FSF: a proprietary biztonsági szoftver egy oximoron

Címkék

"Kedves Microsoft: az fsf.org nem szerencsejáték oldal"

A fenti címmel olvasható a Free Software Foundation blogjában egy bejegyzés, amelyben John Sullivan arról ír, hogy ha a Microsoft "reputation" adatbázisa nem tud különbséget tenni egy szerencsejáték weboldal és egy majdnem 30 évvel ezelőtt alapított, függetlenül auditált, bejegyzett, non-profit, közhasznú stb. alapítvány weboldala közt, akkor az több kárt okoz, mint amennyi hasznot hoz a terméket használó ügyfelek számára.

A napokban történt, hogy miután RMS laptopját ellopták, valaki adakozni kívánt az FSF javára a donate.fsf.org oldalon keresztül. A donate.fsf.org az FSF elsődleges online támogatási oldala. Munkahelyén rákattintott az oldal linkjére, de nem járt szerencsével. A vállalat a Microsoft Threat Management Gateway terméket használja a webes tartalom szűrésére. A termék az FSF oldalát "szerencsejáték" oldalként (is) kategorizálta, így a potenciális támogató nem érte el az FSF oldalát. Az esetre felhívták az FSF figyelmét.

HUP @ Microsoft Reputation Services
HUP @ Microsoft Reputation Services

FSF @ Microsoft Reputation Services
donate.fsf.org @ Microsoft Reputation Services

Sullivan beküldött a Microsoft-hoz egy javítási kérést, arra kérve a redmondi céget, hogy távolítsa el a weboldalát a szerencsejáték kategóriából. Az FSF arra számít, hogy a Microsoft javítja a kifogásolt problémát, mindazonáltal az alapítvány azt javasolja mindenki számára, hogy kerülje a Microsoft-tól származó proprietary biztonsági termékek használatát.

Az alapítvány szerint a proprietary biztonsági szoftver egy oximoron -- ha a felhasználónak nincs teljes ellenőrzése a szoftver felett, akkor a felhasználó nincs biztonságban.

A blogbejegyzés itt olvasható.

Hozzászólások

Gusztustalan propaganda, fujj.
De csodálom, hogy nem robbant szét a fejük a gondolatmenettől: egy zárt szoftver fals pozitívat adott ergo minden zárt szoftver szar.

Remélem, hogy ez Sullivan magánvéleménye, és csak ilyen Stallman féle elmebetegek értenek vele egyet ott, mert ez erős.
----
India delenda est.

Most jól eldöntöm helyetted, mint 3rd party, hogy a ráfázol bankra sok panasz érkezett, TEHÁT nigerian scam oldal, te meg nem férsz hozzá a netbankodhoz. Mit tennél? A bankot hibáztatnád vagy a 3rd partyt? Esetleg magadat, hogy olyan szolgáltatást veszel igénybe, ahol nem tudod felülbírálni a fals döntéseket?

Jobb helyeken az admin külön állítgathatja, hogypl: service center nem youtube-ozhat és facebookozhat, operátorok nem netezhetnek, kivéve céges weboldal.
Olyan ez mint ahogy a vírusirtókban user defined-be megadod a p2p klienseket. Vagy legalábbis kéne lennie. Az, hogy a Microsoft nem ad erre lehetőséget, még nem ez a normális.

Stallman nem elmebeteg, csak megvan a maga küldetése, persze elismerem elég authentikus alak. De nem kell olyannak lennie mindenkinek. Nézz utána hogy mit tett le az asztalra, aztán utána beszélj róla. (vehetjük az FSF által kiadott licenszeket, de ha már programozunk, keresd ki hogy hány és mennyi kódot írt (igen)).

--
http://neurogadget.com/

Nem értem. Ha én elmebeteg vagyok, és építek otthon egy atombombát, akkor én mégsem vagyok elmebeteg, mert mégiscsak építettem egy atombombát? Mi ez a tekintélyelvűség? Linus is megírta a gitet (részben), ami egy kiváló szoftver, mégis azt mondom, hogy egy barom (fontos, ő nem elmebeteg, csak egy barom).

