NSA bagdøre i Open Source ?

Microsoft og Apple har mistet enhver tilbageværende kredibilitet som leverandører af ukompromiterede softwareløsninger og jeg ser ingen grund til at antage at Adobe og Oracle ikke også bør stilles i samme lys.

Det er formodentlig den bedste markedsåbning der er sket for FOSS i nyere tid, men det kommer til at koste hårdt arbejde at holde vores sti ren.

Hvis vi antager at NSA's ledelse har en smule omtanke og økonomisk sans, sidder der et dusin amerikanere med meget høj security clearance og stopper bagdøre ind i Open Source projekter.

Hvis Snowden havde været ansat som systemadministrator i et skalkeskjul og sendt en række gode patches, havde det næppe taget ham mere end et års tid at placere den første kodesvaghed i et eller andet open source projekt.

Et godt eksempel på hvorledes det kunne se ud: Debians random number bug.

Ind til nu har vi antaget at den bommert var gennemgribende inkompetence, fordi vi er nogle søde og rare mennesker der ikke forfalder til konspirationsteorier.

I lyset af NSAs aktiviteter og GCHQ's aflytning af deltagere i G20 mødet, er det vist på tide at blive lidt mere nøjeregnende og noget mere kritiske ?

Vi kommer heller ikke uden om "Reflections on trusting trust", jeg er helt sikker på at NSA kan se perspektivet i selvpropagerende bagdøre.

Et godt sted at starte, er altid at compilere GCC med LLVM og LLVM med GCC.

Vi kommer også til at tale om binære distributioner hvor kernen ikke kan reproduceres uden videre.

Men først og fremmest handler det om meget skeptiske code-reviews.

phk

Kommentarer (105)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Brian Hansen

Betyder i den her sammenhæng knap så meget, det er jo ikke fordi der bliver sat bagdøre ind med store kommentarer, det som PHK hentyder er jo tydeligvis at der bliver lavet "brølere" med vilje, af folk ansatte af staten til ene og samme, og når lønnen er iorden så er der uden tvivl arbejde for folk med lav moral. Sorry for pointing out the obvious :-P

Jesper Lund Stocholm Blogger

Synes du ikke der er flere som bør omfattes af din miskredibilitetsdom? Jeg vil da mene at både Google og Yahoo i hvert fald også bør nævnes.


Det passer bedst ind i PHKs vedensbillede, hvis Microsoft og Apple nævnes ved navn og Google kun "nævnes imellem linierne".

PHK har jo en skåltale om, hvor afbalanceret han er i sin kritik og at han også tidligere har kritiseret "alle" - talen finder bare sjældent anvendelse i virkeligheden.

Poul-Henning Kamp Blogger

Det passer bedst ind i PHKs vedensbillede, hvis Microsoft og Apple nævnes ved navn og Google kun "nævnes imellem linierne".

At jeg ikke nævnte Google ved navn i denne sammenhæng skyldes tre ting.

  1. Android er Open Source (med visse relevante fodnoter)

  2. Telefonproducenter og teleudbydere er langt større sikkerhedstrusler i Android miljøet.

  3. Der findes alternativer til at bruge en smartphone, fra fastnet til Doro's pensionisttelefoner men der findes intet reelt alternativ til at bruge en PC eller laptop med Microsoft eller Apple software, (jvf. kompatibilitets-lister fra banker og offentlig digitalisering).

Jesper Lund Stocholm Blogger

Android er Open Source (med visse relevante fodnoter)


Ok - men ret mig endeligt, hvis jeg tager fejl - men kan du kigge i kildekoden og deraf konkludere noget omkring eksistensen af eventuelle bagdøre i de binære OEM-udgaver af Android? Samme spørgsmål gør sig gældende for Chrome og de binære installationsfiler som Google leverer?

Det er klart, at det er rart at kunne kigge i kildekoden, men du skrev jo selv "leverandør af ukompromiteret softwareløsninger". Mig bekendt leverer Google Chrome som binære bits samt også binære bits af Android til deres OEM-partnere.

Og eftersom Google primært er leverandør af services, der leveres fra skyen - hvordan kan du kigge i noget som helst OSS-kildekode og udtale dig om eksistensen af bagdøre i deres sky-løsninger?

Jesper Lund Stocholm Blogger

At jeg ikke nævnte Google ved navn i denne sammenhæng skyldes tre ting.


PS: Det eneste rigtige svar på min kritik af dig er i øvrigt

"OK - good point ... jeg retter indlægget og tilføjer Google (og Facebook og Yahoo)"

Skulle du ikke kunne finde på andre intelligente ting at svare, skal du ikke være urolig - jeg er sikker på, at nogle af de andre nyttige idioter nok skal enten forsvare dig eller angribe mig.

:o)

Anders Kreinøe

Chrome er som sådan ikke open source, så det kan man ikke. Men hvis man benytter Chromium, som er det open source projekt som Chrome er baseret på, så kan man. På den maskine jeg skriver dette fra, har jeg en version af Chromium installeret, som jeg selv har compilet.

Malik Taaning

Læs nu hvad der bliver skrevet og ikke hvem der skriver det...

Google frikendes IKKE - men de kan fravælges.
Du behøver ikke en en smartphone/gmail/google docs etc etc.

Men i danmark er du mere eller mindre tvunget til at bruge Apple/microsoft software til at tilgå offentlige ydelser.

Martin Bøgelund

Ok - men ret mig endeligt, hvis jeg tager fejl

Jesper, du tager ikke fejl. Jeg undrede mig også over Googles fravær på listen - formelt set hører Google til på den, og du remser nogle gode grunde op for det.

Google er bare et andet selskab end Apple og MS.

Du kan nemlig slippe for Google.

Alt hvad Google leverer kan du også få andre steder - enten i form af open source pendenter til deres binære udgivelser (Chrome - Chromium, osv) eller tilsvarende services.

Google tvinger sig selv til at være skarpe mht at indgå i et økosystem med sine brugere. For hvis de er til ulempe for brugerne, vil de ikke blive opfattet som en nødvendig del af brugerens økosystem, men som en parasit man bare gerne vil slippe for.

I stærk kontrast hertil står især Microsoft, som meget længe har ageret som en parasit, man ikke kan slippe af med, selv hvis man er villig til at betale en høj pris.

Hvem tror du der er størst sandsynlighed for vil behandle dig svinsk?
Ham der kidnapper dig og holder dig indespærret i sit hus, eller ham der giver dig nøglen og siger du kan gå hvis du ikke bryder dig om ham?

Det er ikke bare open source i kode - det er open source i ånd.

Thomas Løcke

Alt det her er meget bekymrende, og mon ikke at de her fæle folk allerede har betalt visse skruppelløse ingeniører 30 sølvstykker for at forråde menneskeheden? Spørgsmålet må vel være i hvor stort omfang, og hvilke projeter der kan tænkes ramt?

Et andet spørgsmål er også om vi mennesker overhovedet kan formodes at lave solide nok reviews på kode, eller om der skal andre værktøjer til? SPARK?

Så vidt jeg ved så er det netop den slags sikkerhed og tillid OpenBSD folkene går meget op i. Er der nogen der ved noget om hvordan deres proces for håndtering af patches/kode er? Kan der læres noget?

Fsv. debatten om hvem der skal på listen over de værste "syndere", så føler jeg personligt at det er ret let for mig at skille mig af med Google/Yahoo/Facebook, hvorimod Microsoft/Apple er en helt anden sag. De tre første leverer en service jeg kan forlade når jeg vil. De to sidste bliver i forskelligt omfang tvunget ned i halsen på mig.

Jan Lunddal Larsen

Jeg synes ikke at have læst om at der har været tale om nogen som helst bagdøre i noget som helst software i denne PRISM sag, men netop om at NSA kan få oplysninger fra diverse service leverandører, hvis de ønsker.

Microsoft og Apple er jo ikke involveret pga. deres OS, men pga. af selvsamme servicetyper som Google, Yahoo og Facebook leverer.

Jesper Lund Stocholm Blogger

Google frikendes IKKE - men de kan fravælges.
Du behøver ikke en en smartphone/gmail/google docs etc etc.


På samme vis behøver du jo heller ikke en iPhone eller bruge iCloud ... eller en Windows Phone og bruge Office 365/Office eller IE?

Men i danmark er du mere eller mindre tvunget til at bruge Apple/microsoft software til at tilgå offentlige ydelser.


Herhjemme skiftede vi vores Windows-maskiner ud i efteråret 2009 og jeg kan ikke huske, hvilke offentlige ydelser jeg har været afskåret fra at benytte i tiden derefter. Hvilke tænker du på?

Jesper Lund Stocholm Blogger

FaceBook og Yahoo er ikke program, men service leverandører.


