Samenvatting: Ingenieurs van een populaire linux-distro FreeBSD zeggen hun vertrouwen op in bepaalde CPU's. De directe aanleiding hiervoor is documenten vrijgegeven door de ontvluchte IT-medewerker Edward Snowden.quote:‘We cannot trust them anymore’: Engineers abandon encryption chips after Snowden leaks
The developers of the FreeBSD operating system say they no longer trust computer processor chips manufactured by two of the top tech companies — and cite National Security Agency secrets spilled by former contractor Edward Snowden as the reason why.
Journalist Richard Chirgwin of the UK IT website The Register reported on Monday this week that the developers of the free, Unix-like OS have abandoned faith in two random number generators — Intel’s “RDRAND” and Taiwanese company Via Technology's “Padlock”— after leaked NSA documents attributed to Mr. Snowden have suggested that the United States government and their allies at foreign intelligence agencies have compromised the security of major cryptographic tools.
Chirgwin was the first reporter to catch wind of the news that FreeBSD decided during a developer summit in Malta this past September to relinquish trust in those companies’ random number generators, or RNGs, and meeting minutes obtained by Dan Goodin of the website Ars Technica confirms that programmers became suspicious after leaked documents within the trove pilfered by Snowden accused the NSA of breaking widely-used encryption protocols.
FreeBSD has until now relied on a “random generator framework” within the OS, according to the notes spotted by Chirgwin, containing three RNGs: RDRAND, Padlock and another named Yarrow, designed in 1999 by security wiz Bruce Schneier, among others. Individually and in tandem, these generators rely on digital entropy to randomize a computer’s output, thus masking operations through multiple layers of encryption that were once thought largely impossible to crack. Recently leaked NSA documents, however, have suggested otherwise.
The OS is on the verge of releasing their latest version, FreeBSD 10, but any users that upgrade to that edition won’t be able to rely solely on Intel or Via’s RNGs anymore.
“For 10, we are going to backtrack and remove RDRAND and Padlock backends and feed them into Yarrow instead,” reads an excerpt from FreeBSD’s summit “special status report.”
The developers go on to acknowledge that it will still be possible for end users of FreeBSD to access hardware RNGs — namely RDRAND and Padlock — but the programmers behind the OS say, “we cannot trust them anymore.”
http://rt.com/usa/snowden-leak-rng-randomness-019/
[ Bericht 1% gewijzigd door De_uitblinker op 10-12-2013 23:21:25 ]
En dan het kopje "backdoors"
Er staat in het artikel juist dat ze in Intel het vertrouwen hebben opgezegd.quote:Op dinsdag 10 december 2013 23:21 schreef gelly het volgende:
Dat is wel een heel beroerde samenvatting. Ze zeggen het vertrouwen in Intel en VIA niet op, ze voeren de output van de RNG's niet direct naar /dev/random maar gooien er nog een extra algoritme overheen. Voor de zekerheid.
Waar maak jij dat op uit?
Uit fatsoenlijke bronnen.quote:
[..]
Er staat in het artikel juist dat ze in Intel het vertrouwen hebben opgezegd.
Waar maak jij dat op uit?
Noem eens die bronnen, wij beoordelen of het fatsoenlijk zijn.quote:
Nee alleen in de RDRAND instructie van de chipsquote:
[..]
Er staat in het artikel juist dat ze in Intel het vertrouwen hebben opgezegd.
http://tweakers.net/nieuw(...)n-onbetrouwbaar.htmlquote:
[..]
Noem eens die bronnen, wij beoordelen of het fatsoenlijk zijn.
Maar hoe kun je een bedrijf vertrouwen als je bepaalde acties/onderdelen van hen niet vertrouwt? Ik bedoel, zijn ze niet bang dat Intel dan op andere manieren die encryptie-technologie alsnog probeert te implementeren? Achter hun rug om?quote:Op dinsdag 10 december 2013 23:25 schreef mstx het volgende:
[..]
Nee alleen in de RDRAND instructie van de chips
Zij ontwikkelen die chip, wij gebruiken maar.
Komt op hetzelfde neer in de grote lijnen. Kunnen ze net zo goed op zoek naar de ontwikkeling van een eigen chip.quote:
[..]
http://tweakers.net/nieuw(...)n-onbetrouwbaar.html
Zulke backdoors zullen denk ik ook wel zitten in de spionagesoftware die Nederland van Israel gaat kopen.quote:
Duidelijkere samenvatting: http://en.wikipedia.org/wiki/Random_number_generator
En dan het kopje "backdoors"
Dat is een algemeen bekend Nederlands woord ja.quote:
gecomprimiteerd... is dat een nederlands woord of een google translation...
quote:
[..]