Nyílván nem az átlag ember fog átlagfelettit produkálni, hanem a valamilyen irányba eltérőek, és ez a deviancia Stallmannál egy kicsit súlyosabb, mint a többieknél.
----
India delenda est.

ne felejtsük el, hogy '83-'84-ben kezdte -a unix ellen-, amikor még az msft a garázsból jött elő, a linux meg '91-ben jött elő a '87-es minis inspirációja által.

célját végül eléri, a linux és a windows server az alsó kategóriában (és tovább) kiszorítja a unixot, de ez alighanem csak az x86 fejlődésének köszönhető.

--
nincs aláírásom

Valószínűleg nem _csak_ az x86 fejlődésének, nem látnék semmi különbséget, ha mondjuk a kilencvenes évek vége felé a PPC lenyomta volna, vagy hogy az ARM nemsokára lenyomja (de legalábbis felzárkózik).
A lényeg a megfizethető nagy teljesítmény, de erre még azért szoftvereket is kell írni.

--
http://neurogadget.com/

Windowsból 98-at használtam utoljára élesben, na az tényleg szerencsejáték-szoftver volt. Vagy lefagyott, vagy nem.

Egyébként van benne logika, a proprietary szoftverek fekete dobozként működnek, vagy elhisszük hogy nem tartalmaz (számunkra) kártékony kódot, vagy nem. Míg szabad szoftvereknél van lehetőség a forráskód tanulmányozására, így megismerhető hogy mit csinál.

--
http://csuhai.hu

Tény, nyitott tehát ellenőrizhető, de erre szokták azt mondani válaszként, hogy akkor könnyebben törhető is, ami valamilyen formában igaz, lásd ha bug-ot találsz benne, töröd ahogy akarod, forrás szinten kicsit könnyebb ilyent találni. A másik, hogy igen, egy zár működésének ismerete igenis könnyebbé teszi annak feltörését.

(Mondom úgy, hogy egyáltalán nem vagyok oda ügyfélként azért, ha valaki visszatart, vagy nem dokumentál kódot, amit átveszek-megveszek-megkapok tőle. De ugyan ezt a doksit-kódot nem adnám ki az én ügyfeleimnek, felhasználóknak.)

ONTOPIC:

Ez így megnyilatkozva közel röhelyes részükről, ez az egész pattogás ami megy ilyen témákban csak lejáratja azt a gondolkodásmódot, ami amúgy értékes, életképes és érdemes arra, hogy többen megismerjék. Csak. Ne. Így.

OFF:

Úgy mondom: publikum számára könnyebben átnézhető egy nyílt program működése, emberek vagyunk, hibázunk, így a hiba publikus lesz, tehát "törhetőbb" a program, mint ha titok a hiba kiléte.

Viszont, a hiba attól még kiszúrható, a program működésének vizsgálatával, és az így létrejövő rést viszont nekem nincs módom foltozni, majd jó pénzért, esetleg a monopóliummal visszaélve feláron, ha egyáltalán javítja a valaki. Ez genya.

A leggenyább, hogy a zárt kód létrehozója akár a tudtom nélkül is visszaélhet a hatalmával, kiadhatja másoknak, stb.

Nem sarkítok, és TÉNY, nincs időm belemenni a játék összes aspektusába, nem is biztos, hogy jó helyen vagyunk ehhez ebben a témában.

Szerintem az a legkorrektebb, ha én ismerem-megkapom-birtoklom-módosíthatom a kódot, de mások nem.

(Megint más kérdés, hogy mi van, ha több ügyfele van a cégnek, akitől vettem a szoftvert, a kódot amit ők megkapnak használhatják ellenem, a szoftverek ára nem feltétlen van egy léptékben azzal a kárral-haszonnal amit okozhat egy betörés adott rendszerekbe.)

Mintha hallottunk volna már olyan sztorit, hogy egy-egy publikált megoldásról kiderült, hogy valamelyik titkosszolgálat már 10 évvel korábban felfedezte. Meg mintha a DES környékéről is hallottunk volna ilyen pletyiket, hogy annyira nincs minden megmagyarázva, hogy miért úgy. Meg hasonlók.