Så fordi Facebook, Yahoo eller Google (som du behændigt udelod igen) leverer software, der ikke er indpakket i folie men som en serviceydelse, så giver det dem mindre mulighed endsige incitament til at kompromittere dine data?

Det argument skal man vist have bundet hele flasken med Kool-Aid for at kunne finde hoved eller hale i.

Og selvom helvede frøs til og dit argument gav mening - hvad så med den software Google leverer? Hvad med Chrome, Picasa, Android (Nexus) ... ?

Men PHK, jeg har ingen forventning om, at jeg kan få dig til at skifte mening - som du ved er det umuligt at få en mand til at skifte mening, hvis hans indtægt er afhængig af det.

Eskild Nielsen

Herhjemme skiftede vi vores Windows-maskiner ud i efteråret 2009 og jeg kan ikke huske, hvilke offentlige ydelser jeg har været afskåret fra at benytte i tiden derefter. Hvilke tænker du på?


Til Apple (som er indbefattet i blogindlæggets advarsel)?
Til Linux eller xBSD?

Men i øvrigt er det efterhånden sjældent jeg behøver at låne fruens XP for at tilgå noget...

Eskild Nielsen

Så fordi Facebook, Yahoo eller Google (som du behændigt udelod igen) leverer software, der ikke er indpakket i folie men som en serviceydelse, så giver det dem mindre mulighed endsige incitament til at kompromittere dine data?


Jeg mener at der i tidligere blogindlæg er blevet advarfet generelt om SAAS, cloud og lign.

Og der er også blevet advaret om smartphones incl Android

Her drejer det sig om alene om den traditionelle PC, og jeg mener at reduceres blogindlægget til en 'one-liner', så er resultatet:

Det er ikke utænkeligt, at NSA også har fået bagdøre ind i Linux, xBSD eller essentielle applikationer på den platform

Og det da vist stærke sager fra PHK

Kenn Nielsen

Det er ikke utænkeligt, at NSA også har fået bagdøre ind i Linux, xBSD eller essentielle applikationer på den platform

Og det da vist stærke sager fra PHK

Og tak til PHK for at have kønskirtler nok til ikke bare at se sandheden i øjnene, men også at turde fortælle den.

Uden erkendelse af usikkerheden, kan man jo ikke udvise rettidig omhu.

Ikke at man behøver at udvise rettidig omhu, man kan også vælge at lade være, men så tager man jo chancen med vidt åbne øjne.

Uden erkendelsen, vælger man så bare at opføre sig naivt.
Og det nytter ikke at råbe "Datatilsyn" når det først er gået galt.

For datatilsynet har travlt med at stå foroverbøjet med bagen blottet ind mod et eller andet katastrofeministerie.

K

Jesper Lund Stocholm Blogger

Du kan nemlig slippe for Google.


Og det kan du ikke med software fra fx Apple?

Alt hvad Google leverer kan du også få andre steder - enten i form af open source pendenter til deres binære udgivelser (Chrome - Chromium, osv) eller tilsvarende services.

Så alternativerne til Googles produkter er ikke alternativer til Microsofts og Apples produkter?

Er Chrome ikke et alternativ til IE eller Safari?
Er LibreOffice ikke et alternativ til Office eller iWork?
Er Google Docs ikke et alternativ til Office 365 eller iCloud?
Er Linux ikke et alternativ til Windows eller MacOS?
Er Android ikke et alternativ til iPhone eller WP?

Hvem tror du der er størst sandsynlighed for vil behandle dig svinsk?
Ham der kidnapper dig og holder dig indespærret i sit hus, eller ham der giver dig nøglen og siger du kan gå hvis du ikke bryder dig om ham?


Nu er jeg lidt usikker på, hvem du mener er hvem, men hvis vi kigger på deres respektive sky-baserede kontorpakker (Google Docs og Office 365), så gemmes dokumenter hos Google i deres eget proprietære, ikke-dokumenterede format. Hos Office 365 gemmes dokumenter i OOXML.

Vi har i nogle år brugt Google Docs som vores primære værktøj til at dele dokumenter herhjemme, og vi har vel nogle hundrede dokumenter efterhånden. For et par år siden prøvede jeg for sjov at se, om jeg kunne få data ud igen, og jeg eksporterede alt derinde som ODF og åbnede dem i OpenOffice.org . Det var dælme en nedslående oplevelse - en stor del af dokumenterne manglede selv basal formattering. Google Docs er et fedt værktøj - hvis du "lever og dør" derinde. Skulle du derimod forsøge at importere dokumenter eller eksportere dem, så oplever man problemer.

Var det det du mente med "kidnapper og holder dig spærret i dit hus"?

I stærk kontrast hertil står især Microsoft, som meget længe har ageret som en parasit, man ikke kan slippe af med, selv hvis man er villig til at betale en høj pris.


Det står dig jo frit for, om du vil benytte Windows eller ej - men det er korrekt, at en række OEM-leverandører har valgt at levere deres maskiner med Windows på.

Hvis vi et øjeblik accepterer, at dette er sket med ublu pres fra Microsoft - er det så anderledes end når Google kræver, at hvis man vil være én af deres OEM-partnere på Android (og dermed få adgang til bits tidligere end andre), så skal man underskrive en "kompatibilitets-aftale", der kræver at Googles apps som Youtube, GMail, Google Maps etc leveres med Android og får prominent placering på telefonen? En aftale, der kræver, at lokalitetstjenester skal leveres fra Google og ikke evt alternativer - selvom præcist dette er totalt usynligt for brugerne?

Seriøst - mange gange virker det som om, at en stor del af debattørerne herinde lider af en eller anden form for masse-induceret Stockholm-syndrom ifht Googles handlinger.

Palle Simonsen

Der var en sag fornylig om en bagdør i noget militær HW (firmware). Hvis man nu kunne få indført en lignende facilitet i f.eks. et meget brugt chipset, er det ikke nødvendigvis relevant, om compilere, kerne, kernemoduler, netværksstak, tekstbehandling etc. er checket, checket igen og selvkompileret etc. Se f.eks. http://www.slideshare.net/endrazine/defcon-hardware-backdooring-is-pract...

Lars Lundin

Den nævnte 'random number bug' mener jeg vedrører kode i SSL-projektet, som Debian distribuerer.

Problemet var at en person i Debian (fejlagtigt) konkluderede at han havde fundet en fejl i koden[*], og at han uden at orientere SSL-projektet rettede i Debians kopi af SSL-koden - en kode han tydeligtvis ikke forstod.

Så een af de mange konklusioner man kan drage af PHKs indlæg er at det er vigtigt at de forskellige Linux-distributioner strammer op på deres procedurer, så der er mindre risiko for at uautoriserede ænderinger når ud til brugerne.

Specifikt skal det sikres at man sender rapporter om fejl 'upstream', dvs. tilbage til de ansvarlige for koden, som herefter kan komme med en ordentlig vurdering af en patch.

[*] Koden læste med vilje uinitialiseret hukommelse, i et forsøg på at høste entropi til tilfældighedsgeneratoren. Uden entropi, ingen tilfældige primtal...

Palle Simonsen

Skulle du derimod forsøge at importere dokumenter eller eksportere dem, så oplever man problemer.

Prøvede for sjov at eksporterer nogle af mine Google Docs dokumenter (mest regneark og lidt præsentationer). Jeg fik ingen problemer med at eksporterer til xlsx eller pptx (Win7 + Office 2010).

Jeg importerer regelmæssigt dokumenter til Drive for at dele med andre (mest fra odf) jeg har endnu kke oplevet problemer den vej.

Og skal vi så være enige om, at holde os til emnet for blog'en ?

Jesper Lund Stocholm Blogger

Det er ikke bare open source i kode - det er open source i ånd.


Beklager - jeg glemte at svare på den mest vigtige linie i din kommentar.

Mener du virkeligt, at Google er et "OSS-firma i ånd"?

I mine øjne er et "OSS-firma" et firma, der enten leverer OSS-software (som danske Magenta, eksempelvis) eller hvis kerneprodukt er OSS-software (som fx RedHat). Google kommer ikke i nærheden af at være dækket af den definition (som jo naturligvis kan være forkert). Til gengæld deler Google forretningsmodel med en række andre firmaer, hvis kerneprodukter/forretning (som de tjener deres penge på) er closed source men hvor de hver især leverer en række værktøjer, der enten er tooling til den proprietære platform eller kanaliserer brugerne ind på deres platform. Eksempler på disse kunne være IBM og Microsoft. Fælles for dem alle er, at deres stack er proprietær og at de leverer en række OSS-værktøjer, hvis primære formål er at konsolidere og udbygge deres proprietære platform.

