Microsoft og Apple har mistet enhver tilbageværende kredibilitet som leverandører af ukompromiterede softwareløsninger og jeg ser ingen grund til at antage at Adobe og Oracle ikke også bør stilles i samme lys.
Det er formodentlig den bedste markedsåbning der er sket for FOSS i nyere tid, men det kommer til at koste hårdt arbejde at holde vores sti ren.
Hvis vi antager at NSA's ledelse har en smule omtanke og økonomisk sans, sidder der et dusin amerikanere med meget høj security clearance og stopper bagdøre ind i Open Source projekter.
Hvis Snowden havde været ansat som systemadministrator i et skalkeskjul og sendt en række gode patches, havde det næppe taget ham mere end et års tid at placere den første kodesvaghed i et eller andet open source projekt.
Et godt eksempel på hvorledes det kunne se ud: Debians random number bug.
Ind til nu har vi antaget at den bommert var gennemgribende inkompetence, fordi vi er nogle søde og rare mennesker der ikke forfalder til konspirationsteorier.
I lyset af NSAs aktiviteter og GCHQ's aflytning af deltagere i G20 mødet, er det vist på tide at blive lidt mere nøjeregnende og noget mere kritiske ?
Vi kommer heller ikke uden om "Reflections on trusting trust", jeg er helt sikker på at NSA kan se perspektivet i selvpropagerende bagdøre.
Et godt sted at starte, er altid at compilere GCC med LLVM og LLVM med GCC.
Vi kommer også til at tale om binære distributioner hvor kernen ikke kan reproduceres uden videre.
Men først og fremmest handler det om meget skeptiske code-reviews.
phk
- emailE-mail
- linkKopier link

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
Fortsæt din læsning
- Sortér efter chevron_right
- Trådet debat
Ok, så med open source har vi en teoretisk mulighed for at kontrollere kildekoden, men hvad med BIOS'en? Der er selvfølgelig Coreboot der er open source, men HW understøttelsen er begrænset.
Bør vi ikke være ligeså mindst bekymret for mangel på åbenhed omkring BIOS/EFI.
Thomas
- more_vert
- insert_linkKopier link
Tak til blogføreren for et interessant blogindlæg om, hvorledes Open Source-miljøet må intensivere kontrollen, så der ikke smutter bagdøre ind.
- more_vert
- insert_linkKopier link
Hvis det var mig der havde fået lejlighed til at smide en selvpropagerende bagdør i gcc, tror jeg nok jeg ville sørge for at den kunne propagere mellem alle de større compilere.Et godt sted at starte, er altid at compilere GCC med LLVM og LLVM med GCC
- more_vert
- insert_linkKopier link
Jeg anerkender fuldt pointen i scenariet med "selvpropagerende" malware i compilere osv. men helt ærligt, er det ikke meget teoretisk?
Tænk hvor avanceret en sådan mekanisme skulle være. Ikke blot skulle den kunne patche sourcekoden til "sig selv" (dette aspekt er til at have med at gøre), men den skulle også tage højde for kodeændringer i fremtidige udgaver af sourcen, og kompenserer herfor under patchingen. Og at få skjult sin eksistens i den binære kode så den ikke lige dukker op fordi nogen åbner den i en editor. For ikke at tale om under debugging, hvor det må være særdeles svært at skjule der er noget i gøre, hvis en compiler-udvikler netop debugger de patchede sektioner (hvor han måske selv er i gang med at rette). Desuden skal patchen være 100% fejlfri, da et enkelt crash som følge af patchen vil medføre en større undersøgelse af hvorfor det fejler, hvilket i sidste ende - når ingen kan finde en forklaring i sourcen - vil føre til en granskning af den binære compiler, hvorved at nummeret vil blive opdaget. En sådan patch ville være nødt til at være, om ikke kunstigt intelligent, så i hvert fald et datalogisk mestervæk indenfor semantik, programanalyse m.m. af hidtil usete dimensioner.
Jeg anser det som helt teoretisk NSA skulle benytte den slags på en systematisk skala.
Jeg tror derimod godt det ville kunne lade sig gøre at "plante" en sådan compiler på et udvalgt system, hvor compilerversioner m.m. er kendte af angriberne - og kun systemer som ikke bruges af compiler-udviklere, men hvor compileren udelukkende anvendes til almindelig kompilering/maintenance af selve systemet. Men selv her er der en overhængende fare for at patchen bryder sammen ved senere opdatering af compileren, så patchen ville være nødt til at være stærkt konservativ og slå sig selv fra i forbindelse med kodeændringer m.m. Derfor ville metodne kun kunne bruges på et udvalgt system i en kort periode.
