PDA

Bekijk Volledige Versie : Hoe schadelijk voor de hele internet industrie zijn de onthullingen over Prism?



Simon Besteman
10/06/13, 10:34
“The success of any Silicon Valley consumer company is based not only on the value their products bring to users but also on the level of trust they can establish,”

http://www.nytimes.com/2013/06/10/technology/data-driven-tech-industry-is-shaken-by-online-privacy-fears.html?hpw&pagewanted=all

Apoc
14/06/13, 19:22
Kijk eens naar bijvoorbeeld http://en.wikipedia.org/wiki/NSAKEY (let even op het stukje over de reversed engineered code met daarin "postmaster@nsa.gov"), hetgeen dateert uit 1999, gecombineerd met uitspraken van Snowden over NSA's mogelijkheden m.b.t. het activeren van bugs (backdoors) in vrijwel ieder willekeurig systeem. Als je je bedenkt hoe lang NSA (en waarschijnlijk vele andere intelligence agencies) met dat soort praktijken bezig zijn, lijkt het mij meer dan aannemelijk dat zij zichzelf toegang kunnen verschaffen tot nagenoeg ieder systeem wat aan het internet verbonden is. Het lijkt me ook niet ontdenkbaar dat de NSA toegang heeft tot de systemen van Certificate Authorities, hetgeen ze in staat zou stellen om SSL verkeer zeer makkelijk te kunnen onderscheppen.

Lang verhaal kort: het lijkt mij aannemelijk dat nagenoeg alle data op alle systemen die aan het internet verbonden zijn, door NSA inzichtelijk is. Voor de meeste ITers zal dit waarschijnlijk ook geen verrassing zijn - het valt binnen de lijn der verwachtingen. Het vermoeden is nu enkel bevestigd.

Voor het grootste deel van de wereld, zal het waarschijnlijk wel een openbaring zijn. Wellicht brengt dit het besef dat we feitelijk in een totalitaire maatschappij leven. En daarnaast zal het waarschijnlijk een stukje bewustwording creëren dat data bijna per definitie niet veilig is (althans, niet volledig privé). Maar of het verder ook impact op de internetindustrie zal hebben? Ik betwijfel het. De enige manier om dat op te lossen, is door het internet niet meer te gebruiken - en dat zie ik niet zo snel gebeuren.

NederHost
14/06/13, 21:57
Het lijkt me ook niet ontdenkbaar dat de NSA toegang heeft tot de systemen van Certificate Authorities, hetgeen ze in staat zou stellen om SSL verkeer zeer makkelijk te kunnen onderscheppen.

Dit is gelukkig niet waar: de CA's krijgen onvoldoende informatie om verkeer onzichtbaar te kunnen ontsleutelen, nml. enkel de publieke sleutel (die sowieso openbaar is). Wat CA's natuurlijk wel kunnen doen is certificaten uitgeven voor 'valse' sleutels, iets wat met bijvoorbeeld DANE in de toekomst te ondervangen is.

Wat de discussievraag betreft: ik denk dat hier juist kansen liggen voor Europese partijen. Leg uit aan je klanten dat je de zaken goed geregeld hebt door het gebruik van de juiste technische middelen en door onder dezelfde (Europese) wetgeving te vallen als je klanten. De keerzijde is dat je hier dan ook rekening mee moet houden bij het selecteren van leveranciers. Denk dan niet alleen aan dataopslag in Amerika of bij Amerikaanse bedrijven maar ook de inkoop van telefonie-, chat- en andere supportdiensten uit Amerika (of andere niet-Europese landen).

Apoc
17/06/13, 10:52
Dit is gelukkig niet waar: de CA's krijgen onvoldoende informatie om verkeer onzichtbaar te kunnen ontsleutelen, nml. enkel de publieke sleutel (die sowieso openbaar is). Wat CA's natuurlijk wel kunnen doen is certificaten uitgeven voor 'valse' sleutels, iets wat met bijvoorbeeld DANE in de toekomst te ondervangen is.

Dat is een goed punt.


Wat de discussievraag betreft: ik denk dat hier juist kansen liggen voor Europese partijen. Leg uit aan je klanten dat je de zaken goed geregeld hebt door het gebruik van de juiste technische middelen en door onder dezelfde (Europese) wetgeving te vallen als je klanten. De keerzijde is dat je hier dan ook rekening mee moet houden bij het selecteren van leveranciers. Denk dan niet alleen aan dataopslag in Amerika of bij Amerikaanse bedrijven maar ook de inkoop van telefonie-, chat- en andere supportdiensten uit Amerika (of andere niet-Europese landen).

Hou er bij de keerzijde rekening mee dat naast de punten die je reeds noemde, ook de meeste operating systems door Amerikaanse bedrijven (Microsoft/Redhat/etc) ontwikkeld worden. Zoals ik reeds omschreef, lijkt het mij aannemelijk dat NSA toegang heeft tot backdoors. Dat is voor een deel reeds bekend, maar er is een grote kans dat dat pas het topje van de ijsberg is. Je zou zelfs kunnen denken aan zaken als backdoors op Out-of-Band (IPMI/DRAC/iLO/etc) interfaces en wellicht zelfs op netwerk interfaces en routers (Snowden noemde al iets over dat laatste). Misschien ook niet - dat is natuurlijk volledige speculatie en wellicht lichtelijk paranoïde, maar in theorie kan het. Als dat soort zaken naar buiten zouden komen, dan betekent dat feitelijk dat je met iedere vorm van Amerikaanse software/apparatuur niet buiten de controle van NSA valt, of het nu in de VS draait of niet.