Det er naturligvis muligt, at jeg overser et eller andet - eller at Google normativt leverer flere OSS-værktøjer end IBM, men at kalde Google et "OSS-firma af ånd" synes for mig lidet foreneligt med virkeligheden.

:o)

Jacob Larsen

Læst i kontekst med resten af blogindlægget, så drejer det sig om installerbar og inspicerbar kode - derved er emnet vel begrænset til desk-/laptops og servere?

Hvis man tilføjer en nyhed som denne til kontekst, så er vi igen på desktop/server: http://www.version2.dk/artikel/microsoft-udleverer-angiveligt-saarbarhed...

Det er altså ikke PRISM og det der vi er i gang med, det er NSA/CIA priviligeret adgang til sikkerhedshuller i desktop/server software, og spekulationer i om de aktivt har fået lagt huller ind i open source software.

Desuden burde det også være tydeligt ud fra eksemplet med Debian random number bug.

Uffe Seerup

Den oprindelige historie (den hvor NSA havde uhindret adgang til alle dine emails, dokumenter, billeder, videoer) var baseret på spekulation over hvad et powerpoint beskrev. Snowden og (ellers ansete) journalister kiggede slides igennem og extrapolerede en kæmpe konspiration.

Som al extrapolation er der en risiko for fejlslutninger. Det blev The guardian og The Washington Post åbenbart hurtigt klar over (måske en lidt kildekritisk redaktør fik noget galt i halsen). Men i stedet for offentligt at gøre opmærksom på at flere af deres mest vidtrækkende konklusioner ikke kunne støttes af fakta, ændrede de deres artikler retrospektivt. Uden at fortælle det i artiklerne.

Se dokumentationen her (Ed Bott, ZDNet): http://www.zdnet.com/the-real-story-in-the-nsa-scandal-is-the-collapse-o...

Historien var åbenbart for god, så alle andre medier løb med den som om den var den evige sandhed.

Igen, læs Ed Bott, ZDNet: http://www.zdnet.com/how-did-mainstream-media-get-the-nsa-prism-story-so...

(her kan man også se den famøse powerpoint som er dokumentationen for at NSA har fri adgang til selskabernes servere).

PHK kunne heller ikke drømme om at foretage lidt kildekritik. Historien passer lidt for godt til hans verdensbillede. Så er fakta ligegyldigt.

Han er endda parat til at udvælge enkelte firmaer fordi billedet ville blive lidt mere udtværet hvis nogen af heltene blev nævnt sammen med den kun delvist sande historie.

Tag ikke fejl, der foregår overvågning og specielt som ikke-amerikanere er vi vist delvist retsløse.

Men PHK vil gerne gøre det til en historie om selskabers troværdighed. Historien er imidlertid at Google, Apple, Microsoft, Yahoo etc. kun har overdraget til NSA hvad der krævedes ifølge lovgivningen, og i hvert tilfælde kun efter en dommerkendelse. Hvis de ikke overdrog oplysningerne når der foreligger en lovligt udstedt dommerkendelse så ville de bryde loven.

Vi kan (nej, vi SKAL) være bekymrede for den amerikanske lovgivning, specielt når en hemmelig domstol udsteder hemmelige dommerkendelser, og specielt når lovgivningen gør udenlandske statsborgere retsløse. Det er imidlertid et problem med lovgivningen og ikke et troværdighedsproblem ifht individualle selskaber som PHK gerne vil gøre det til. Og kun de selskaber som PHK ikke kan lide.

Den powerpoint som var "dokumentation" for at Apple, Microsoft, Google, Yahoo, Skype mfl skulle have givet NSA uhindret adgang til deres servere var en uddannelsespræsentation til nye agenter. Det den viste var, at de nævnte selskaber havde tilsluttet sig et system hvor de online kunne aflevere materialet når selskabernes advokater havde gennemgået det i forhold til begæringen og dommerkendelsen. En postkasse. Uden denne postkasse skulle materialet (det er dybt fortroligt at det afleveres) overbringen personligt på fx. USB key, DVD eller CD. Med op til 20.000 (!) sådanne anmodninger om året kan man godt få den idé at begrænse personlige afleveringer.

Alle de anklagede selskaber har på det kraftigste afvist at NSA har adgang til deres servere. Anklagen er ikke understøttet af andet materiale end en enkelt powerpoint - som kræver en god del extrapolation og spekulation for at kunne læse det som adgang til servere.

Selskaberne kan ikke engang få lov at fortælle om hvad der virkelig foregår. Lovgivning igen.

Hvis det at være begrænset af lovgivning eller udlevere informationer på baggrund af (desværre) lovlige dommerkendelser er et spørgsmål om troværdighed, hvordan har det så noget med open source at gøre.

Trot vi at Red Hat (endnu et amerikansk selskab som skal følge amerikansk lovgivning) kan tilbyde cloud service uden at blive tvunget til at overlevere informationer på samme måde?

men... hvis vi kan plukke nogle enkelte selskaber ud - udelade "heltene" - og ignorere at anklagerne er spekulative og ikke underbyggede så kan vi måske få det til at se sådan ud.

Peter Rosenberg

og hvis jeg må tilføje et retorisk spm., i lyset af de aktuelle G8 forhandlinger om handelssamarbejdet (om IT Service Ydelser):
Hvilke regelsæt skal gælde for partnerne i handelssamarbejdet ?
Udfaldsrummet er:
1. De strammeste regler fra eet virkårligt land i samarbejdet
2. De svageste regler fra eet vilkårligt land i samarbejdet
3. Foreningsmængden af regelsættene fra alle lande i samarbejdet
Mit gæt er det bliver nr. 1, og lur mig om ikke det bliver enten USA eller Kina der løber af med "sejren".

Svend Bjerrum Jensen

/* 3c503.c: A shared-memory NS8390 ethernet driver for linux. /
/

Written 1992-94 by Donald Becker.

Copyright 1993 United States Government as represented by the  
Director, National Security Agency.  This software may be used and  
distributed according to the terms of the GNU General Public License,  
incorporated herein by reference.
Jesper Lund Stocholm Blogger

Hvordan kan du tillade dig at kritisere Google? Nu får du jo en masse down-votes, uagtet om folk har læst dit indlæg eller ej.


Version2 adskiller sig fra de andre fora jeg deltager på ved at min kongstanke er, at jo flere down-votes jeg får, jo mere kan jeg være sikker på, at jeg er inde på noget af det rigtige.

Det er nærmest en win/win-situation :o)

Helge Svendsen

Version2 adskiller sig fra de andre fora jeg deltager på ved at min kongstanke er, at jo flere down-votes jeg får, jo mere kan jeg være sikker på, at jeg er inde på noget af det rigtige.

Jesper, du får downvotes, fordi du i en småperfid, lidt hjælpeløs manér lykkedes med at kalde alle dem du "debatterer" med for "nyttige idioter", lægger ord i munden på folk og i øvrigt opfører dig mere eller mindre som en elefant i en porcelæns butik.

Du får ikke downvotes fordi du er "inde på noget af det rigtige", for det har du ikke en hujende skid mere styr på hvad er, end alle andre i denne tråd. Med mindre det "rigtige" er verden set 2 cm fra din næsetip.

Folk der kan lide fri software uden NSA inficering kan IKKE lide de ting, der kommer fra mørkets imperie i Redmond.

Lev med det! :-D

Jesper Lund Stocholm Blogger

i øvrigt opfører dig mere eller mindre som en elefant i en porcelæns butik.


Altså forstået på den måde, at jeg er uenig med parnasset herinde? Så må jeg jo erklære mig skyldig.

Folk der kan lide fri software uden NSA inficering kan IKKE lide de ting, der kommer fra mørkets imperie i Redmond.


Tillykke - du har lige bekræftet stort set alt jeg har skrevet i denne tråd.

Jeg kan til en hvis grad forstå, at man er skeptisk overfor software fra Redmond (omend jeg synes, at det indikerer en mental tilstand, der primært var relevant for 10 år siden). Det jeg ikke kan forstå er hvorfor man sluger alt hvad der kommer fra Mountain View som værende rent og purt - eller blot nægter højt at erkende, at det er 10 år siden man ædrueligt kunne erklære, at Google var "det rene alternativ til Microsoft".

Forestil dig, at amerikanske FTC indledte en undersøgelse af mulig misbrug af markedsdominans for Microsoft, at Microsoft herefter kastede næsten 150 millioner efter lobbyarbejde under undersøgelsen ... og at dommen endte med et blidt rap over nallerne.

Forestil dig hvilket ramaskrig det ville afstedkomme herinde og gæt selv på overskrifterne på de 2-3 harmdirrende blogindlæg PHK ville skrive om sagen.

