Index szakerto vs. szabad szoftver

http://index.hu/belfold/2014/10/26/az_internetado_ellen_tuntetnek/?p=2

"Thüringer Barbara
5 órája
Az LMP egy bűvésztrükkel a szabad szoftverekből spórolna pénzt a netadó helyett

Elég meredek ötlettel állt elő az LMP, a párt szerint az államigazgatásnak a szabad és ingyenes szoftvereket kéne használnia, és ezzel akár 40 milliárd forintot is megspórolhatna a kormány. Mint írják, ez a kétszerese a netadóból tervezett bevételnek. Azt persze nem írják, hogy az ingyenes programok sok esetben sokkal több veszélyt jelentenek, mint amikért fizetni kell, ugye."

Erre mondjak, h okosabb lett volna, ha csondben marad?:)

Hozzászólások

"A fizetos szoftver szinte majdnem mindig jobb, mert tobbnyire jar hozza ajandek kemszoftver is!"

Terjunk vissza az eredeti kerdeshez:

"folyamatkent garantaljak, hogy senki keresere vagy parancsara ne lehessen trojai falo egy uzleti szoftverbol"

Az elrejtett backdoor egy szelete (bar ketsegkivul nem elhanyagolhato) a fenti felvetesnek.

Ha ezt a folyamatot a gyarton kivul mas is kieepitheti, a sajat kockazatkezelesenek megfeleloen, egy kicsit nehezebb mas keresere vagy parancsara trojai falot kesziteni egy szoftverbol.

Na igen, de az open source világban kvázi nem létező fogalom a quality assurance. Magyarul hiába van egy biztonságos szoftvered, ha jön valami idióta packager, aki szó szerint kidob részleteket a kódból, mondván, hogy az úgyis felesleges - ezzel előidézve egy "kisebb" bakit.

Olvasd el megegyszer mit irtam:
"a folyamatot a gyarton kivul mas is kieepitheti, a sajat kockazatkezelesenek megfeleloen"

A sajat kockazatkezelesbe beletartozik az is, hogy megvalositsa a sajat minosegbiztositast, es profik dolgozzanak a package keszitesen. Sot akar tobb szereplo biztositas jelleggel kockazatkozosseget is csinalhat.
Ez mar az adott szereplo felelossege lesz, csak magara vethet a trehanysagaert.

Visszaterve az eredeti temara: uzleti szoftvereknel milyen folyamatok garantaljak, hogy senki keresere vagy parancsara nem lesz trojai falo az uzleti szoftver?

Pont ezen az "apro" elven bukik a dolog, az ocean tulpartjan hatalyos torvenyek (patriot act, national security letters, stb) ugyanis "zsarolhatova" teszik a gyartok. A trojai falo attol meg trojai falo, hogy a gyarto onkent, plusz penzert, vagy kenyszerbol kerult bele.

Egy szervezet, amelynel nincs meg ez a zsarolhatosag, sot teljesen ellenerdekelt benne, mar egeszen mas donteseket hoz es tesz.

Tehat a keres tovabbra is fennal:
"uzleti szoftvereknel milyen folyamatok garantaljak, hogy senki keresere vagy parancsara nem lesz trojai falo az uzleti szoftver?"

Megválaszoltam már, de akkor leírom még egyszer, végül is ismétlés a tudás anyja.

Zárt szoftvereknél sem garantálja semmi a backdoor-mentességet, pontosan ahogy nyílt szoftvereknél sem garantálja semmi a backdoor-mentességet, lásd a feltételezett TrueCrypt-takedown esetét. Mindkét esetben meg kell bíznod a gyártóban/packagerben/akárkiben.

Foglalkoztam információbiztonsággal, ugyan csak érintőlegesen, de annyit tudok róla, hogy ezek az online fórumos "áá, biztos nincs benne" vagy "átnézhetnéd a kódot, ha lenne rá ezer embernapod", és hasonló szövegek nem bizonyítanak semmit.

