CMD-Snake schreef op zondag 01 juni 2014 @ 13:21:
[...]
Maar stel dat jij je code laat controleren door beveiligingsbedrijven, dan kan de gebruiker van jouw programma toch enigszins op vertrouwen dat deze bedrijven hun werk juist doen.
Microsoft laat zijn code controleren door beveiligingsbedrijven als bijvoorbeeld FireEye die de laatste kwetsbaarheid in IE gevonden hadden. Er zit weliswaar een NDA op, maar toch worden de gevonden lekken uiteindelijk bekend gemaakt.
Dan zijn er nog twee dingetjes aan de hand. Ten eerste, hoe weet dat beveiligingsbedrijf dat de code waar ze naar kijken dezelfde code is die de compiler ingaat?
Ten tweede, duizenden ogen kunnen meer (of andere) dingen zien dan een paar. Ik geef onmiddelijk toe dat ook bij publieke broncode het wel eens een probleem is dat er niet genoeg mensen naar kijken. Maar er
kan dan iig door iedereen naar gekeken worden, zowel door beveiligingsbedrijven, hobbyïsten, activisten, criminelen, hackers, het hele spectrum. En het is makkelijker controleerbaar of een binary inderdaad is gecompileerd aan de hand van de bekende broncode.
[...]
Ik denk zelf niet dat er een backdoor in zit. Waarom? Als het uitkomt dan is Microsoft zo goed als failliet op dat moment. Niemand neemt een product af waarvan bekend is dat het een lek heeft.
Dat denk je. In de realiteit maakt het geen moer uit. Ten eerste staat er bij een backdoor niet /* backdoor for NSA */ in de broncode. Men kan het dus gewoon op een ongelukkig lek gooien. Zie heartbleed, was dat een backdoor of gewoon een bug? Valt niet te zeggen.
Ten tweede, zelfs al zit er een backdoor in en kan er bewezen worden dat het een backdoor is, maakt geen moer uit. Mensen stoppen niet plotseling met het gebruik van Windows. Daar is de vendor-lockin voor.
En uiteindelijk komen mensen ook weer met het "ik heb niets te verbergen" argument en gaan door met de lekke software te gebruiken - gewoon omdat dat makkelijker is dan omschakelen.
Dagelijks buigen vele mensen zich over dit soort producten om lekken te vinden. Niet enkel beveiligingsonderzoekers, maar ook criminelen die het willen misbruiken voor hun eigen doeleinden. Geen ander bedrijf ligt denk ik zo onder vuur als Microsoft wegens hun grote marktaandeel. Je zou dan kunnen denken dat met zoveel aandacht er toch wel een keer iets gevonden moet worden...
Met behoorlijke regelmaat komen er ook lekken boven. Maar of dat dan een backdoor of een bug is valt normaliter niet te zeggen. Denk bijvoorbeeld aan een smerige bug als degene die
Blaster exploiteeerde. Bug of backdoor? Zullen we nooit weten. Het enige verschil tussen een bug en een backdoor is dat de backdoor met opzet erin zit.