Udskift nu "Microsoft" med "Google" herover og prøv at finde de negative kommentarer herinde omkring afgørelsen. Faktisk vil det være nemmere for dig at finde kommentarer, der hylder Google fordi de nu har FTCs ord for at de ikke har gjort noget (meget) forkert.

For Mao var det opium, der fik folket til at holde sig i ro - for Google er det de OSS-krummer, som de kaster efter de naive følgere, og det virker pisse godt for dem ... PHK og jer andre får jeres OSS-fix og falder til patten - alt imens de udnytter (eller "misbruger", om man vil) præcist disse OSS-krummer til at udbygge og forstærke deres markedsdominans.

Niels Didriksen

Version2 adskiller sig fra de andre fora jeg deltager på ved at min kongstanke er, at jo flere down-votes jeg får, jo mere kan jeg være sikker på, at jeg er inde på noget af det rigtige.


Eller osse får du downvotes fordi du starter med at skyde personligt på bloggeren, uden at forholde dig det mindste til blog-indlægget overhovedet, og fortsætter i den rille. Når jeg kigger tilbage har du fyldt talrige indlæg med en masse, der ikke har det fjerneste med problematikken i blogindlægget at gøre.

Uanset hvor meget du teoretisk har ret i hvad bloggeren plejer at gøre/sige/mene/tænke/antyde, så mener jeg det er berettet, at afkræve svar på hvorfor du bliver ved med den debat-derailing, der åbenlyst ikke tilfører noget ifht. emnet.
Var det ikke "NSA bagdøre i Open Source" vi kom fra?

Og for the record; Jeg forsvarer ABSOLUT INGEN af de virksomheder der er nævnt i debatten

James Avery

"i øvrigt opfører dig mere eller mindre som en elefant i en porcelæns butik."

Altså forstået på den måde, at jeg er uenig med parnasset herinde? Så må jeg jo erklære mig skyldig.

Åh, lad nu være. Blogindlægget handler jo ikke engang om Microsoft, så du behøver slet ikke gå til forsvar. Det handler om, hvordan man sikrer sig mod bagdøre og deslige i opensource, som kan realiseres gennem subtile bugs, "trusting trust"-style tricks, osv. Din sidetråd om, at PHK taler grimmere om Microsoft end Google, er uendelig ligegyldig i forhold til emnet. Har du i stedet nogle bud på, hvordan man kan bygge opensource systemer, som man kan stole på?

Helge Svendsen

for Google er det de OSS-krummer, som de kaster efter de naive følgere,

OSS krummer så som, Google App Engine, Android etc? For ikke at tale om, at de kan finde ud af, at bruge rigtig åbne fil og protokol standarder i modsætning til andre.

Hvis du synes de betragtninger bekræftiger dig i noget som helst, så er det dig, der har et problem.

Du har vel forhåbentlig ikke på noget tidspunkt været i tvivl om, at folk på PHKs blog helst så et endeligt på MS markeds dominans.

Hvorfor er du på den her blog? - "You are barking up the wrong tree" som man siger derovre.

Jesper Lund Stocholm Blogger

Når jeg kigger tilbage har du fyldt talrige indlæg med en masse, der ikke har det fjerneste med problematikken i blogindlægget at gøre.


Tjo - men det er jo den erhversrisiko man løber, når man er blogger på version2. Se blot hvordan det gik mig selv ovre på http://www.version2.dk/blog/mvp-hvad-er-der-i-det-51231, hvor debatten kom til at omhandle strippere og ikke hvad jeg egentlig havde tænkt mig.

å mener jeg det er berettet, at afkræve svar på hvorfor du bliver ved med den debat-derailing, der åbenlyst ikke tilfører noget ifht. emnet.


Nu har vi i de sidste par uger været udsat for et bombardement af artikler om PRISM og i disse har kvartetten "Microsoft, Facebook, Google og Apple" været nævnt utallige gange. Her vælger PHK så i sædvanlig vis at udelade at nævne Google ved navn. PHK kunne jo have valgt at lukke den tangent, der opstod i debatten ved blot at have tilføjet Google til listen, men vælger i stedet med et eller andet stråmandsargument omkring Android værende OSS samt at de ikke leverer software men kun tjenester (hvilket jo faktuelt er noget vås).

Jeg skal ikke kunne sige, hvilke interesser PHK plejer, når han konsekvent nægter at forholde sig til konsekvenserne af Googles gøren og laden og samtidig går massivt efter deres største konkurrenter ... men etellerandet lugter af fisk.

Dette er grunden til at jeg forfulgte sidesporet i denne debat.

Uffe Seerup

Det handler om, hvordan man sikrer sig mod bagdøre og deslige i opensource, som kan realiseres gennem subtile bugs, "trusting trust"-style tricks, osv. Din sidetråd om, at PHK taler grimmere om Microsoft end Google, er uendelig ligegyldig i forhold til emnet.

Hvis PHK vil undgå sådan en diskussion kunne han overveje at undlade at presse sine kæpheste ind og i stedet basere sin blog på kendte fakta.

Som det er nu er PHK løbet med på bølgen hvor IT selskaberne dæmoniseres og på den måde trækker opmærksomheden væk fra det egentlige problem, nemlig at det er den amerikanste lovgivning som overtræder grænser.

At PHK så vælger at udelade heltene Google, selvom de påståede "fakta" (en powerpoint slide) involverer Google lige så meget som de andre store IT selskaber er i sig selv en afsporing af debatten.

Der er absolut ingen pålidelige eller bekræftede fakta som tyder på at nogen af de store IT selskaber er gået længere end lige netop hvad de har været tvunget til. Tværtimod har de alle sammen kategorisk benægtet (også Google) at NSA skulle have uhindret adgang til deres servere. Der er også beviser for at de er forhindret i at fortælle hvordan situationen faktisk forholder sig (fx at PRISM er et postkasse system).

Der er derimod i debatten adskillige eksempler på hvordan journalister og bloggere vælger at se bort fra dette og bygge videre på den historie der passer dem bedst. For nogle handler det om klik og annonceindtægter, for andre handler det om deres kæpheste. Jeg er ret sikker på at PHK ikke er i den første kategori. Hans inkonsistens ifht Google samt hans bekvemte udlægning af "troværdighed" får mig til at mistænke at han benytter sagen til at ride sine kæpheste.

Uanset hvad, så fjerner det fokus fra den egentlige skandale: At lovgivning drevet af terrorfrygt nu har fået et omfang så det er svært at operere som virksomhed og at vi i udlandet skal tænke os godt om når vi f.eks. placerer offentlige data hos et amerikansk selskab.

Den andel del af skandalen (som Ed Bott beskriver) er hvordan journalisme - selv i store velanskrevne medier - har prostitueret sig selv. Ingen uafhængig bekræftelse (den oprindelige historie var baseret alene på Snowden og et powerpoint slide) og ingen anerkendelse af at historien bliver ændret. Medier er begyndt at se stort på grundlæggende journalistiske principper i deres iver efter at være de første med historierne og få klikkene og annonceindtægterne.

Open source eller closed source er fuldstændigt ligegyldigt når det er lovgivningen og ikke koden i skyen som er problemet. Troværdigheden af de store IT virksomheder (motivet for PHKs blog post) er ikke kompromitteret af pålidelige fakta - kun i nogle journalister og bloggeres fantasi "lyver" de om deres medvirken. Det kan godt være at de taler usandt - der er bare ikke noget i den foreliggende dokumentation som godtgør det.

Poul-Henning Kamp Blogger

Som det er nu er PHK løbet med på bølgen hvor IT selskaberne dæmoniseres og på den måde trækker opmærksomheden væk fra det egentlige problem, nemlig at det er den amerikanste lovgivning som overtræder grænser.

Det har du totalt misforstået.

Uanset hvad USAnerne skrev i deres lovgivning, ville vi ikke være beskyttet imod NSA og vennerne: Vi er ikke "US persons".

Og mht de store IT-firmaer: Den profilering Facebook og Google laver er langt mere detaljeret og intimiderende, end noget NSA nogensinde kunne finde på at lave.

NSA's prioritet er at reducere deres datamængde så meget som muligt så de ikke bliver distraheret af støjen.

FaceBook's prioritet er at samle alt støjen, så de kan sælge svaret til ethvert spørgsmål nogen er villige til at betale for, helt ned til "Hvor mange mennesker på Bornholm interesserer sig for havenisser ?"

Googles prioritet er lidt anderledes, de sælger mig bekendt ikke viden fra deres database, de bruger den "kun" til at "optimere"/manipulere deres søgeresultater og reklamevisninger.

Og der er ingen lovgivning der giver dig nogen chance for at undslå dig, US person eller ej.

Så det er faktisk præcist de store IT selskaber vi skal fokusere mest på: Det er dem der udgør den største trussel imod privatlivets fred.