Nem a kerdesre valaszoltal, teljesen irrelevans. Sem nekem sem egy masik szervezetnek nem kell megbiznia senkiben - csak a sajat kockazatkezeleseben, es az ez alapjan felepitett folyamataiban (ennek resze lehet a felepitett folyamatok teljessegenek, helyessegenek, stb. formalis bizonyitas is).

"Tetszik vagy sem, valos problema. Igy a sohajtozas keves. Tettek kellenek, amelyek folyamatkent garantaljak, hogy senki keresere vagy parancsara ne lehessen trojai falo egy uzleti szoftverbol."

Fordítsuk meg a kérdést, hátha akkor jobban megértem.

A vállalatod le akarja cserélni a [Windows, BitLocker, AD, Office, SharePoint, Exchange] kombinációt egy FOSS csomagra, mondjuk [RHEL, TrueCrypt, ???, LibeOffice, ???, ???].

A realitások talaján maradva (tehát véges erőforrás felhasználásával, a való életben is elfogadható költségek vállalásával, tfh. SME-szektorban, mint egy átlagos cég) hogyan garantálnád folyamatként, hogy senki kérésére vagy parancsára nem lesz backdoor az üzleti szoftverben?

Nem forditjuk meg a kerdest, es nem szukitjuk a kiterjedeset a kerdesnek:

egy szervezet olyan szoftvert/szoftvercsomagot szeretne hasznalni, amelynel folyamat szinten garantalhato, hogy nincs trojai falo. Ez lehet akar uzleti vagy akar foss, a lenyeg, hogy folyamat szinten garantalhato a fenti kovetelmeny.

Ez a "szervezet" lehet akar egy ceg (barmilyen merettel), vagy akar maga az allam is, vagy ezek barmelyik resze illetve reszek altal szervezett (erdek)kozossege.

A problema reszben technikai, reszben szervezesi, reszben jogi, ahogy korabban is irtam:

"az ocean tulpartjan hatalyos torvenyek (patriot act, national security letters, stb) ugyanis "zsarolhatova" teszik a gyartok. A trojai falo attol meg trojai falo, hogy a gyarto onkent, plusz penzert, vagy kenyszerbol kerult bele."

A folyamatokat lehetne kezdeni ezen "zsarolasi" potencial (kenyszer) megszuntetesevel, aztan minden olyan "erdek" felszamolasaval (es az arra vezeto ut elaknasitasaval), amely a trojai falo mukodesre egyaltalan lehetoseget teremt ...

El tudnád mondani, hogy egy nyílt forráskódú szoftvernél ki fogja garantálni, hogy nem lesz benne _elrejtett_ backdoor?

en. Te megmondod, hogy melyik nyilt forraskodu projekt erdekel, en meg kijelentem, hogy nincs benne _elrejtett_ backdoor. Ha nekem nem hiszel, akkor meg mindig eloveheted a forraskodot, es auditalod, hogy nincs-e benne disznosag. Namost zart forraskodnal erre eselyed nincs. Mokas is, ahogy az apple ios-nek csufolt os-eben az apple szerint diagnosztikai funkciok vannak, mig a kutatok szerint meg backdoor az apple-nek, meg a 3 betus kemszervezeteknek, ezekrol tudunk. Es ki tudja, ezen felul meg mi van benne?

A manyeyeballs-t nem hoznám fel érvnek az OpenSSL és hasonló fiaskók után.

miert, hogy is fedeztek fel ezeket?

--
"A politikat, gazdasagot es a tobbi felsorolt faszsagot leszarom, amig engem nem erint (nem erint)" (bviktor)

/o\

> en meg kijelentem, hogy nincs benne _elrejtett_ backdoor.
Ugyan kijelentheted, csak semmi alapod nem lesz rá, miután nem nézted át a kódot.

> eloveheted a forraskodot, es auditalod, hogy nincs-e benne disznosag
Generic manyeyeballs bullshit. Nem veszed elő, mert nem értesz az összes lehetséges programnyelvhez és technológiához, amit alkalmaznak. Nincs végtelen időd és erőforrásod, stb.

> Namost zart forraskodnal erre eselyed nincs
Technikailag igazad van, de mint látod, ez csak hipotetikus kérdés, mert az open source cuccok túlnyomó része sincs auditálva, még ha az elvi lehetőség meg is van.