Så anser jeg CPU-bagdøre som langt mere kraftfulde. Jeg har flere idéer til hvordan en sådan CPU-bagdør på enkelt vis kunne give næsten universel adgang til alt uanset operativsystem, angrebsvektor m.m. og samtidigt ville være umulig at opdage.
- more_vert
- insert_linkKopier link
Jeg anser det som helt teoretisk NSA skulle benytte den slags på en systematisk skala.</p>
<p>Jeg tror derimod godt det ville kunne lade sig gøre at "plante" en sådan compiler på et udvalgt system, hvor compilerversioner m.m. er kendte af angriberne
Jeg synes ikke de to synspunkter hænger helt sammen.
På en standard Linux-distribution har man jo netop et veldefineret sæt af software, herunder en given compiler - og en specifik version af en Linux-distribution vil ikke se væsentlige ændringer i versionerne på de inkluderede pakker, istedet laves der en ny version af Linux-distributionen, typisk med jævne mellemrum, som på den måde sørger for at nye versioner af de inkluderede pakker kommer ud til brugerne.
Så hvis en ondsindet organisation har kompromitteret en central vedligeholder på en given Linux-distribution, så mener jeg at den netop har gode muligheder for at distribuere en trojaner ifbm. compileringen af distributionens pakker.
Så nogle gode spørgsmål til en given (Linux-)distribution kunne være:
- Kan en enkelt ondsindet/udnyttet vedligeholder kompromittere (Linux-)distributionen ?
- Hvordan er spredningen af nationaliteter blandt (Linux-)distributionens vedligeholdere?
- more_vert
- insert_linkKopier link
@Lars, det du beskriver har jo ikke noget direkte at gøre med "Reflections on Trusting Trust", som handler om at du ikke kan stole på at kildeteksten du læser bliver oversat rigtigt. Heller ikke selvom du selv oversætter compileren (med en binær compiler du ikke har kontrol over). Det du beskriver er mere den generelle problemstilling at en ond maintainer kan bundle binære pakker der hedder, f.eks. "OpenSSL", med i en distribution. Selvfølgelig kunne han også bundle en ond compiler med men det er samme sag.
Jeg opfattede PHK's reference til "Reflections on Trusting Trust" (og det er muligt det var min ekstrapolation) som en mulighed for at de compilere vi alle render og bruger (og dermed højst sandsynligt de udgaver du pt. har installeret) på et eller andet tidspunkt er blevet kompromiteret af f.eks. NSA på denne selvpropagerende måde, så selv hvis vi får fat i den rigtige, ukompromiterede kildekode, så får vi stadigvæk en kompromiteret compiler ud når vi kompilerer. Og det er det scenarie jeg argumenterer imod i mit indlæg, da jeg tror det ret hurtigt vil blive opdaget.
Men jeg tror at teknikken kan være velegnet til at angribe visse systemer hvor man ved de selv compilerer al software (herunder det sikkerhedsrelaterede), det er måske endda deres egen kode, men at de ikke er specielt specialiserede i compilerteknologi og således ikke selv vil rette i compileren eller iøvrigt analysere denne nærmere. Men jeg finder ikke teknikken kan bruges på "masserne" på linie med f.eks. PRISM som diskussionen tog udgansgpunkt i.
- more_vert
- insert_linkKopier link
@Lars - ja lad os komme tilbage på sporet.
Da git bliver brug til kerne hacking i Linux og meget andet Open Source må en kompromittering her være en god forudsætning for at snige et par fixes ind, som den Lars nævner.
F.eks.: http://www.cvedetails.com/cve/CVE-2013-0308/
Det reddes så i de projekter, der har en god kvalitetskontrol.
Ellers er der social engineering teknikker kombineret med et par usikre links og en package manager der åbner og installerer alt det som den bliver fodret med af standard browsereren - det er jo så bekvemt.
Og ... hvor mange har altid kørt md5 check på alt det sw de installerer?
- more_vert
- insert_linkKopier link
Safari's engine er den mest udbredte browser engine. Det er Apple's OSS version af en anden OSS engine.
Der er masser af Apple OSS, se bl.a. her:http://www.apple.com/opensource/
Det er ikke alt der er OSS; men store dele er. Og så kan du bare køre OSS software på deres OSS kernel.