Dat is een algemeen bekend Nederlands woord ja.
(o.a.)
Heb je het over het Cisco wachtwoord? of over de 9/11 verplichting om altijd root/enable toegang te geven aan usa?quote:
Het is wachten op backdoors in Cisco routers, is daar al wat over geroepen?
Het laatste is alleen in usa verplicht echter elke telco die niet in the usa zit maar slechts een pop routertje daar heeft staan moet dus op die ene poprouter wel toegang geven en daarmee hun hele netwerk blootleggen voor usa's nieuwsgierigheid.
* En bijna elke telecomboer heeft wel een grensrouter staan in the usa..... of anders wel de peers via welke hun klanten verbinding met de usa hebben.
Ik heb het eerder over "hidden" features, bijvoorbeeld om verkeer tijdelijk te redirecten zonder dat dit opvalt.quote:Op woensdag 11 december 2013 10:47 schreef koffiemetmelkensuiker het volgende:
[..]
Heb je het over het Cisco wachtwoord? of over de 9/11 verplichting om altijd root/enable toegang te geven aan usa?
Het laatste is alleen in usa verplicht echter elke telco die niet in the usa zit maar slechts een pop routertje daar heeft staan moet dus op die ene poprouter wel toegang geven en daarmee hun hele netwerk blootleggen voor usa's nieuwsgierigheid.
* En bijna elke telecomboer heeft wel een grensrouter staan in the usa..... of anders wel de peers via welke hun klanten verbinding met de usa hebben.
BSD is geen linux...quote:
[..]
Samenvatting: Ingenieurs van een populaire linux-distro FreeBSD zeggen hun vertrouwen op in bepaalde CPU's. De directe aanleiding hiervoor is documenten vrijgegeven door de ontvluchte IT-medewerker Edward Snowden.
snmp sturen met mirroring of bedoel je dat niet?quote:
[..]
Ik heb het eerder over "hidden" features, bijvoorbeeld om verkeer tijdelijk te redirecten zonder dat dit opvalt.
Op een noc moet je dat toch wel zien met alle monioring tool die er beschikbaar zijn?
Of bedoel je blind voor de eindgebruikers?
Nee, dat is niet mogelijk.quote:
[..]
Ik heb het eerder over "hidden" features, bijvoorbeeld om verkeer tijdelijk te redirecten zonder dat dit opvalt.
Waarom zou dit niet mogelijk zijn? er valt vast wel een script te bouwen waarmee je snmp kan faken en dus in de mrtg grafieken niets ziet.quote:
Omdat je gewoon op level 2 kan zien wat met wie communiceert en je op level 3 alle pakketjes kan ontleden inclusief routering. Dan zou een backdoor snel genoeg opvallen denk je niet ?quote:Op woensdag 11 december 2013 11:24 schreef koffiemetmelkensuiker het volgende:
[..]
Waarom zou dit niet mogelijk zijn? er valt vast wel een script te bouwen waarmee je snmp kan faken en dus in de mrtg grafieken niets ziet.
Als je toegang hebt tot de access router hebt wel de eindgebruiker ziet het niet dit kan ook zo gaan met lawful interception gewoon het verkeer mirroren en naar gewenste interface sturen.quote:
[..]
Omdat je gewoon op level 2 kan zien wat met wie communiceert en je op level 3 alle pakketjes kan ontleden inclusief routering. Dan zou een backdoor snel genoeg opvallen denk je niet ?
De eindgebruiker ziet ook bij inspectie van packets niet dat er gemirrord is.
De isp medewerker kan het zien maar de eindgebruiker niet dat is wat ik bedoel.quote:
Wat een vaag verhaal kerel. Je kunt gewoon weet ik welk niet-Cisco apparaat eraan hangen om te zien wat voor verkeer er gegenereerd wordt. En om dan tot de conclusie te komen dat er geen backdoor in zit.
Een eindgebruiker heeft geen toegang tot de access router en kan dus niet zien dat er een mirror van gemaakt is.
Als de NSA wil afluisteren dan tappen ze wel een backbone af. Iets makkelijker.quote:
[..]
De isp medewerker kan het zien maar de eindgebruiker niet dat is wat ik bedoel.
Een eindgebruiker heeft geen toegang tot de access router en kan dus niet zien dat er een mirror van gemaakt is.
Ja dat is makkelijker maar dan mis je een gedeelte van het verkeer.quote:
[..]