Rik
17/06/13, 12:43
Een vaak gehoorde kreet binnen inlichtingendiensten is: 'lang leven Windows'.
Er zijn 'meerdere mogelijkheden' voor dit soort diensten om heimelijk te acteren op Windowssystemen.

systemdeveloper
17/06/13, 12:47
Betekent dit nu dat het gezeur over die tracking cookies eindelijk stopt? :)

Apoc
17/06/13, 13:10
Betekent dit nu dat het gezeur over die tracking cookies eindelijk stopt? :)

Pas zodra NSA toegeeft dat de data doorverkocht wordt ;)

Patrick_st
18/06/13, 09:26
Toen een klant mij een tijd geleden vroeg wat ik van de Kaspersky virusscanner vond, zei ik: goede scanner maar kun je er mee leven dat al je data toegankelijk is voor de KGB?
Ik bedoelde het niet eens heel serieus maar blijkbaar moeten we daar eens serieus intern over gaan praten.

Rik
18/06/13, 12:34
Toen een klant mij een tijd geleden vroeg wat ik van de Kaspersky virusscanner vond, zei ik: goede scanner maar kun je er mee leven dat al je data toegankelijk is voor de KGB?
Ik bedoelde het niet eens heel serieus maar blijkbaar moeten we daar eens serieus intern over gaan praten.

Dat soort zaken, hoe 'hard' het soms ook overkomt, zou ik zeker serieus nemen.
Van groot belang wat je wilt delen en met wie. Natuurlijk ook beetje afhankelijk van de gevoeligheid van je data.

Apoc
18/06/13, 17:32
Dat soort zaken, hoe 'hard' het soms ook overkomt, zou ik zeker serieus nemen.
Van groot belang wat je wilt delen en met wie. Natuurlijk ook beetje afhankelijk van de gevoeligheid van je data.

Tja, anderzijds kun je je ook afvragen hoeveel problemen het heeft opgeleverd voordat je je hiervan bewust was.

Ik maak me persoonlijk in ieder geval weinig druk over het idee dat inlichtingendiensten waarschijnlijk tot nagenoeg alles toegang kunnen krijgen (al sluit je 1 optie uit, dan zijn er waarschijnlijk nog tal van alternatieven die je praktisch gezien niet allemaal kunt uitsluiten). Tenzij je een dissident bent natuurlijk, dan ligt dat anders.

Het gaat mij meer om het grotere plaatje - ik ben absoluut geen voorstander van totalitarisme.

Mikey
18/06/13, 18:45
wat mij verbaasd, met enige regelmaat vind land X een spion van land Y . Waarom is er op dit moment nog geen enkel land dat roept dat Amerika een hele grote spion uitgezet heeft....

Apoc
18/06/13, 22:49
wat mij verbaasd, met enige regelmaat vind land X een spion van land Y . Waarom is er op dit moment nog geen enkel land dat roept dat Amerika een hele grote spion uitgezet heeft....

Dat is niet helemaal waar:

http://www.guardian.co.uk/world/2013/jun/11/europe-us-privacy

Maar, erg veel hoor je er niet over. Het is hoogstwaarschijnlijk een grote poppenshow, politiek roept een paar keer iets om het te doen voorkomen alsof er iets is veranderd, en vervolgens gaat alles op de achtergrond net zo hard door. Ik zie het niet gebeuren dat er daadwerkelijk iets verandert, men zal hooguit laten lijken alsof er iets is veranderd. De belangen in deze kwestie zijn dermate groot, dat men hier echt niet zomaar mee zal stoppen.

Domenico
19/06/13, 01:07
Interessant stuk.
https://www.linkedin.com/today/post/article/20130609225334-16549-did-obama-just-destroy-the-u-s-internet-industry

Mikey
19/06/13, 10:53
Apoc, ik praat bewust niet over het privacy aspect, maar over (land|bedrijf)spionage op grote schaal.

The-BosS
19/06/13, 14:02
Apoc, ik praat bewust niet over het privacy aspect, maar over (land|bedrijf)spionage op grote schaal.

Ik weet dat er niet al te lang geleden een discussie in het EU parlement was om chinese bedrijven als huawei bij overheden en grote telco's te verbieden omdat ze bang waren van spionage vanuit china. Maar dan vraag ik me inderdaad ook af of ze dit ook doen voor cisco, juniper, brocade, ... want daar heeft de NSA dan weer een vinger in de pap te brokken. Zo was er een tijd geleden in de USA zelf nog een schandaal met cisco, waar cisco op grote schaal autoupdates van firmware kon doorvoeren op soho routers/switches zonder de mogelijkheid van de gebruiker om dit uit te zetten (zelf niet met gekochte devices). En zo doende kon er dus firmware geupdate worden met aangepaste versies voor overheidsgebruik, wel allemaal onder het mom van gebruikersgemak en stabiliteit van hun devices. Maar dan vraag ik me dus af in hoeverre ze dit dan ook kunnen voor enterprise routers/switches/firewalls/...

En om de mensen die OVH gebruiken nog even paranoide te maken, het grootste deel van hun backbone is op gebouwd uit huawei devices.