- more_vert
- insert_linkKopier link
Jeg bruger Ubuntu, men jeg har ingen chance for at gennemskue om der er bagdøre deri, jeg må stole på når andre siger det hele er åben kode og nogle ville opdage hvis der var snavs gemt.
- more_vert
- insert_linkKopier link
/* 3c503.c: A shared-memory NS8390 ethernet driver for linux. / /Written 1992-94 by Donald Becker.
Copyright 1993 United States Government as represented by the
Director, National Security Agency. This software may be used and
distributed according to the terms of the GNU General Public License,
incorporated herein by reference.
- more_vert
- insert_linkKopier link
Den oprindelige historie (den hvor NSA havde uhindret adgang til alle dine emails, dokumenter, billeder, videoer) var baseret på spekulation over hvad et powerpoint beskrev. Snowden og (ellers ansete) journalister kiggede slides igennem og extrapolerede en kæmpe konspiration.
Som al extrapolation er der en risiko for fejlslutninger. Det blev The guardian og The Washington Post åbenbart hurtigt klar over (måske en lidt kildekritisk redaktør fik noget galt i halsen). Men i stedet for offentligt at gøre opmærksom på at flere af deres mest vidtrækkende konklusioner ikke kunne støttes af fakta, ændrede de deres artikler retrospektivt. Uden at fortælle det i artiklerne.
Se dokumentationen her (Ed Bott, ZDNet): http://www.zdnet.com/the-real-story-in-the-nsa-scandal-is-the-collapse-of-journalism-7000016570/
Historien var åbenbart for god, så alle andre medier løb med den som om den var den evige sandhed.
Igen, læs Ed Bott, ZDNet: http://www.zdnet.com/how-did-mainstream-media-get-the-nsa-prism-story-so-hopelessly-wrong-7000016822/
(her kan man også se den famøse powerpoint som er dokumentationen for at NSA har fri adgang til selskabernes servere).
PHK kunne heller ikke drømme om at foretage lidt kildekritik. Historien passer lidt for godt til hans verdensbillede. Så er fakta ligegyldigt.
Han er endda parat til at udvælge enkelte firmaer fordi billedet ville blive lidt mere udtværet hvis nogen af heltene blev nævnt sammen med den kun delvist sande historie.
Tag ikke fejl, der foregår overvågning og specielt som ikke-amerikanere er vi vist delvist retsløse.
Men PHK vil gerne gøre det til en historie om selskabers troværdighed. Historien er imidlertid at Google, Apple, Microsoft, Yahoo etc. kun har overdraget til NSA hvad der krævedes ifølge lovgivningen, og i hvert tilfælde kun efter en dommerkendelse. Hvis de ikke overdrog oplysningerne når der foreligger en lovligt udstedt dommerkendelse så ville de bryde loven.
Vi kan (nej, vi SKAL) være bekymrede for den amerikanske lovgivning, specielt når en hemmelig domstol udsteder hemmelige dommerkendelser, og specielt når lovgivningen gør udenlandske statsborgere retsløse. Det er imidlertid et problem med lovgivningen og ikke et troværdighedsproblem ifht individualle selskaber som PHK gerne vil gøre det til. Og kun de selskaber som PHK ikke kan lide.
Den powerpoint som var "dokumentation" for at Apple, Microsoft, Google, Yahoo, Skype mfl skulle have givet NSA uhindret adgang til deres servere var en uddannelsespræsentation til nye agenter. Det den viste var, at de nævnte selskaber havde tilsluttet sig et system hvor de online kunne aflevere materialet når selskabernes advokater havde gennemgået det i forhold til begæringen og dommerkendelsen. En postkasse. Uden denne postkasse skulle materialet (det er dybt fortroligt at det afleveres) overbringen personligt på fx. USB key, DVD eller CD. Med op til 20.000 (!) sådanne anmodninger om året kan man godt få den idé at begrænse personlige afleveringer.
Alle de anklagede selskaber har på det kraftigste afvist at NSA har adgang til deres servere. Anklagen er ikke understøttet af andet materiale end en enkelt powerpoint - som kræver en god del extrapolation og spekulation for at kunne læse det som adgang til servere.
Selskaberne kan ikke engang få lov at fortælle om hvad der virkelig foregår. Lovgivning igen.
Hvis det at være begrænset af lovgivning eller udlevere informationer på baggrund af (desværre) lovlige dommerkendelser er et spørgsmål om troværdighed, hvordan har det så noget med open source at gøre.