Jesper Lund Stocholm Blogger

For ikke at tale om, at de kan finde ud af, at bruge rigtig åbne fil og protokol standarder i modsætning til andre.


Som i ODF hvis understøttelse Google ikke har gidet implementere i Android? Eller som i Google Docs, hvor dokumenter gemmes i et lukket, udokumenteret format, så man ikke har en chance for indledningsvist at vurdere, hvilke funktionaliteter man skal undgå?

Og mener du virkeligt, at hvis bare man anvender en "god" protokolstandard, så er alt fryd og gammen? Eller tænker du på GMail, hvor Google udstiller verdens mest brugte webmail-system via *DAV-protokollerne, men for sine egne applikationer bruger man en egen, lukkede og rigere protokol? Hvilke fordele kunne man tænke sig Google kunne se i at udstille "fattige" protokoller til 3.-parts programmer imens deres egne (hvor de kunne ønske at overføre eksempelvis lokationsdata sammen med mail-data etc) anvender en rigere og mere optimeret protokol?

Du har vel forhåbentlig ikke på noget tidspunkt været i tvivl om, at folk på PHKs blog helst så et endeligt på MS markeds dominans.


Næeh - og det er helt fint - men man kan vel med rimelighed forvente en smule afbalancerethed på et site "for professionelle"? Det er jo ikke "IT for lallende amatører", vel?

Og i forhold til dominans, så havde/har Microsofts dominans jo konsekvenser af økonomisk art - med en så stor spiller på markedet for kontorpakker og operativsystemer er priserne globalt højere end de burde være. For Googles vedkommende er deres dominans todelt - én er på online reklamemarkedet, hvor deres stærke stilling gør de globale priser højere end de burde være. En anden dominans er på "personlig information". Jeg tror ikke, at der er firmaer i verden, der ved mere om os (generelt set) end Google gør - og alle andre end de, der har drukket Googles eliksir er ved at indse dette. Googles to dominanser hænger uløseligt sammen og koblet udgør de mine øjne en langt farligere dominans end Microsofts, der kun - i gåseøjne - drejede sig om penge.

Derfor fatter jeg simpelthen ikke, at man ønsker at udskifte Microsofts dominans med Googles.

Poul-Henning Kamp Blogger

Jesper,

Jeg gav dig et præcist og udtømmende svar på hvorfor jeg skrev som jeg skrev.

At du opfatter det som "et stråmandsargument" og fortsætter med at insinuere at jeg har en eller anden skummel ting kørende med Google klæder din intelligens og dine egene motiver rigtig dårligt.

Når jeg har et større ben i siden på Microsoft end Google er det fordi jeg i tidens løb er blevet tvunget til at købe Microsofts skod-operativsystemer den ene gang efter den anden, på grund af en med overlæg indført forretningsstrategi fra deres side.

Den dag idag kan jeg stadig ikke købe en laptop uden at blive tvunget til at købe noget software fra Microsoft (eller Apple) som jeg ikke ønsker og ikke vil bruge.

Jeg har aldrig været udsat for en lignende "mafia-metode" fra Googles side: Der er intet software fra Google jeg ikke kan slippe for.

Det eneste Google software jeg kører er min HTC telefon og den kan jeg slippe af med, til konkurrencedygtige priser, i et antal forskellige butikker her i Slagelse.

Mit eneste ben med Google er at deres recruiters er godt tungnemme: Jeg slap ikke før jeg fik en google.ping til at gå ned i deres Human Resources og i meget klare vendinger lod dem forstå at jeg var pisse-træt af deres emails og telefonopkald og at jeg nok skulle ringe hvis jeg nogen sinde blev interesseret i et job hos dem.

Så grunden til at jeg ikke disser Google nær så meget som Microsoft, er at de ikke har pisset mig lige så meget af.

Og kan vi SÅ komme tilbage til emnet ?

Martin Bøgelund

I mine øjne er et "OSS-firma" et firma, der enten leverer OSS-software (som danske Magenta, eksempelvis) eller hvis kerneprodukt er OSS-software (som fx RedHat). Google kommer ikke i nærheden af at være dækket af den definition (som jo naturligvis kan være forkert).

Drop det Jesper - du er blandt oplyste mennesker.

Hvis du ikke ved at Google leverer/understøtter leveringen af open source software, vil jeg foreslå du holder op med at bruge bing som søgemaskine. Jeg kan simpelthen ikke se en anden grund til at dette faktum skulle være gået din næse forbi.

Jesper Lund Stocholm Blogger

fortsætter med at insinuere at jeg har en eller anden skummel ting kørende med Google klæder din intelligens og dine egene motiver rigtig dårligt.


Gud - her gik jeg og troede, at det lissom var sådan vi to kommunikerede. Jeg har ikke tal på, hvor mange gange i debatterne om dokumentformater, at du har skrevet til mig, at man ikke kunne få mig til at skifte mening, "da min løn afhang af det". Jeg er da glad for, at du trods alt i dag har indset hvor idiotisk dine udtalelser dengang var.

Det klæder dig.

Den dag idag kan jeg stadig ikke købe en laptop uden at blive tvunget til at købe noget software fra Microsoft (eller Apple) som jeg ikke ønsker og ikke vil bruge.


Det er jo løgn, PHK - og det ved du udmærket godt.

Jeg har aldrig været udsat for en lignende "mafia-metode" fra Googles side: Der er intet software fra Google jeg ikke kan slippe for.


Jamen du er da også en dygtig mand, der kan alt muligt med at roote og andet sjov. Men den faktuelle forskel på Google og Microsoft her er jo, at der ikke findes nogen dokumenter, der viser os, at fx Lenovo i dag tvinges af Microsoft til at levere deres maskiner med Windows på, hvis de vil være Windows-OEM'er. Derimod findes der offentlige dokumenter (kompatibilitetsreglerne), der viser, at Google tvinger HTC, SONY, SAMSUNG etc til at levere deres telefoner med Googles software på, hvis de vil være Google Android OEM'er.

Det er helt korrekt, at du ifht Microsoft i nogle tilfælde skal have pungen op af lommen for at betale for fx Windows, selvom du ikke skulle ønske det. Ifht Google sker betalingen derimod løbende i form af afgivelse af oplysninger om dig (med mindre man tror på, at Googles tjenester er "gratis" - som i øl). Og angående "mafiametoder", så er Google jo helt ligeglade med, at der sidder nogle nørder rundt omkring og kan roote for at slippe for Googles software eller anvende en anden mailklient. Hvis de kan tvinger OEM'erne til at levere deres apps på prominente pladser i deres Android-telefoner til masserne, så bruger masserne dem og så griner Google hele vejen hen til banken. Det er stadig mafia-metoder - uanset om du som IT-pro kan roote eller ej.

Så grunden til at jeg ikke disser Google nær så meget som Microsoft, er at de ikke har pisset mig lige så meget af.


Jøsses - jeg troede helt ærligt, at du var et større menneske end dette ... men du er åbenbart blot en bitter mand.

Og kan vi SÅ komme tilbage til emnet ?


PHK, så længe du kommer med dine halv-kvædede viser og løgne, så er det lidt svært at lade dem stå uimodsagte.

Jesper Lund Stocholm Blogger

Hvis du ikke ved at Google leverer/understøtter leveringen af open source software, vil jeg foreslå du holder op med at bruge bing som søgemaskine. Jeg kan simpelthen ikke se en anden grund til at dette faktum skulle være gået din næse forbi.


Men hvis kriteriet for at være "OSS-firma" blot er, at man leverer OSS-software og bidrager til OSS-software, så falder IBM jo også ind i den kategori.

Det synes jeg er mystisk.

Eller er der en grænse for antallet af linier OSS-kode man skal lave, før man er "god nok"? Hvad er denne, i givet fald?

Martin Bøgelund

Men hvis kriteriet for at være "OSS-firma" blot er, at man leverer OSS-software og bidrager til OSS-software, så falder IBM jo også ind i den kategori.

Som sagt taler jeg ikke om at være et OSS firma, men om at være open source firma i ånden, og ikke bare i kode.

Jeg ved godt at du (og nu også Thomas) prøver at forvanske dette udsagn - fair nok, vi kender jeres varme følelser for især MS.

Så lad mig lige ridse lidt mere op for jer hvad der udelukker eksempelvis MS fra at blive kaldt OSS i ånden.
- Halloween documents
- GPL er ligesom kræft
- Lad mig se Microsofts udgivelse af Windows kildekode - eller et hvilket som helst andet kerneprodukt - under en open source licens.

Jeg ved godt at I aldrig vil indrømme at Google er tættere på open source ånden end MS og Apple - fint nok.

Jeg synes bare det er spild af tid at i stiller op til maskerade, og gør som om I kan overbevises.

