Hacker-grupper vil offentliggøre kildekoden til to af Symantecs store sikkerheds-programmer.

Det smarte trick her ville være at offentliggøre kildekoden selv, men de er sku nok lidt for konservative til at kunne se fordelen i det :-/

De 2 programmer der er stjålet kilde kode til er håbløst forældet, det ene er endda udgået.. Hvis folk ikke har opdateret fra dem, er det sgu helt ærligt deres egen skyld!

Det "sjove" i denne historie syntes jeg er at det er et af de største "sikkerheds selskaber" i verden og at netop DE får stjålet deres kildekode, ved ikke hvor sikker jeg ville føle mig med deres software :)

det er ikke norton der er blevet hacket, det er den indiske efterretningstjeneste. og de havde kildekoden til at ligge

hmmm, er det ikke det samme :) letsindig omgang med sin kildekode af et sikkerhedsfirma *lol*

Selv om koden er forældet, kan der stadig godt være en hvis information som er super effektiv, f.eks. hvad server de opdatere softwares fra osv. Det er super farligt i forhold til malware eller trojan/vira at få det på folks computere uden de bemærker det, for jo mindre de bemærker, jo farligere er det.

(Jeg har selv rodet med hacking, da jeg ikke vil cracke.)

Det er ikke Symantec selv som er "kommet til" at lække kildekoden.
Jeg har selv været i den "tungere" del af sikkerhedsbranchen for en del år tilbage - og problemet ligger i at man i mange lande ikke vil godtage salg af sikkerhedsprodukter, herunder scanningsværktøjer, krypteringssoftware m.m. hvis ikke det pågældende lands sikkerhedsmyndighed (i dette tilfælde efterretningstjenesten) kan få en detaljeret dokumentation af funktionalitet og kildekode. Der er sågar enkelte som kræver en decideret backdoor-mulighed.

Så det er Inderne som har haft en alvorlig brist ved at have kildekoden liggende således at den kunne lægges. Jeg er ret sikker på at de så også har tilsidesat de meget hårde NDA-regler som Symantec utvivlsomt har lagt på bordet sammen med kildekoden.

Men ja, det er noget skidt at kildekoden er ude i omløb. Men omvendt, som andre også skriver, så er det forældede produkter som kun de færreste stadig har kørende i dag - og så er det også en ret lav sikkerhedstrussel dette udgør i forhold til hvad der ellers er af kendte sårbarheder i produkterne.

/Jesper

@Jesper Nordbøll

Hvordan fungerer det praktisk omkring det med sikkerhedstjenester osv? Har godt hørt om det før, men jeg tænker bare at der intet er i dansk lov omkring at skulle udlevere kildekode til f.eks. PET. Så længe mit sikkerhedsprogram ikke bryder nogle love kan de vel ikke kræve dokumentation eller andet udleveret?

Gallem eller ny kode, den bør ikke ligge andre steder end på deres egen forhåbentlig sikrede servere, hvad gør den kode ved efterretnings tjenesten hos Inderne, der har den intet at gøre efter min mening :)

Danmark er ikke lovgivet så hårdt på sikkerhedsprodukter som mange andre lande er. Men til gengæld kan der være noget omkring EU som tilsidesætter eller ophøjer medlemslandets egen lovgivning.

Men det kommer også an på hvad vi snakker om af sikkerhedsprogram. Der er milevid forskel på om vi snakker om screening af emails (f.eks. anti-spam) eller om vi er over i sådan noget som "intelligente" logning og inspection/inception (IDS/IPS) systemer samt kryptering.

@Jesper

Ved du hvad strafferammen er for at bryde de "måske"-love der ligger. Kan man komme i fængsel for at sælge et sikkerhedsprogram uden at efterkomme PETs ønsker? Jeg tænker at selvom der er nogle EU love kan man vel ikke blive straffet i DK uden det er implementeret i Danmark.

Det kan jeg ikke svare dig på. Men hvis PET beder om at få udleveret noget i forbindelse med et produkt eller en løsning man er ved at sælge eller udvikle, så er det helt sikkert at man lige skal have en kyndig advokat med på sidesporet. For det kan godt være at PET ikke har ret til at få det i det pågældende tilfælde, men det kan også være at de netop har - og dér skal man ikke være i tvivl.

/Jesper

@Jesper

Jeg må indrømme at jeg ikke tror PET har nogle retslige beføjelser her i Danmark til at få udleveret forretningshemligheder, der ikke bryder nogle danske love. De prøver helt sikkert at skræmme firmaer til at gøre det, men jeg tror ikke der findes noget i straffeloven (eller andre danske love) der siger man skal.

Jeg tror heller ikke på at du vil ende i en situation hvor de vil bede om noget.
Jeg har ikke selv prøvet det og jeg har i meget få tilfælde hørt om sådan en situation og det har ikke været på det niveau hvor de decideret har skulle have kildekode eller lignende. Der har det mere drejet sig om en sikkerhedsgodkendelse på et eller andet niveau. Men igen, vi har heller ikke så hårde regler omkring disse ting som hvis du f.eks. bare tager til USA eller Nordkorea (for at tage et helt ekstremt eksempel) :-).