Trot vi at Red Hat (endnu et amerikansk selskab som skal følge amerikansk lovgivning) kan tilbyde cloud service uden at blive tvunget til at overlevere informationer på samme måde?
men... hvis vi kan plukke nogle enkelte selskaber ud - udelade "heltene" - og ignorere at anklagerne er spekulative og ikke underbyggede så kan vi måske få det til at se sådan ud.
- more_vert
- insert_linkKopier link
Jeg tror såmænd nok, at PHK udøver kildekritik - problemet er blot, at den starter og stopper på Groklaw, og så bliver fakta nemlig ... ja, ligegyldigt.PHK kunne heller ikke drømme om at foretage lidt kildekritik. Historien passer lidt for godt til hans verdensbillede. Så er fakta ligegyldigt.
- more_vert
- insert_linkKopier link
og hvis jeg må tilføje et retorisk spm., i lyset af de aktuelle G8 forhandlinger om handelssamarbejdet (om IT Service Ydelser): Hvilke regelsæt skal gælde for partnerne i handelssamarbejdet ? Udfaldsrummet er:
- De strammeste regler fra eet virkårligt land i samarbejdet
- De svageste regler fra eet vilkårligt land i samarbejdet
- Foreningsmængden af regelsættene fra alle lande i samarbejdet Mit gæt er det bliver nr. 1, og lur mig om ikke det bliver enten USA eller Kina der løber af med "sejren".
- more_vert
- insert_linkKopier link
Den nævnte 'random number bug' mener jeg vedrører kode i SSL-projektet, som Debian distribuerer.
Problemet var at en person i Debian (fejlagtigt) konkluderede at han havde fundet en fejl i koden[*], og at han uden at orientere SSL-projektet rettede i Debians kopi af SSL-koden - en kode han tydeligtvis ikke forstod.
Så een af de mange konklusioner man kan drage af PHKs indlæg er at det er vigtigt at de forskellige Linux-distributioner strammer op på deres procedurer, så der er mindre risiko for at uautoriserede ænderinger når ud til brugerne.
Specifikt skal det sikres at man sender rapporter om fejl 'upstream', dvs. tilbage til de ansvarlige for koden, som herefter kan komme med en ordentlig vurdering af en patch.
[*] Koden læste med vilje uinitialiseret hukommelse, i et forsøg på at høste entropi til tilfældighedsgeneratoren. Uden entropi, ingen tilfældige primtal...
- more_vert
- insert_linkKopier link
"I have received a mail regarding the early development of the OpenBSD IPSEC stack. It is alleged that some ex-developers (and the company they worked for) accepted US government money to put backdoors into our network stack, in particular the IPSEC stack. Around 2000-2001."http://marc.info/?l=openbsd-tech&m=129236621626462&w=2
- more_vert
- insert_linkKopier link
da US Export Regulativerne blev ændret for export af SW baseret på stærke (dengang) nøgler. Se denne oversigt fra en publiceret artikel fra Nov/Dec 1997):http://encryption_policies.tripod.com/us/baker_060100_regulation.htm
- more_vert
- insert_linkKopier link
Der var en sag fornylig om en bagdør i noget militær HW (firmware). Hvis man nu kunne få indført en lignende facilitet i f.eks. et meget brugt chipset, er det ikke nødvendigvis relevant, om compilere, kerne, kernemoduler, netværksstak, tekstbehandling etc. er checket, checket igen og selvkompileret etc. Se f.eks. http://www.slideshare.net/endrazine/defcon-hardware-backdooring-is-practical
- more_vert
- insert_linkKopier link
Jeg synes ikke at have læst om at der har været tale om nogen som helst bagdøre i noget som helst software i denne PRISM sag, men netop om at NSA kan få oplysninger fra diverse service leverandører, hvis de ønsker.
Microsoft og Apple er jo ikke involveret pga. deres OS, men pga. af selvsamme servicetyper som Google, Yahoo og Facebook leverer.
- more_vert
- insert_linkKopier link
Ind til nu har vi antaget at den bommert var gennemgribende inkompetence, fordi vi er nogle søde og rare mennesker der ikke forfalder til konspirationsteorier.
.. sagde manden med sølvpapirshjelmen :-)
- more_vert
- insert_linkKopier link
.. sagde manden med sølvpapirshjelmen :-)
Efter Prism er det blevet lidt yt at beskylde andre for at gå med sølvpapirshatte. De havde jo sådan set ret ...