Inkább úgy fogalmaznék, hogy kriptográfiában vannak módszerek, amelyekről vannak publikációk. És sosem lehetsz biztos, hogy valaki nem ismer hozzá törést.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Valoban mindegy, mert jobbara nem erdekli es ezert megbizik abban, h valaki azt mondta neki, h ez a szoftver biztonsagos es ez jo neki - pont ugy, mint egy zart cuccnal - mikozben elkepzelheto, h szandekosan atveri a "megrendelot". Nagyon jo pelda erre a legutobbi OpenBSD fiasko, cirka 10 evbe kerult rajonni a szandekosan elrejtett biztonsagi hibara, pedig a forras barki szamara elerheto volt. Ezert volt a kerdes, kettovel feljebb.

Amugy a mai technologiak mellett mar a zart forras sem akadalyoz meg az auditalasban, pl. egy IDA/hex-rays mellett alig van szukseg mas szoftverre ehhez.

---
pontscho / fresh!mindworkz

Tekintve, hogy igazad van nagyrészint nem állnék le vitázni. Azonban a lehetőség ami nyitva marad nem vethető el ennyivel. A teljes kontroll lehetősége a nyílt forráskódé: Pl. megválaszthatod azt a személyt aki támogatást nyújt és nem vagy kötve a program eredeti írójához. Ennyi vállrándítással nem lehet elrendezni, főleg egy kernelnél jóval kisebb projekt esetén jön jól ez a kontroll. Az FSF pedig ezt vetette fel, hogy nincs meg kontroll.

A forráskód elérhetősége bizonyos körökben alapkövetelmény. Ezzel a Microsoft is tisztában van. Nem véletlenül van olyan programja, amelyben a cégek, kormányzatok hozzáférhetnek a termékei forráskódjaihoz. Szóval kár kikezdeni azt, hogy a forráskód elérhetősége fontos-e vagy sem.

http://www.microsoft.com/en-us/sharedsource/government-security-program…

Inkább azt kellene hangsúlyozni, hogy az FSF nem említi, hogy a forráskód elvileg elkérhető a Microsoft-tól. Persze itt azért képbe jön, hogy én hiába írnék Redmond-ba, nem kapnám meg a forrást.

--
trey @ gépház

Nem neked kell, hanem annak, akit kifizetnek érte... azaz, hogy más auditálhatja.

Tehat amig valaki nem veszi a faradtsagot es fizet erte, addig pont ugyanaz a helyzet, mint a zart forrasnal?

Innentől kezdve pedig csak azon múlik mennyire népszerű a szoftver, mert akkor lesz, akinek kell.

Ez sem jelent semmit, mar nagyon jol bebizonyitotta a kozosseg. Eleg az OpenBSD IPSec musorra, vagy az utobbi par hetre visszatekinteni. Legutobb egy forrasbol auditalt szoftverrel rendelkezo Mars szonda egett a legkorben mert deadlockba kerult, pedig a fizetett bagazs papirt adott rola, h ez nem tortenhet meg.

Valaki benyogi, h az adott kod biztonsagos, te pedig elhiszed, mert magad nem vegzed el ugyanazt az ellenorzest mert ugy gondolod, h az aki megtette megbizhato. :-)

Lásd leggyakoribb OSS szoftverek kormányzati auditja.

Azok a kormanyzati szervek a zartnak minositett szoftverek forrasaihoz is hozzafernek, megallapodas kerdese az egesz... es ugyanugy nem jelent semmit, mintha barki szamara hozzaferheto lenne.

Tehat megint csak ott tartunk, h az opensource szoftver ellenorzesehez pont ugyanaz kell, mint a zarthoz, penz, paripa es fegyver. Ahogy azt mar az elmult evek bizonyitottak, a mr. manyeyeballs is korrumpalhato es hiaba a tobbesszam, sokszor egy 20 soros patchben sem latja meg azt az egy karakternyi elterest ami evtizeden keresztul backdoort helyezett el minden derivativ verzioban is.