De tudod mit, mondok egyet. TrueCrypt. Kérlek, adj garanciát arra, hogy nincs benne semmilyen backdoor.

nem kell konkretan neked atnyalaznod csillio loc-ot, vannak olyan cegek, amelyek ertenek hozza, ez a munkajuk (resze). Tehat ha neked papir kell az x termekrol, akkor vannak opcioid.

Az meg ne zavarjon meg, hogy csillio floss termeket senki nem nez at ebbol a szempontbol, mert ez csak annyit jelent, hogy a juzereket ez a szempont nem erdekli (annyira, hogy aldozzanak is ra idot/penzt/...). Tovabba, ha engem erdekel is a floss projektek backdoor affinitasa, nyilvan csak azokat a kritikus projekteket fogom audital(tat)ni, amelyeket hasznalok is. Ha pedig a kezedben a forraskod, akkor valoszinuleg effektivebb lehet a backdoor kutakodasod is.

Szoval mondom, egy floss termeknel vannak opcioid, mig egy zart forrasu termeknel zero, es jobb ha az EULA-ban megkeresed azt is, hogy nem-e szegsz szerzodest, ha pl. benchmark eredmenyeket, vagy barmit is publikalsz az y zart forrasu termekrol.

--
"A politikat, gazdasagot es a tobbi felsorolt faszsagot leszarom, amig engem nem erint (nem erint)" (bviktor)

Nem ugyanaz - a folyamatot kell garantalni! Semmi nem tokeletes, sem a Truecrypt, sem az Microsoft termekei, sem mas cegek termeke. Pont ezert csak egy dolog szamit: a folyamatok, amelyek azt garantaljak, hogy a megfelelo iranyba halad!

"folyamatkent garantaljak, hogy senki keresere vagy parancsara ne lehessen trojai falo egy uzleti szoftverbol.

Nem nem, ő konkrétan azt ajánlotta, hogy "megmondod, hogy melyik nyilt forraskodu projekt erdekel, en meg kijelentem, hogy nincs benne _elrejtett_ backdoor."

(Ebben a threadben) nem volt szó folyamatokról, sj konkrétan azt a kihívást dobta fel, hogy ő kijelenti hogy nincs backdoor egy adott FOSS projektben. Érted, még bizonyítani sem igazán kellett volna, elég lett volna simán kijelenteni, de az sem sikerült. :)

Általában a backdoor-t nem úgy rakják be a szoftverbe, hogy


void backdoorCommands(String tcpInput)
{
if( "TakeControlOverTheComputer".equals( tcpInput ) )
takeControlOvertTheComputer();
}

Magyarul nem elég a forráskódot látni, a hálózati kommunikációt is figyelni kell, hogy lássák milyen kérések jönnek és mennek. Egy biztos: könnyen és jól olvasható backdoor-t nem fogsz semmilyen kódban találni.

Nem erolkodni kell, hanem folyamat szinten megszuntetni a lehetoseget a hibazasra, majd konnyen ellenorizhetove tenni (masok szamara is), indulasnak:
http://www.combex.com/papers/darpa-report/html/

Nehany dicseretes MSR (vagy azon alapulo) kezdemenyezes:
http://research.microsoft.com/en-us/projects/fstar/
http://www.mitls.org/wsgi/home
http://research.microsoft.com/en-US/events/seifday2014/ball_seif2014.pdf

szerintem arra gondolt, hogy a torrentröl letöltött (tehat ingyenes) windows isokban sokszor van valami huncutsag!

Valamit márpedig nyilatkozni kellett, mert ott figyelt a tévériporter.

Más kérdés, hogy amikor egyszer nekem kellett volna a tévének nyilatkozni, akkor elpasszoltam a lehetőséget, mert (egyébként más témában, nyilván) én is csak valami ökörséget tudtam volna mondani.

Ők szakértők, és értenek hozzá. Meg hát valamit mondani kellett, mivel erről Juliska néni a kis padon, meg Jocó a kocsmában nem tud, így náluk be kell vágódni, nehogy a következő választásig eltűnjenek a süllyesztőben.