag állampolgár lepődik meg, paranoid informatikusok eddig is biztosra vették, hogy van ilyesmi.
De ez, amit az MS (és állítólag több ezer más USA szoftvergyártó cég csinál) kvázi szándékos backdoor építés. Szerintem nincs egy súlycsoportban a PRISM-el, attól sokkal sokkal durvább. Mi jön még? Backdoor lehet a vmwareben, oracleben, vagy akár intel hálókártyák firmwareben, hp szerverek ilo-jában, stb. stb. ?
Az is sejthető, hogy ez nem önkéntes tevékenység, hanem -ahogy valaki írta is- kényszerített, adok-kapok alapon működő üzlet.

( horvatha | 2013. 06. 17., h – 08:53 )

Jó, hogy biztosra tudhatjuk, amit sejteni lehetett.

Nem vagyok kernel programozó: amikor az NSA a Linux kernelhez ír kódot (SE-Linux), azt átnézi valaki más is backdoor-okat keresve? Vagy kényelmesen tehetik bele a saját célú "hibákat"? Elvben ellenőrizhető a forráskód, de megteszi valaki?

A poén jó, de van tényleges, szakmai információja valakinek a témáról?

Írt valaki pl. cikket arról, hogy "Én szakmai érdeklődésből átnéztem az NSA által fejlesztett kódokat és ezt foglalom össze egy cikkben"?

Bocs, én csak érdeklődő laikus vagyok, nem tudom, hogy mennek ezek a dolgok a Linux kernelben.

"Én szakmai érdeklődésből átnéztem az NSA által fejlesztett kódokat és ezt foglalom össze egy cikkben"

Az illető

a) véletlenül belefutott 1 éjszakai verekedésbe a hazafelé úton, és véletlenül pont őt szúrták szíven 3-an is vagy
b) már az NSA-nál dolgozik jó pénzért, és hivatalból befogja a pofáját

Ez 10 evig leledzett egy BSD kernelben. 2007-ig a linux kernel is tartalmazta. Az openssl/debil weakness masfel evig volt jelen. A legutobbi agyonhallgatott linux kernelben levo, a kozelmultban lebukott, aktivan kihasznalt local root sechole 3 evig figyelt benn a kodban javitatlanul.

Ugyhogy igen, elofordulhat. Attol, h opensource meg siman el lehet rejteni erdekes dolgokat es az is elofordulhat, h hosszu ideig nem tunik fel senkinek. Mint a fent emlitett ipsec backdoor, annak a patch-nek a 99.99%-a bullshit, egy byte pedig az aktiv kod. Ezert van az, h semmivel sem biztonsagosabb egy kod attol, h nyilt v. zart. (Tessek, lehet flamelni.)

---
pontscho / fresh!mindworkz

( freeoli v | 2013. 06. 17., h – 10:41 )

Várható/tudható volt de legyünk optimisták.

Ha a hatalom meg akar tudni valamit azt meg is fogja, de legtöbb esetben csak a semmit tudja meg vagy a saját rendszere veri át saját magát, pl iraki vegyi fegyverek amit egy angol hírszerző "talált ki" és a háború alapját szolgálta.

XX éve az országunk majdnem 10%-a egy besúgó hálózat része volt, csak azért hogy bugyuta információkat gyűjtsön. Mit evett, mit nem, hova ment, hova nem. De persze igazi államelleneset nem találtak soha csak politikait. Ma ezt megteheti egy automata szoftver és kész, a társadalom 99,999%-ának nincs olyan félnivalója amit keresnek.

Mi a jobb, online átkutatják a géped és békén hagynak, vagy napközben beugrálnak az ablakon és mindent áttúrnak?

( Csab | 2013. 06. 17., h – 14:47 )

Egy kérdés lenne, hogy általában a terroristák hülyék?

Ez azért fontos, mert ha én mondjuk főállásban terrorizálnék, akkor nem Microsoft Windows alól, vagy IPhone-nal dumálnék a haverokkal.