Google har fra dag 1 anvendt open source og givet tilbage til community.

Apple og MS har fra dag 1 forsøgt at holde "kassen lukket", og køre en licensbetalingsmodel for software med lukket kode. Kun da de blev presset udefra af markedet, så de sig nødsaget til at give open source en (kold) omfavnelse.

Det er bare ikke helhjertet - og det kan jeres eksempler på små alibiudgivelser af open source fra MS og Apple ikke ændre på.

Benjamin Andersen
Venligst Slet Min Bruger

Som sagt taler jeg ikke om at være et OSS firma, men om at være open source firma i ånden, og ikke bare i kode.

Jeg ved godt at du (og nu også Thomas) prøver at forvanske dette udsagn - fair nok, vi kender jeres varme følelser for især MS.

Hvis vi nu skipper dine sædvanlige sølle personangreb, så er det vel tilladt at være uenig i din definition af "open-source firma" uden at skulle have skudt alt muligt i skoene.

Jeg ved godt at I aldrig vil indrømme at Google er tættere på open source ånden end MS og Apple - fint nok.

Du skal lade være med at lave antagelser, for du ved, som sædvanlig, ikke hvad du snakker om. :)

Du kunne jo prøve at spørge istedet for at udstille dine uintelligente fordomme.

Thomas Løcke

Kan du ikke forklare mig, hvordan software fra Apple bliver tvunget ned i halsen på dig?

Jeg var utvivlsomt lidt for hurtig til at smide Apple i samme skuffe som Microsoft.

Jeg æder mine ord i mig og indrømmer at jeg faktisk aldrig har fået tvunget et æble ned i halsen.

/me klapper sin MacBook Air og undskylder

Anders Johansen

@Martin Bøgelund

Kan du så med den logik vise mig hvor jeg finder kildekoden til Googles profileringsmaskine? Uanset hvordan du vender og drejer det er det PRODUKTET hos Google, og alt andet de laver drejer om det...

Så med din egen logik er de heller ikke OSS, da de ikke leverer kildekoden til deres kerneprodukt...

Anders Johansen

@Benjamin Andersen

Kan du så ikke lige bevise din påstand? For hvis det forholder sig sådan, hvordan kan det så være at det er muligt f.eks. at købe Android tablets hos Lenovo, maskiner med Ubuntu fra DELL og maskiner fra HP med SUSE? De burde jo være røget ud af økosystemet hos MS med lysets hastighed såfremt din påstand er korrekt...

kurt christensen

Den dag idag kan jeg stadig ikke købe en laptop uden at blive tvunget til at købe noget software fra Microsoft (eller Apple) som jeg ikke ønsker og ikke vil bruge.

Det er jo løgn, PHK - og det ved du udmærket godt.

Hvor er den butik hvor jeg kan vælge frit hvilken maskine jeg vil have uden et styresystem på, ja jeg ved god at noget tillempet findet, men virkeligheden er at enten køber du en Windows eller en Applemaskine, til nød kan du købe en androidtablet.

Martin Bøgelund

Hvis vi nu skipper dine sædvanlige sølle personangreb, så er det vel tilladt at være uenig i din definition af "open-source firma" uden at skulle have skudt alt muligt i skoene.

Thomas, jeg påpeger bare at du som vanligt fuldstændig får fordrejet hvad jeg faktuelt har skrevet.

Hvis du ikke kan tåle at høre for de dumme ting du gang på gang gør i debatten, vil jeg foreslå at du stopper med at gøre disse dumme ting.

Istedet for at kalde det "personangreb" hver gang dine misforståelser bliver påpeget.

"Get the facts!"

Der er ikke spor af open source ånd i MS. Deres historik beviser det.

Anders Johansen
Martin Bøgelund

Så med din egen logik er de heller ikke OSS, da de ikke leverer kildekoden til deres kerneprodukt...

God pointe.

Men tænk over hvem der kan have glæde af at de frigiver deres kildekode.

Når du har tænkt færdig, vil du næppe have en liste der er længere end dette:
- Googles konkurrenter

Hvem har så gavn af at Google frigiver kildekoden til Android, Chrome, Chrome OS, og deres contributions til MySQL og Linux kernen, deres afholdelse af Google summer of code, osv.

På denne liste - hvor du nok også kan finde Googles konkurrenter - vil du finde
- Google
- Googles kunder

Googles leverancer til de almindelige slutbrugere falder i 2 kategorier
- Free (as in beer)
- Free (as in freedom)

Så ja - Google deler alt det de kan dele, og alligevel lykkes det dem at drive en forretning med stærk indtjening.

Så din pointe med at de ikke deler deres profiling engine er valid nok. På den anden side er det en misforståelse, at bare fordi man er et open source firma i ånden, så er man også idiot. Og det er præcis hvad Google ville være, hvis de forærede den engine til konkurrenterne, og derved tog livet af sig selv.

Venligst Slet Min Bruger

Thomas, jeg påpeger bare at du som vanligt fuldstændig får fordrejet hvad jeg faktuelt har skrevet.

Hvis du ikke kan tåle at høre for de dumme ting du gang på gang gør i debatten, vil jeg foreslå at du stopper med at gøre disse dumme ting.

Jeg elsker at du fortsætter dine latterlige personangreb, fordi man er uenig med dig. Godt man ikke arbejder sammen med dig, til hverdag.

At du har én definition af et "rigtigt OS-firma" er fint. Nogle er uenige, og tillader man sig at være uenig med den alvidende Hr. Bøgelund er det åbenbart tilladt for selvsamme Hr. Bøgelund at åbne op for posen med personangrebene.

Du er en helt igennem trist person.

Der er ikke spor af open source ånd i MS. Deres historik beviser det.

Who cares? Det er kun hvis man følger din forskruede definition.

Anders Johansen

Så ja - Google deler alt det de kan dele, og alligevel lykkes det dem at drive en forretning med stærk indtjening.

Så din pointe med at de ikke deler deres profiling engine er valid nok. På den anden side er det en misforståelse, at bare fordi man er et open source firma i ånden, så er man også idiot. Og det er præcis hvad Google ville være, hvis de forærede den engine til konkurrenterne, og derved tog livet af sig selv.

Så nu er vi fremme ved at de alligevel godt kan være OSS selvom de ikke deler deres kerneprodukt, hvis det sker af hensyn til at deres konkurrenter vil få fordele af det? ;)

Så kan vi anvende samme logik overfor Microsoft. De er også OSS, da de leverer til OSS communityet, men de gør det ikke for deres kerneforretning fordi det kan skade dem mere end det gavner. Leverer Microsoft eks. kildekoden til Windows vil det være muligt for folk at bedre få Linux til at afvikle Windows programmer hvilket vil være skadeligt for Microsofts forretning... Kan du selv se hvor logikken skrider hen?

Enten er man OSS med sine kerneprodukter eller også er man ikke... Der er ikke nogen gradbøjninger heri...

Derudover tjener de penge fordi alle de produkter de laver støtter op om deres kerneprodukt, nemlig profileringen... Så at de laver Android, G+ og hvad de ellers finder på tjener det kun til at hente data hjem til deres profileringsapparat...

Præcis som når Microsoft frigiver noget under OSS, så tjener det også til at støtte op om deres kerneprodukter...

kurt christensen
Niels Didriksen

Tjo - men det er jo den erhversrisiko man løber, når man er blogger på version2. Se blot hvordan det gik mig selv ovre på http://www.version2.dk/blog/mvp-hvad-er-der-i-det-51231, hvor debatten kom til at omhandle strippere og ikke hvad jeg egentlig havde tænkt mig.

Så derfor er det ok at rende over på nabobloggen og rykke skinner op?? Der var faktisk engang hvor jeg delvist kunne forbinde dig med sober "leading by example" ifrb. m. dine indlæg, men det er ved at være længe siden.

I lyset af, at du jo udemærket kender bloggeren bag dette indlæg foreslår jeg til næste gang, at du ikke starter(*) med åbenlys flamebait og efterfølgende benzintilførsel, og blot istedet poster din holdning. I dette tilfælde til; om og hvorfor Yahoo/Google har sin berettigelse på suspekt-listen.

Og næste gang du bliver ked af at have bragt referencer til strippere, så kunne du måske med fordel skele til hvordan har for vane at PHK stoppe afsporede debatter. Ikke altid kønt og nogle bliver mopsede, men så slipper du for at udpensle din stripper-distancering mere end een gang. Meget praktisk for dem der gerne vil diskutere emnet.


*Ved godt det var Bo der kastede første sten, men holder dig til væsentlige højere standarder. Og det var en kompliment.

Palle Simonsen

@Lars - ja lad os komme tilbage på sporet.

