Huawei P30 Pro: spionage?

[Hypochonder]

Citaat:

Oorspronkelijk geplaatst door Dadeemelee

Trouwens heel hypocriet van Trump. Alle Microsoft prullen zitten vol NSA achterpoortjes.

Vraag is natuurlijk ook door wie je liefst of minst graag wordt bespioneerd.

[Dadeemelee]

Citaat:

Oorspronkelijk geplaatst door Hypochonder

Vraag is natuurlijk ook door wie je liefst of minst graag wordt bespioneerd.

Ik heb geen voorkeur, noch voor het een of het ander.

[patrickve]

Citaat:

Oorspronkelijk geplaatst door Dadeemelee

Ik weet het niet. Er zijn al diverse eigenlijk onverklaarbare glitches in MS Win opgedoken. En nu die ‘programmeerfout’ in de Intel processoren. Dat is toch eigenlijk onverklaarbaar.

Nee, dat is perfect te verklaren. Alle complexe systemen bevatten fouten. Informatie systemen hacken is al het geval sinds ze bestaan en in openbare netwerken draaien. Er waren eigenlijk twee traditionele geinteresseerden in hacken: jongere geeks, en staatsspionage diensten zoals de NSA. Toen de financiele wereld meer en meer computers ging gebruiken, was er ook interesse bij cyberdieven om bankdinges te kraken. Er was maar weinig interesse voor anderen om dat te doen, omdat computers, tot de jaren 90 of zo, niet veel interessante informatie bevatten behalve voor die domeinen. Maar reeds in die tijd waren er geweldig veel "vulnerabilities".

Het enige dat veranderd is, is dat er veel en veel meer acteurs langs de DEFENSIEVE kant op de markt zijn gekomen, omdat er ook veel en veel meer interesse is langs de aanvalskant. Doodgewoon omdat er veel en veel meer confidentiele dinges gebeuren met computers. Daardoor worden er veel meer vulnerabiliteiten ontdekt en gecorrigeerd, maar dat wil niet zeggen dat er vroeger geen waren. In tegendeel zelfs.

In tegenstelling tot wat algemeen gedacht wordt, is de essentie van inbreken NIET het "inbouwen van achterpoortjes" in grote-publiek dingen door obscure diensten zoals de NSA. Ze hebben dat wel enkele keren geprobeerd, maar dat is niet wat ze doen. Wat zij doen, en waar zij, tot een decennium geleden of zo, grootmeesters in waren, was gewoon het VINDEN VAN VULNERABILITEITEN. Zij hadden een enorm leger van heel goeie informatici die zich de ganse dag bezighielden met het vinden van exploits. En ze hadden daar tonnen en tonnen van, niet omdat ze die lieten inbouwen, omdat die ALTIJD aanwezig zijn.

Installeer zoiets als Kali linux, en je hebt al een ganse batterij van exploits ter uwer beschikking waarmee ge andere machines kunt aanvallen. Veruit de meeste zijn uiteraard "gedicht" bij een recente installatie, maar computers die enkele jaren geen updates gehad hebben, daar geraakt ge zo binnen met een goeie kali linux. Welnu, denk U de NSA in als zo een systeem, maar op steroids.

Echter, sinds een decennium of zo is het zoeken naar vulnerabiliteiten allang hun monopolie niet meer, en zijn er veel prive firma's (waaronder Google) die dat eigenlijk beter doen dan de NSA. Vandaar dat er zo enorm veel vulnerabiliteiten worden ontdekt. Omdat, in tegenstelling tot de NSA, die dat voor zich hield om te kunnen gebruiken, die firma's hierdoor hun blazoen oppoetsen, en inderdaad hun klanten beschermen. Want het is tegenwoordig HEEL NADELIG voor een firma om een cyber aanval te ondergaan. Ge krijgt er een slechte reputatie door. En er zijn veel prive kapers op de kust ook.

Maw, de strijd in het vinden van vulnerabilities, om ze oftewel te misbruiken, oftewel om ze te publiceren en te corrigeren, is nu grotendeels uit de handen van de NSA. Het zijn prive firma's zoals Google en Kaspersky, en ook veel universitairen, die aan de "goeie" kant heel veel fouten publiceren, en er zijn obscure (vaak Russische) organisaties die ze zoeken om aanvallen mee uit te voeren.

Daarvoor moeten geen firma's omgekocht worden om achterdeuren te installeren: er zijn natuurlijke vulnerabiliteiten genoeg.

Die processor bugs zijn gewoon het gevolg van de competitie in de markt die intel moet leveren, om steeds performanter processors op de markt te brengen. Bijna alle recente CPU vulnerabilities zijn verbonden met het speculatieve uitvoeren van code. Dat is een manier om trachten te raden wat de volgende instructies zullen zijn.

Welnu, dat levert U een enorme winst op in performantie, maar het is essentieel op veiligheidsvlak onbeheerbaar.

[Erw]

Zijn "fouten" door dommigheid of moedwil?
Wat is het verschil tussen een moedwillige kwetsbaarheid en een achterpoortje?
Is er een NSA nodig als andere organisaties bereid zijn of geforceerd kunnen worden, tot rapportering van gegevens?
Dan, dat "raden", wat moet ik me daarbij voorstellen? Het kan me dunkt niet fameus zijn, aangezien de processor er tijd/resources zou moeten insteken, wat net in contrast staat met het doel. In dat geval moet dat "raden" simpel zijn, zo simpel dat het de term "raden" niet verdient. De volgende uit te voeren instructie wordt bepaald door de eerdere instructies en kan enkel afwijken door instructies die het adres van de volgende uit te voeren instructie wijzigen, zoals sprongen. Het enige dat een processor dan op voorhand (ie voor de huidige code is afgewerkt) kan doen is de instructies op aanwezige sprongadressen op voorhand in een verwerkingseenheid halen en uitvoeren voor zover dat kan zonder dat er weer voorwaardelijke sprongen zijn. En als dan de eerste instructies (begin van het verhaal) uitgevoerd zijn, direct springen naar het verst bereikte punt vanaf de 'juist blijkende", en de fout blijkende te dumpen. Ik vind dat geen speculatie en zelfs geen gokken.