Als de NSA wil afluisteren dan tappen ze wel een backbone af. Iets makkelijker.
Afhankelijk van hoe de dslam geconfigureerd is wordt verkeer tussen twee klanten die op dezelfde dslam zitten geeneens via de acces router geleid mis je dat verkeer.
Ook als het nationaal verkeer is pak je het niet mee of je moet distributierouters rekenen tot de back bone (je kan ook alleen core routers rekenen tot de backbone ).
Mijn netwerkkennis gaat daarin niet ver genoeg, maar zou het mogelijk zijn gebruikers naar een andere server te routen?quote:
[..]
snmp sturen met mirroring of bedoel je dat niet?
Op een noc moet je dat toch wel zien met alle monioring tool die er beschikbaar zijn?
Of bedoel je blind voor de eindgebruikers?
Het genereren van valse log meldingen is altijd mogelijk, hebben ze ook met Stuxnet gedaan, daar werd de instructie gegeven om het toerental te verhogen zonder dat het log dit door gaf.quote:
Wat een vaag verhaal kerel. Je kunt gewoon weet ik welk niet-Cisco apparaat eraan hangen om te zien wat voor verkeer er gegenereerd wordt. En om dan tot de conclusie te komen dat er geen backdoor in zit.
Ik denk niet dat de NSA het log van mijn open source packet sniffer kan vervalsen.quote:
[..]
Het genereren van valse log meldingen is altijd mogelijk, hebben ze ook met Stuxnet gedaan, daar werd de instructie gegeven om het toerental te verhogen zonder dat het log dit door gaf.
Het gaat anders met een mirror bedoelen we het kopieren van de informatie.quote:
[..]
Mijn netwerkkennis gaat daarin niet ver genoeg, maar zou het mogelijk zijn gebruikers naar een andere server te routen?
De gekopieerde data wordt vervolgens naar de klpd/nsa/ gestuurd.
De orginele informatie gaat gewoon door zodat de eindgebruiker er niets van merkt.
Zelfs niet als deze aan packet inspectie doet en b.v. traces doet en wireshark gebruikt om in en uitgaande verbindengen na te kijken.
Ik doelde meer op de logging van de Cisco hardware.quote:
[..]
Ik denk niet dat de NSA het log van mijn open source packet sniffer kan vervalsen.
Mjah ik doelde er meer op dat je bijvoorbeeld verkeer vanuit een router naar bijvoorbeeld gmail redirect naar een gecontroleerd domein (inclusief vervalst SSL certificaat).quote:
[..]
Het gaat anders met een mirror bedoelen we het kopieren van de informatie.
De gekopieerde data wordt vervolgens naar de klpd/nsa/ gestuurd.
De orginele informatie gaat gewoon door zodat de eindgebruiker er niets van merkt.
Zelfs niet als deze aan packet inspectie doet en b.v. traces doet en wireshark gebruikt om in en uitgaande verbindengen na te kijken.
Die loggen over het algemeen geen netwerkverkeer, daar worden ze te traag van.quote:
[..]
Ik doelde meer op de logging van de Cisco hardware.
Ja dat kan maar het probleem is dan dat de gebruiker dat snel door heeft.quote:
[..]
Mjah ik doelde er meer op dat je bijvoorbeeld verkeer vanuit een router naar bijvoorbeeld gmail redirect naar een gecontroleerd domein (inclusief vervalst SSL certificaat).
Waarom zou die dat door hebben?quote:Op woensdag 11 december 2013 16:20 schreef koffiemetmelkensuiker het volgende:
[..]
Ja dat kan maar het probleem is dan dat de gebruiker dat snel door heeft.
Je verwacht toch iets terug als je iets verzend?quote:
[..]
Waarom zou die dat door hebben?
Of bedoel je dat je de informatie daarna weer doorstuurd naar het oorspongkelijke doel?
Dan heeft alleen de n3rd klant het door omdat deze ziet aan zijn traces dat de route anders loopt dan normaal.
Nou je zou bijvoorbeeld op die manier iemands google account kunnen onderscheppen, dus op het gefakede domein vang je zijn login/password af, om hem vervolgens door te sturen naar het legitieme domein, niet eenvoudig maar op zich wel te doen, volgens mij heeft Iran het bijvoorbeeld gedaan met een vals gmail certificaat van Diginotar.quote:
[..]
Je verwacht toch iets terug als je iets verzend?
Of bedoel je dat je de informatie daarna weer doorstuurd naar het oorspongkelijke doel?
Dan heeft alleen de n3rd klant het door omdat deze ziet aan zijn traces dat de route anders loopt dan normaal.