Da git bliver brug til kerne hacking i Linux og meget andet Open Source må en kompromittering her være en god forudsætning for at snige et par fixes ind, som den Lars nævner.

F.eks.: http://www.cvedetails.com/cve/CVE-2013-0308/

Det reddes så i de projekter, der har en god kvalitetskontrol.

Ellers er der social engineering teknikker kombineret med et par usikre links og en package manager der åbner og installerer alt det som den bliver fodret med af standard browsereren - det er jo så bekvemt.

Og ... hvor mange har altid kørt md5 check på alt det sw de installerer?

Christian P. Broe Petersen

erimod findes der offentlige dokumenter (kompatibilitetsreglerne), der viser, at Google tvinger HTC, SONY, SAMSUNG etc til at levere deres telefoner med Googles software på, hvis de vil være Google Android OEM'er.

Øh så vidt jeg ved, så laver både HTC og Samsung også windows phones + at Samsung har gang i noget af deres eget. Jeg er ikke lige klar over om Sony gør, men har du et link til noget af det der dokumentation, hvor google tvinger dem?

Man kan jo så undre sig over, hvorfor Nokia (med en tidl. MS gut i spidsen) i den grad valgte at skyde sig selv i foden, ved udelukkende at satse på Windows phones. Men det er selvfølgelig bare gisninger.

Jesper Lund Stocholm Blogger

Det forsvar for Microsoft


PHK, nu har jeg gennemlæst de 18! kommentarer jeg har skrevet i denne tråd, og jeg kan simpelthen ikke se, hvor jeg forsvarer Microsoft. Er du sikker på, at det ikke blot er stemmerne i dit bitre sind, der driver gæk med dig?

Jeg kan i øvrigt informere om, at antallet af downvotes er på 287 ... godt arbejde, alle mand!

:o)

Jesper Lund Stocholm Blogger

Jeg ved godt at du (og nu også Thomas) prøver at forvanske dette udsagn - fair nok,


Jeg prøver sådan set ikke at forvanske noget - jeg forsøger blot at forstå, hvordan din definition er sammensat

vi kender jeres varme følelser for især MS.

Martin, du er én af de mere interessante at snakke med herinde - normalt fordi dine argumenter ofte er skarpe som en nyslebet kniv, men det er under din værdighed at bruge ovenstående som argument.

Så lad mig lige ridse lidt mere op for jer hvad der udelukker eksempelvis MS fra at blive kaldt OSS i ånden.
- Halloween documents
- GPL er ligesom kræft

Synes du ikke, at det er lidt tyndt at skulle retfærdiggøre noget med eksempler, der er 10-15 år gamle?

  • Lad mig se Microsofts udgivelse af Windows kildekode - eller et hvilket som helst andet kerneprodukt - under en open source licens.

Thomas havde jo fat i dig omkring dette - men jeg går ud fra, at du nu er klar over, at det enten er et dårligt argument - eller at du er lidt hyklerisk?

Jeg ved godt at I aldrig vil indrømme at Google er tættere på open source ånden end MS og Apple - fint nok.

Det har jeg sådan set ikke noget imod at indrømme - jeg tror, at du har ret i, at Google har en længerevarende tradition for at lave OSS-software end Microsoft.

Google har fra dag 1 anvendt open source og givet tilbage til community.

Jeps - og jeg er helt med på, at det har Microsoft ikke ... men de er kommet efter det i løbet af de sidste 5 års tid.

Det er bare ikke helhjertet - og det kan jeres eksempler på små alibiudgivelser af open source fra MS og Apple ikke ændre på.

Jeg tror helt ærligt, at du skal have din information opdateret. Hvis du følger en smule med, så er Microsoft et helt andet sted i dag end de var, da de sammenlignede OSS med kræft. De udgiver også OSS-software (typisk under Apache-licensen som Google), de leverer OSS som en del af kernen i deres komponenter (git, eksempelvis) og bidrager aktivt til Linux-kernen (så vidt jeg husker, så har de folk ,der endda har commit-rettigheder), til git etc. De har skrottet udviklingsfladen til deres ypperste cash-cow (Office) fra at være deres egne lorte VBA/OBA/.Net API til nu at være Javascript og HTML5. En stor del af udviklingsværktøjerne omkring Visual Studio er i dag Open Source og hele deres MVC-platform til Windows er Open Source.

Man kan selvfølgelig altid spørge, om det nu er "nok" ... og nogle vil naturligvis mene, at det ikke er tilfældet. Men at snakke om Microsoft og OSS på basis af 10 år gamle udtalelser bidrager absolut ikke til noget ... udover at kunne klappe hinanden på skuldrene imens man med fingrene i ørene messer "LALALALALALALALALA ..."

Jesper Lund Stocholm Blogger

Så derfor er det ok at rende over på nabobloggen og rykke skinner op??


Nej - sådan virker min hjerne ikke :o)

I lyset af, at du jo udemærket kender bloggeren bag dette indlæg foreslår jeg til næste gang, at du ikke starter(*) med åbenlys flamebait og efterfølgende benzintilførsel, og blot istedet poster din holdning. I dette tilfælde til; om og hvorfor Yahoo/Google har sin berettigelse på suspekt-listen.


Det er taget ad notam - tak ... men min pointe var sådan set ikke at diskutere om Google skulle på listen - pointen var at udstille PHKs hykleri. Det synes jeg sådan set er lykkedes meget godt. At det så kom til at handle om, hvorvidt Google stadig er et "Do no evil"-firma er jo hvad der kan ske.

Jesper Lund Stocholm Blogger

Øh så vidt jeg ved, så laver både HTC og Samsung også windows phones + at Samsung har gang i noget af deres eget. Jeg er ikke lige klar over om Sony gør, men har du et link til noget af det der dokumentation, hvor google tvinger dem?


Bare lige til opklaring: jeg siger ikke, at Google kræver at alle telefoner fra nævnte firmaer skal have Android på - det kan man jo bare gå ned i Elgiganten for at se ville være tåbeligt. Jeg siger, at for at blive Google Android OEM-partner skal man underskrive en kompatibilitets-aftale, der kræver installation af Googles apps på de Android-telefoner de laver.

Jesper Lund Stocholm Blogger

Og præcist hvor mange Microsoft OEM aftaler er det så lige du har læst ?

Nå, Ingen ? Funny that...

Kors hvor er dit Microsoft-PR-spin trættende at høre på Jesper...


Det er et veldokumenteret faktum, at det kan være en udfordring at købe en bærbar uden Windows på - det har dine egne indlæg jo dokumenteret ganske fint.

I mine øjne kan dette skyldes én af to ting:

  1. Microsoft tvinger OEM-fabrikanterne til det eller
  2. Det er en bedre forretning for fx Lenovo at lave deres maskiner med Windows på end uden.

Mig bekendt findes der ingen dokumenter, der understøtter hverken den ene eller den anden teori.

Det er også et veldokumenteret faktum, at Google tvinger deres Android OEM-partnere til at levere deres Android-telefoner med Googles services.

Dette er dokumenteret i deres kompatibilitetsaftale med OEM'erne.

Så situationen uden dokumentation beviser, at Microsoft udøver mafiametoder - alt imens situationen med dokumentation beviser, at ... øeh ... Google er ren som nyfalden sne?

Som det blev sagt i en anden tråd:

"Så længe du er paranoid (eller vred) nok, så er det åbenbart bevis i sig selv".

Christian Bierlich

Et godt sted at starte, er altid at compilere GCC med LLVM og LLVM med GCC

Hvis det var mig der havde fået lejlighed til at smide en selvpropagerende bagdør i gcc, tror jeg nok jeg ville sørge for at den kunne propagere mellem alle de større compilere.

Jesper Lund Stocholm Blogger

Har du i stedet nogle bud på, hvordan man kan bygge opensource systemer, som man kan stole på?


Jeg synes reelt, at problemet har to facetter, nemlig

  1. Hvordan sikrer vi os, at der ikke kommer snavs ind i kildekoden og
  2. Hvordan sikrer vi os, at de binære distributioner af OSS rent faktisk modsvarer den tilgængelige kildekode

Selv i processer/organisationer, hvor man har formaliseret kodereview slipper snavs igennem review, så jeg tror, at det vil være meget svært at lave et system, der er vandtæt. For OSS-software er én af fordelene jo, at der typisk er mange flere øjne, der følger koden ... men man skal på én eller anden måde sikre sig, at det er de rigtige øjne, der kigger.

For punkt to er det typisk ikke noget problem for software fundet på sourceforge eller lignende, men i de tilfælde, hvor der er vandtætte skotter imellem OSS-kildekoden og virksomhedernes binære distributioner (som det er tilfældet for Microsoft og Googles produkter), så er det jo reelt umuligt at vide, om der er tilføjet bagdøre i de binære filer. Man kunne selvfølgelig bede dem linke til binære distributioner som andre har kompileret, men dette har nok ikke nogen gang på jord - desværre.