Valamelyik Derrickben volt, hogy a rosszfiúk a berlini falon üzengettek egymásnak, megkerülve a hivatalos kommunikációs vonalakat. Semmi érintkezés nem volt közöttük, mégis szervezetten ment minden. Végül azon buktak le, hogy a falat olvasgatják, de már a 80-es évek végén sem telefonálgatott, akinek esze volt.

Miert? Nagyobb pusztitast nehezen tudnanak csinalni, mintha tomegesen random telefonszamokat hivogatnak, majd olyan uzenetet hagynak, amivel az illetot bemartjak, aztan mosakodjon ki belole, ha tud...

"Autoimmun betegség
Autoimmunitásnak nevezzük azt a jelenséget, amikor az immunrendszer a szervezet saját alkotóelemeit „idegen testnek” érzékeli, és elpusztításukra törekszik."

( ricsip v | 2013. 06. 18., k – 14:29 )

Mióta kiütött ez a cirkusz, azon agyalok hogy vajon van-e értelme a security szakmának ill. hogy valaki security expert-ként dolgozik egy-egy nagyvállalatnál, ha az általa használt eszközök és szoftverek mind (szándékosan!) lyukasak? Tegyük fel h. nincs ismert bug a termékben (nagyvonalú voltam, de tegyük fel). Ha nincs ilyen bug, akkor vajon könnyen nyitható backdoor van az NSA kezében bejutni egy tetszőleges cég informatikai rendszerébe? Ha feltételezzük a Cisco/Juniper/Checkpoint mind a kezükre játszik, akkor az összes router / tűzfal / ASA, PIX stb. eszközük nyitható egyszerűen az NSA oldaláról. Ezeket hogyan kellene elképzelni? Jól definiált TCP/UDP/ICMP kopogtatással a forráskódban le van kezelve és kinyílik egy meghatározott TCP port, hiába tiltaná az admin által bekonfigurált ACL policy? Áttörve a security eszközöket, utána hasonló trükk megismételve az MS eszközökre stb.?

Vagy ilyen 100% hatékonysággal, dedikáltan az NSA számára beépített és egyszerűen nyitható hátsóajtó nincs egyik gyártónak? Ellenben pl. a publikum felé nem dokumentált sérülékenységek lepasszolásával implicit módon segítenek abban h. a titkosszolgálat végülis némi hekker munkával, de hozzáférést szerez a rendszerben. Eközben a gyártó szemrebbenés nélkül mondhatja az elferdített igazságot, hogy márpedig beépített hátsóajtót nem adott az NSA-nak, ugyanakor -és erről azért hallgatott eddig- tippeket igen, amik egész használhatónak bizonyultak?

Minek bohóckodnának oprendszer szinten, mikor egyből a hálókártya vezérlő és a processzor mikrokódjába is tehetnek backdoor-t? Ráadásul manapság már gyakran a prociba van beépítve a wifi eszköz is, így nem is kell bekapcsolni az ethernet kártyát :D Mivel az alaplap mindig áram alatt van, lényegében akkor kapcsolódik be a gép, amikor csak úri kedve tartja. Erről ennyit. :P

Én nem tudom megállapítani egy összecsukott laptopomról (nem látom a ledet) hogy ki van-e kapcsolva, vagy csak suspendel. Ugyanígy a kindlemről sem, de ha jól tudom a microsoft felület is áram alatt van kikapcsolt állapotban. (mármint a ram és a processzor)

Puppy linux felhasználó

Á, nem értesz hozzá. Ezek alapjáraton nem termelnek hőt, mert már olyan csúcsszuper a technológia. Az csak azért van, hogy amikor te rendesen használod, akkor külön álcázó teljesítménytranzisztorokat fűt. Illetve az energialobbi is azt akarja, hogy többet fogyasszon.
(gy.k. troll voltam)

Nem hő lesz belőle, hanem nagy teljesítményű rádióhullám, melyet a legközelebbi műhold simán fogni tud!
Szóval most már nem elég csak a fejünket elegáns/hipszter sztaniol sapkába (miért nincs még ilyen a TF2-ben?) burkolni, hanem minden egyes kütyünket is be kell csomagolni. Főleg használat közben. Egy dupla falú Faraday-kalitkában. 5000 méter mélyen a földfelszín alatt.