De azert orulok, h mar reflexbol kepes a nagyerdemu ertelmisegi kozosseg barkit letrollozni aki ellent mer mondani a doktrinanak, komoly minosegi ugrasnak lehetunk szemtanui. :-)

---
pontscho / fresh!mindworkz

Feszülhetsz itt keresztbe-hosszában, én nem megyek bele abba, hogy itt töltsem veled a fél napot egy vitában, melyben láthatólag más képviselünk. I have life :)De persze kemény vagy, meg jól megaszontad, nyugodj meg...
A te érved mindig oda érkezik vissza, hogy a linux és a nyílt forrású közösség szar. Amit eddig láttam arról beszélek. Jah, MacOS király. Mondjuk utóbbiban most nem vagyok 100%-ban biztos, hogy azt tekinted "a platformnak", ha nem, akkor utólag is elnézést az állításért.

Reagálnék egy megjegyzésre azért, hogy a kormányzat mindig hozzáfér a kódhoz: annó a MS kiadta a forrás 84-86%-át a német és osztrák államnak, vizsgálatra. A többit azért nem, mert ő is licencelt, és nem volt joga hozzá. Azt nem is tudták auditálni.

Az, hogy a zárt vs. nyílt önmagában biztonságosabb lenne, mert látod/nem látod a kódot, az nyilvánvaló hülyeség. Én egyik esetben mindig az általad is említett FBI által fizetett ember által megpatkolt ipsecet szoktam felhozni, a másikban pedig a fenti MS példát.

A megállapítás annyi, hogy nyilvánvalóan nem mindegyik vendor tudja/akarja odaadni a kódot, nyílt forrásúnál eleve ott a lehetőség, nem kell NDA, stb. letöltik, ha akarják, megnézik. És nyilvánvalóan többen látják a nyílt kódot, akik nézegetik is, és szépen be is küldik az audit dolgokat közösségnek vagy céghez pénzért, aki majd publikálja pár nappal később, ügyfeleik pedig full disclosuret kapnak előre. Sokan meg nem, ők vagy saját részre vagy feketepiacra adják el.

Feszuljon az akinek hat anyja van, legfeljebb ti akarjatok ugy latni, h ezt teszem. :)

A te érved mindig oda érkezik vissza, hogy a linux és a nyílt forrású közösség szar.

Nem. Oda erkezik vissza, h attol, h nyilt, meg nem biztonsagosabb, ez a mantra mar csunyan megbukott.

Jah, MacOS király.

Igen? Miota?

Az, hogy a zárt vs. nyílt önmagában biztonságosabb lenne, mert látod/nem látod a kódot, az nyilvánvaló hülyeség. Én egyik esetben mindig az általad is említett FBI által fizetett ember által megpatkolt ipsecet szoktam felhozni, a másikban pedig a fenti MS példát.

Nahat, a vegen meg kiderul, h ugyanarrol beszelunk ha mar ugyanazokat a peldakat hozzuk fel?

És nyilvánvalóan többen látják a nyílt kódot, akik nézegetik is, és szépen be is küldik az audit dolgokat közösségnek vagy céghez pénzért,...

Ahogy saxus is megemlitette, ha valamit 10 ev utan fedeznek fel, az nem audit hanem mák.

---
pontscho / fresh!mindworkz

MS kiadta a forrás 84-86%-át a német és osztrák államnak, vizsgálatra. A többit azért nem, mert ő is licencelt, és nem volt joga hozzá. Azt nem is tudták auditálni.

Csak a forráskódot tudják auditálni? Micsoda láma társaság dolgozik a német és osztrák államnak... ;p

Jó lenne az a manyeyeballs. Ha nem lennénk lusta disznók átolvasni a kódot.
Elvben megvan a lehetőséged, hogy megtedd. Csak sokan úgy gondolják, hogy más úgy is megnézte helyettem, nem?
Inkább abban volna az előnye, hogy ha valami feature-re szükséged van, talán könnyebben bele tudod írni. Ami meg az end usernek általában lényegtelen, mert nem fog leállni programozni.