Summa summarum - jeg tror desværre, at det vil være nemmere at finde løsningen på cirklens kvadratur.

Jesper Lund Stocholm Blogger

Så fordi Google gør kontrakten tilgængelig


For lige at være helt skarp, så er det tilsyneladende ikke Googles "kompatibilitets-aftale" - det er deres "Android App Distribution agreement", der er det slående punkt og disse dokumenter er ikke offentlige - ganske som Microsofts OEM-aftaler ikke er det. Dokumenterne har kun set dagens lys, da de indgår i Skyhooks retssag imod Google.

Så Google forsøger altså også at holde deres OEM-aftaler hemmelige ... hold da op, hva' PHK?

Martin Slot

Undskyld mig Jesper Lund Stocholm, men har du overhovedet læst de to links som Poul linker til? Eller bare blogindlægget? For det du nævner, er netop det som PHK snakker om. Jeg synes det er dårlig skik, og generelt irriterende, at du maler side op og side ned, for tilsidst at komme med din løsning på problemet, som faktisk er en indirekte kopi af samme tankegang som PHK forsøger at levere, og har leveret i meget mere detaljeret grad.

Jesper Lund Stocholm Blogger

Jeg synes det er dårlig skik, og generelt irriterende, at du maler side op og side ned, for tilsidst at komme med din løsning på problemet, som faktisk er en indirekte kopi af samme tankegang som PHK forsøger at levere, og har leveret i meget mere detaljeret grad.


Jeg svarer da netop på afslutningen af PHKs indlæg. Jeg tror ikke på den med "meget skeptiske kodereviews" - i hvert fald ikke i større projekter. Enten skal antallet af folk i toppen af "commit-hierarkiet" skæres drastisk ned (med deraf følgende øget arbejdsmængde for de tilbageværende) eller også skal vi bare blive "bedre" til det. Jeg er ret skeptisk overfor nogen af løsningerne. Jeg tror desværre, at man må erkende, at integriteten af en kodebase falder i takt med at størrelsen af projektet stiger og antallet af bidragere stiger. At løse det problem er uhyggeligt svært - endsige umuligt.

Jeg synes i øvrigt ikke, at det er et principielt problem. Vi har jo i forvejen erkendt, at vi ikke (teoretisk) kan spå om køretiden på noget software (sådan lidt populært sagt), men det afholder os jo ikke fra at arbejde med at udvikle ny software.

Angående de binære distributioner, så synes den også svær at løse. Eneste løsning jeg kan se er at tvinge softwareproducenterne af OSS-software til at linke til binære distributioner som andre har kompileret, men den er sgu svær at få noget brugbart ud af. For hvad gør vi ved software som ******, hvor selve kernen i programmet er OSS men hvor selve det tilgængelige produkt ikke er det?

Hvis vi snakker om projekter hvor brugerne er vante til at hente kildekoden selv og kompilere det, så er der jo ikke den store udfordring i det, men taler vi som her i kontekst af konsummarkedet og muligheden for NSA-bagdøre, så er virkeligheden jo en lidt anden.

Morten Andersen

Jeg anerkender fuldt pointen i scenariet med "selvpropagerende" malware i compilere osv. men helt ærligt, er det ikke meget teoretisk?

Tænk hvor avanceret en sådan mekanisme skulle være. Ikke blot skulle den kunne patche sourcekoden til "sig selv" (dette aspekt er til at have med at gøre), men den skulle også tage højde for kodeændringer i fremtidige udgaver af sourcen, og kompenserer herfor under patchingen. Og at få skjult sin eksistens i den binære kode så den ikke lige dukker op fordi nogen åbner den i en editor. For ikke at tale om under debugging, hvor det må være særdeles svært at skjule der er noget i gøre, hvis en compiler-udvikler netop debugger de patchede sektioner (hvor han måske selv er i gang med at rette). Desuden skal patchen være 100% fejlfri, da et enkelt crash som følge af patchen vil medføre en større undersøgelse af hvorfor det fejler, hvilket i sidste ende - når ingen kan finde en forklaring i sourcen - vil føre til en granskning af den binære compiler, hvorved at nummeret vil blive opdaget.
En sådan patch ville være nødt til at være, om ikke kunstigt intelligent, så i hvert fald et datalogisk mestervæk indenfor semantik, programanalyse m.m. af hidtil usete dimensioner.

Jeg anser det som helt teoretisk NSA skulle benytte den slags på en systematisk skala.

Jeg tror derimod godt det ville kunne lade sig gøre at "plante" en sådan compiler på et udvalgt system, hvor compilerversioner m.m. er kendte af angriberne - og kun systemer som ikke bruges af compiler-udviklere, men hvor compileren udelukkende anvendes til almindelig kompilering/maintenance af selve systemet. Men selv her er der en overhængende fare for at patchen bryder sammen ved senere opdatering af compileren, så patchen ville være nødt til at være stærkt konservativ og slå sig selv fra i forbindelse med kodeændringer m.m. Derfor ville metodne kun kunne bruges på et udvalgt system i en kort periode.

Så anser jeg CPU-bagdøre som langt mere kraftfulde. Jeg har flere idéer til hvordan en sådan CPU-bagdør på enkelt vis kunne give næsten universel adgang til alt uanset operativsystem, angrebsvektor m.m. og samtidigt ville være umulig at opdage.

Lars Lundin

Jeg anser det som helt teoretisk NSA skulle benytte den slags på en systematisk skala.

Jeg tror derimod godt det ville kunne lade sig gøre at "plante" en sådan compiler på et udvalgt system, hvor compilerversioner m.m. er kendte af angriberne

Jeg synes ikke de to synspunkter hænger helt sammen.

På en standard Linux-distribution har man jo netop et veldefineret sæt af software, herunder en given compiler - og en specifik version af en Linux-distribution vil ikke se væsentlige ændringer i versionerne på de inkluderede pakker, istedet laves der en ny version af Linux-distributionen, typisk med jævne mellemrum, som på den måde sørger for at nye versioner af de inkluderede pakker kommer ud til brugerne.

Så hvis en ondsindet organisation har kompromitteret en central vedligeholder på en given Linux-distribution, så mener jeg at den netop har gode muligheder for at distribuere en trojaner ifbm. compileringen af distributionens pakker.

Så nogle gode spørgsmål til en given (Linux-)distribution kunne være:
1) Kan en enkelt ondsindet/udnyttet vedligeholder kompromittere (Linux-)distributionen ?
2) Hvordan er spredningen af nationaliteter blandt (Linux-)distributionens vedligeholdere?

Thomas Elsgaard

Ok, så med open source har vi en teoretisk mulighed for at kontrollere kildekoden, men hvad med BIOS'en? Der er selvfølgelig Coreboot der er open source, men HW understøttelsen er begrænset.

Bør vi ikke være ligeså mindst bekymret for mangel på åbenhed omkring BIOS/EFI.

Thomas

Morten Andersen

@Lars, det du beskriver har jo ikke noget direkte at gøre med "Reflections on Trusting Trust", som handler om at du ikke kan stole på at kildeteksten du læser bliver oversat rigtigt. Heller ikke selvom du selv oversætter compileren (med en binær compiler du ikke har kontrol over). Det du beskriver er mere den generelle problemstilling at en ond maintainer kan bundle binære pakker der hedder, f.eks. "OpenSSL", med i en distribution. Selvfølgelig kunne han også bundle en ond compiler med men det er samme sag.

Jeg opfattede PHK's reference til "Reflections on Trusting Trust" (og det er muligt det var min ekstrapolation) som en mulighed for at de compilere vi alle render og bruger (og dermed højst sandsynligt de udgaver du pt. har installeret) på et eller andet tidspunkt er blevet kompromiteret af f.eks. NSA på denne selvpropagerende måde, så selv hvis vi får fat i den rigtige, ukompromiterede kildekode, så får vi stadigvæk en kompromiteret compiler ud når vi kompilerer. Og det er det scenarie jeg argumenterer imod i mit indlæg, da jeg tror det ret hurtigt vil blive opdaget.

Men jeg tror at teknikken kan være velegnet til at angribe visse systemer hvor man ved de selv compilerer al software (herunder det sikkerhedsrelaterede), det er måske endda deres egen kode, men at de ikke er specielt specialiserede i compilerteknologi og således ikke selv vil rette i compileren eller iøvrigt analysere denne nærmere. Men jeg finder ikke teknikken kan bruges på "masserne" på linie med f.eks. PRISM som diskussionen tog udgansgpunkt i.

Log ind eller Opret konto for at kommentere