- more_vert
- insert_linkKopier link
Mon der ikke allerede arbejdes på at det heller ikke er noget problem for videreførelsen af "funktionaliteten"? Internettet er jo trods alt en kriminaliseres krigszone og dermed supermagtsrelevant. ;-)Et godt sted at starte, er altid at compilere GCC med LLVM og LLVM med GCC
- more_vert
- insert_linkKopier link
Alt det her er meget bekymrende, og mon ikke at de her fæle folk allerede har betalt visse skruppelløse ingeniører 30 sølvstykker for at forråde menneskeheden? Spørgsmålet må vel være i hvor stort omfang, og hvilke projeter der kan tænkes ramt?
Et andet spørgsmål er også om vi mennesker overhovedet kan formodes at lave solide nok reviews på kode, eller om der skal andre værktøjer til? SPARK?
Så vidt jeg ved så er det netop den slags sikkerhed og tillid OpenBSD folkene går meget op i. Er der nogen der ved noget om hvordan deres proces for håndtering af patches/kode er? Kan der læres noget?
Fsv. debatten om hvem der skal på listen over de værste "syndere", så føler jeg personligt at det er ret let for mig at skille mig af med Google/Yahoo/Facebook, hvorimod Microsoft/Apple er en helt anden sag. De tre første leverer en service jeg kan forlade når jeg vil. De to sidste bliver i forskelligt omfang tvunget ned i halsen på mig.
- more_vert
- insert_linkKopier link
Kan du ikke forklare mig, hvordan software fra Apple bliver tvunget ned i halsen på dig?hvorimod Microsoft/Apple er en helt anden sag. (...) De (...) bliver i forskelligt omfang tvunget ned i halsen på mig.
- more_vert
- insert_linkKopier link
Kan du ikke forklare mig, hvordan software fra Apple bliver tvunget ned i halsen på dig?
Jeg var utvivlsomt lidt for hurtig til at smide Apple i samme skuffe som Microsoft.
Jeg æder mine ord i mig og indrømmer at jeg faktisk aldrig har fået tvunget et æble ned i halsen.
/me klapper sin MacBook Air og undskylder
- more_vert
- insert_linkKopier link
...til at behøve bagdøre til DK, de kan bare købe "Hoveddøren" aka. NETS.
- more_vert
- insert_linkKopier link
Open source giver i det mindste mulighed for at reviewe kode – om det så i praksis vil stoppe NSA er usikkert. Jeg synes dog det er langt mere skræmmende at forestille sig bagdøre i Vmware, Hypervisor mm
- more_vert
- insert_linkKopier link
Betyder i den her sammenhæng knap så meget, det er jo ikke fordi der bliver sat bagdøre ind med store kommentarer, det som PHK hentyder er jo tydeligvis at der bliver lavet "brølere" med vilje, af folk ansatte af staten til ene og samme, og når lønnen er iorden så er der uden tvivl arbejde for folk med lav moral. Sorry for pointing out the obvious :-P
- more_vert
- insert_linkKopier link
Det er formentligt usundt for Demokratiet, det skidt USA gør for at bekæmpe "terror", men det er jo ingenting ved siden af et land der ikke er begrænset af Demokrati.
- more_vert
- insert_linkKopier link
Ikke alle kineserne er ved at dø af grin over det, nogle af dem der gerne så Kina ændre sig er skuffede
Artikel af Ai Weiwei: http://www.information.dk/463861
- more_vert
- insert_linkKopier link
Synes du ikke der er flere som bør omfattes af din miskredibilitetsdom? Jeg vil da mene at både Google og Yahoo i hvert fald også bør nævnes.
- more_vert
- insert_linkKopier link
Det passer bedst ind i PHKs vedensbillede, hvis Microsoft og Apple nævnes ved navn og Google kun "nævnes imellem linierne".Synes du ikke der er flere som bør omfattes af din miskredibilitetsdom? Jeg vil da mene at både Google og Yahoo i hvert fald også bør nævnes.
PHK har jo en skåltale om, hvor afbalanceret han er i sin kritik og at han også tidligere har kritiseret "alle" - talen finder bare sjældent anvendelse i virkeligheden.
- more_vert
- insert_linkKopier link
Det passer bedst ind i PHKs vedensbillede, hvis Microsoft og Apple nævnes ved navn og Google kun "nævnes imellem linierne".
At jeg ikke nævnte Google ved navn i denne sammenhæng skyldes tre ting.
Android er Open Source (med visse relevante fodnoter)
Telefonproducenter og teleudbydere er langt større sikkerhedstrusler i Android miljøet.