'vagy elhisszük hogy nem tartalmaz (számunkra) kártékony kódot, vagy nem"

ROTFL. Ugyanigy van am ez a szabad szoftverrel is, mert a felhasznalok _donto_ tobbsege nem nez bele a kodba (hogy nem ert hozza, vagy egyszeruen csak lusta, az most irrelevans kerdes). Ez mar nagyon regen nem erv a szabad szoftver mellett.
--

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal 

A biztonság kérdése nem a szoftver értelmezhetőségében zajlik, mert az elég gyenge védelem lenne. Minden szoftver visszafejthető, a visszafejtés csak idő kérdése.

A zárt forrásű algoritmusokkal elvi probléma van. Ugyanis a biztonság kulcsa az elvileg jó algoritmus. Ha az algoritmus jó, akkor teljesen mindegy, hogy ismered-e a megvalósítás forráskódját.

Persze sebezhetőséget találni és javítani is könnyebb nyílt forrású kódban, ugyanis bugok mindig vannak.

Dolgoztam már biztonságtechnikai cégnél, a szoftver tele volt kiskapukkal és gyenge biztonsági megoldásokkal, amiket az end user nem vett észre.

Ilyesmi nyílt forrás esetén nincs, ott a user azt kapja, amit ígértek neki.

Nem véletlen mondom folyamatosan, hogy a microsofttal nem az a bajom hogy gyenge szoftvereket ad felháborítóan drágán, hanem mert olyan módszerekkel játszik, amik közelebb vannak a maffia, és szervezett bűnözés módszereihez, mint egy informatikai cégéhez. Az, hogy ilyen pitiáner módszerekkel próbáljak gátolni a szabad szoftvert, (és még ne soroljam, a böngésző választónál a böngésző választásra feljön az ie varázslója), hát ez már a legalja.

Azért én kíváncsi lennék, szóval sorold nyugodtan :) Volt néhány stiklije a MS-nek, de kétlem, hogy szándékosan raktak volna fals pozitív riasztást pont az fsf weboldalára. Inkább fordítva tudom elképzelni, valaki kifigyelte, mire ugrik a szoftver, és átírta a weboldalt, hogy gyanús legyen, és aztán hisztizni lehessen. Ennek is ugyanannyi az esélye (már ha lehetek valszámilag inkorrekt).
----
India delenda est.

A termék az FSF oldalát "szerencsejáték" oldalként (is) kategorizálta

Ném értem a felháborodást. Teljesen rendben tűnik ez a kategória a szabad szoftverekre és alapítványaikra... ;D

úgy jön, hogy lehet valami a legtöbbet érő tech vállalat a hype miatt, meg szigorú belső fejlesztés, nda, stb., aztán a végén kiderül, hogy az sem jobb, mint az open source... lehet valami jobb, mint open source, ha megfelelő emberek fejlesztik, és open source is lehet jobb a zártnál, ha a csapat/ember megfelelő. Semmi köze a szerencsejátékhoz. Mellesleg az apple elég sokat köszönhet nyílt forráskódú szoftvereknek, nevezetesen a (free)BSD corenak. De ez ismert, de néha úgy látom, még az apple fanok között is fel kell rá hívni a figyelmet :)

Egyébknét azóta enterprájz az Apple, mióta a vezetőknek mániákusan a legutolsó i* (ipad,ipad,if@szom) e-péniszeket BYOD szinten be kellett engedni. Security API nyitás nuku, így ios-re vírusirtó, policy enforcer stb nem megvalósítható*
Aztán meg csak néznek, mint a moziban, hogy mi van, mikor nem megy valami, aztán csak megy a balhé, hogy ez a legjobb, neki ez kell. Kb ott tartunk most, mint amikor először minden manager egy 17 colos notebookot akart, aztán meg 12 colos, aztán apple, most meg ibügerentyűk a divat... na, innentől enterprájz.

*vért hugyozva igen, különböző keresztmegoldásokkal, mac address alapján, de semmi telepített alkalmazással nem kontrolláható rendesen jelenleg a sok iPad stb