Kernelhacker rootolná...

Titkosítás, biztonság, privát szféra

Pavel Machek - ismert Linux kernelhacker - egy furcsa kéréssel fordult a Bugtraq és az android-security levlisták olvasóihoz. Egy vadiúj cseh verziójú T-Mobile G1-es telefon tulajdonosa. A jelenlegi firmware nem teszi lehetővé, hogy root jogokhoz jusson a telefonon, a korábbi firmware-ekre (ahol ez megoldható lenne) pedig nem tud downgradelni.

Szóval a fejlesztő megpróbált "root" jogokhoz jutni a készüléken, de eddig nem járt sikerrel. Próbálkozott a 2.6.25.1-ben javított dnotify buggal, de nem nagyon koronázta siker a ténykedését. Azt hitte, hogy a 2.6.25-öt könnyű lesz feltörni, de tévedett.

Összegyűjtött néhány biztonsággal összefüggő bugot, de egyik sem volt elég ahhoz, hogy "root" joghoz jusson.

Szóval arra gondolt, hogy a security emberektől kér segítséget ahhoz, hogy az ARM platformon futó 2.6.25-öt rootolhassa.

A részletek itt olvashatók.

( szemet | 2009. 02. 10., k – 18:04 )

jót nevettem a kommenteken, a post címe:
"Rooting your own phone: android security"

Mire az egyik komment:
"On a more prosaic note the title of this article has rather a different meaning here in Australia and probably wouldn't result in the desired result.. :-) "

itt tájékozodtam:
http://en.wiktionary.org/wiki/root

miszerint:
(Australia, New Zealand vulgar slang) To have sexual intercourse

Fel androidok telefonszexre! :)

( takemeaw | 2009. 02. 10., k – 19:51 )

hunger nem akarod megszanni a sracot? ;)
--
_

( lgb | 2009. 02. 11., sze – 11:40 )

Ezert kene backdoor-t hagyni a kernel fejlesztoknek a cuccban :D

( kupcsik v | 2009. 02. 11., sze – 13:39 )

Itt az élő példa, hogy hacker≠cracker :) Ezzel akkor le is lehet zárni az évtizedes vitát.

( egeresz | 2009. 02. 11., sze – 13:53 )

nagyjabol a gplv2 versus gplv3 temaba illik bele.
A gplhuszar (tegyuk fel) szereti, ha belenyulhat a kodba (barmelyikbe) erre gpl kod eseten a gpl jogi lehetoseget ad.
Viszont lehetseges olyan eszkozt gyartani, aminek szoftvere gplv2 -es, de technikailag nincs lehetoseg belenyulni a kodba (ilyenkor hajara kenheti a jogi lehetoseget). A gplv3 ezt a hibat kuszoboli ki, ha a kod gplv3, akkor technikailag is kell, hogy legyen lehetoseg belenyulni a kodba.

a dolog egy kicsit el lett baszva rms kontra linus kornyeken, amikor a kernelt atirtak 'gplv2 or newer' helyett szigoru gplv2 -re, amivel a kernel egy kicsit uzletbaratabb lett, de egy kicsit kevesbe szabad. Mittomen, lehet hogy gplv3 licenszu kernel eseten ma egyszeruen nincs android. De az is lehet. hogy lenne, es gplv3 sertes miatt perelnek a googlet (eselytelennek latszik) es az is lehet, hogy lenne, es Pavel Machek belenyulhatna.

szerintem roppant idegesito, ha irsz egy szabad szoftvert, utana veszel egy hardvert amin a te szoftvered fut, es nem nyulhatsz bele;)

anelkul, hogy a licensz jo/rossz mivoltarol allast foglalnek, mit mondanak ok maguk:

cel:
* the freedom to use the software for any purpose,
* the freedom to change the software to suit your needs,
* the freedom to share the software with your friends and neighbors, and
* the freedom to share the changes you make.
Innen a masodik igenis azt is jelenti, ha megvetted a gepet, lehess rajta root.

s mi a kulonbseg ebbol a szempontbol a gplv2 es a gplv3 kozott:
The most recent [GPL] version protects users from three recent threats:
Tivoization: Some companies have created various different kinds of devices that run GPLed software, and then rigged the hardware so that they can change the software that's running, but you cannot. If a device can run arbitrary software, it's a general-purpose computer, and its owner should control what it does. [...]

"a legujabb [GPL] verzio megvedi a felhasznalot az alabbi 3 leggyakoribb visszaelesektol:
nehany ceg gyart es arul kutyut GPL szoftverrel, es hardveresen beledrotoztak a szoftvert, hogy a felhasznalo ne tudd modositani. O tudja valtoztatni, de a kutyu tulajdonosa nem. Marpedig, ha barmilyen zoftvert futtathat a kutyu, akkor az egy altalanos szamitogep, es a tulajdonosanak legyen szabadsaga meghatarozni, hogy az mit csinal [...]"

the right to modify your software will become meaningless if none of your computers let you do it. GPLv3 stops tivoization by requiring the distributor to provide you with whatever information or data is necessary to install modified software on the device.

"a szoftvermodositasi jogod ertelmetlen, ha nincs olyan szamitogep, amin azt meg tudod tenni. GPLv3 ezt megakadalyozza azzal, hogy kotelezi a GPLv3 szoftver szallitojat (a kutyu gyartojat) hogy adjon meg minden olyan informaciot, modszert es szoftvert, ami szukseges a szofvervaltoztatashoz"

idezetek: http://www.fsf.org/licensing/licenses/quick-guide-gplv3.html

A gplv3 persze nem akadalyozza meg a kutyu gyartojat, hogy sajat zart oprendszert fejlesszen es azt adja, azt sem akadalyozza meg, hogy hogy a gplv2 szoftvert zarja be; te mint fejleszto tudod megakadalyozni, hogy a te szabad programodat bezerjak, es azzal tudod megakadalyozni, hogy gplv3 alatt publikalod. Persze, lehet hogy emiatt nem fogja hasznalni a kutya se:-)

Konkretan a google eleg eros az androidhoz. Egy onallo kernelhez nem eleg eros, lehet hogyha linux gplv3 lenne, akkor valami bsd-t valasztott volna az android kernelenek (nehezebb dolga lenne). Az is lehet, hogy akkor az andoridos telefon nyilt lenne (dokumentaltan modosithato). Az en szemem szerit itt nem kernelek es oprendszerek csataznak es harcolnak, hanem szemleletek, es a szemleleteknek megfelelo licencia konstrukciok.
Jelenleg ket nagy tabor van: opensource - closedsource
az opensource -n belul ket nagy tabor van: gpl - barmi mas
a gpl -en belul ket nagy tabor van: gplv2 - gplv3.
A licenszek terjedesi strategiai alapjan ugy velem, hogy a gpl nez ki hosszutavon nyertesnek, a gplv2 - gplv3 kozott nincs meg eldontve a kuzdelem.

A fenti 4 pont közül melyik nem teljesül az android kernelre? Bármire használhatod, le lehet tölteni a forrást és megváltoztatni, odaadhatod akárkinek, a saját hozzáadott cuccodat is megoszthatod.

„Innen a masodik igenis azt is jelenti, ha megvetted a gepet, lehess rajta root.”
Ez szerintem félreértés. Vásárlásról szó sem esik a 2. pontban. Valamint ahhoz, hogy megváltoztasd a szoftvert nem kell rootnak lenned. Letöltöd a forrást, vim kernel.c aztán hajrá. Az hogy az androidos telefon gyártója nem akarja hogy root legyél a telefonodon, az a szive joga. Neked is, hogy ne vedd meg a telefont, mert nehéz feltörni. Lehet hogy keményfejű vagyok, de tényleg nem értem ehhez mi köze a GPL-nek. Ha a forrást elérhetővé teszik, akkor eleget tettek neki, nem? Legyen az v3 vagy v2.

szia,

ha elore tervezett technikai okok miatt nem tudsz root lenni rajta, akkor nem tudod megvaltoztatni a szofvert ugy, hogy lehess rajta root. -> nem tudod megvaltoztatni a szoftvert.

a "szoftver modositasanak szabadsaga". Ha szoftver egy adott hardveren fut, es ha nem tudod elerni, hogy azon a hardveren megvaltozzon a szoftver, akkor nem tudsz elni ezzel a szabadsaggal. Sok minden miatt nem tudhatod megvaltoztatni a szofvert. Pl mert tilos. (ha olyan a licensze). Vagy ugyan jogilag szabad, de nincs ra technikai lehetoseg (mint pl a GPLv2 -vel felszerelt T-mobile G1-nel).

A GPLv2 mint licenszkonstrukcio erre lehetoseget ad a hardver gyartojanak, a GPLv3 licenszkonstrukcio nem.
Tudod modositani a T-mobile G1 androidos telefonon a szoftvert? Nem. GPLv2 szoftver van rajta? Van (mas is, de GPLv2 is van rajta). Jogilag szabad? igen. letoltheted? igen. Megeditalhatod a pc-den? Igen. Fel tudod tolteni a T-mobile G1 -re? nem. Na, ez az a nem szurta RMS szemet, es emiatt hozta ki a GPLv3 licenszt.

Ha GPLv3 szoftvert terjesztesz, akkor nem korlatozhatod technikailag a felhasznalot annak a szoftvernek a megvaltoztatasaban. Igy a T-mobile ket verzio kuzul valaszthat:
1) nem rak GPLv3 -as szoftvert a G1-re, es akkor jogilag megteheti, hogy muszakilag lezarja a telefont
2) rak GPLv3 -as szoftvert a G1-re es akkor biztositania kell annak a szoftvernek a szabad modosithatosagat

mert ha nem biztositja technikailag a szabad modositast, akkor serti a GPLv3 -at, de nem serti a GPLv2 -ot.

aztszem nem fogom meg egy modon elmondani ;-)