Der findes alternativer til at bruge en smartphone, fra fastnet til Doro's pensionisttelefoner men der findes intet reelt alternativ til at bruge en PC eller laptop med Microsoft eller Apple software, (jvf. kompatibilitets-lister fra banker og offentlig digitalisering).
- more_vert
- insert_linkKopier link
PS: Det eneste rigtige svar på min kritik af dig er i øvrigtAt jeg ikke nævnte Google ved navn i denne sammenhæng skyldes tre ting.
"OK - good point ... jeg retter indlægget og tilføjer Google (og Facebook og Yahoo)"
Skulle du ikke kunne finde på andre intelligente ting at svare, skal du ikke være urolig - jeg er sikker på, at nogle af de andre nyttige idioter nok skal enten forsvare dig eller angribe mig.
:o)
- more_vert
- insert_linkKopier link
"OK - good point ... jeg retter indlægget og tilføjer Google (og Facebook og Yahoo)"
FaceBook og Yahoo er ikke program, men service leverandører.
- more_vert
- insert_linkKopier link
Så fordi Facebook, Yahoo eller Google (som du behændigt udelod igen) leverer software, der ikke er indpakket i folie men som en serviceydelse, så giver det dem mindre mulighed endsige incitament til at kompromittere dine data?FaceBook og Yahoo er ikke program, men service leverandører.
Det argument skal man vist have bundet hele flasken med Kool-Aid for at kunne finde hoved eller hale i.
Og selvom helvede frøs til og dit argument gav mening - hvad så med den software Google leverer? Hvad med Chrome, Picasa, Android (Nexus) ... ?
Men PHK, jeg har ingen forventning om, at jeg kan få dig til at skifte mening - som du ved er det umuligt at få en mand til at skifte mening, hvis hans indtægt er afhængig af det.
- more_vert
- insert_linkKopier link
Jeg mener at der i tidligere blogindlæg er blevet advarfet generelt om SAAS, cloud og lign.Så fordi Facebook, Yahoo eller Google (som du behændigt udelod igen) leverer software, der ikke er indpakket i folie men som en serviceydelse, så giver det dem mindre mulighed endsige incitament til at kompromittere dine data?
Og der er også blevet advaret om smartphones incl Android
Her drejer det sig om alene om den traditionelle PC, og jeg mener at reduceres blogindlægget til en 'one-liner', så er resultatet:
Det er ikke utænkeligt, at NSA også har fået bagdøre ind i Linux, xBSD eller essentielle applikationer på den platform
Og det da vist stærke sager fra PHK
- more_vert
- insert_linkKopier link
Øh?Her drejer det sig om alene om den traditionelle PC
PHK skriver:
Microsoft og Apple har mistet enhver tilbageværende kredibilitet som leverandører af ukompromiterede softwareløsninger
Hvordan dette skal begrænse debatten til kun at omhandle desktop-PC'er har jeg urimeligt svært ved at se.
- more_vert
- insert_linkKopier link
Læst i kontekst med resten af blogindlægget, så drejer det sig om installerbar og inspicerbar kode - derved er emnet vel begrænset til desk-/laptops og servere?Hvordan dette skal begrænse debatten til kun at omhandle desktop-PC'er har jeg urimeligt svært ved at se.
- more_vert
- insert_linkKopier link
Læst i kontekst med resten af blogindlægget, så drejer det sig om installerbar og inspicerbar kode - derved er emnet vel begrænset til desk-/laptops og servere?
Hvis man tilføjer en nyhed som denne til kontekst, så er vi igen på desktop/server: http://www.version2.dk/artikel/microsoft-udleverer-angiveligt-saarbarheder-foer-de-bliver-udbedret-52551
Det er altså ikke PRISM og det der vi er i gang med, det er NSA/CIA priviligeret adgang til sikkerhedshuller i desktop/server software, og spekulationer i om de aktivt har fået lagt huller ind i open source software.
Desuden burde det også være tydeligt ud fra eksemplet med Debian random number bug.
- more_vert
- insert_linkKopier link
Det er ikke utænkeligt, at NSA også har fået bagdøre ind i Linux, xBSD eller essentielle applikationer på den platform</p>
<p>Og det da vist stærke sager fra PHK
Og tak til PHK for at have kønskirtler nok til ikke bare at se sandheden i øjnene, men også at turde fortælle den.
Uden erkendelse af usikkerheden, kan man jo ikke udvise rettidig omhu.
Ikke at man behøver at udvise rettidig omhu, man kan også vælge at lade være, men så tager man jo chancen med vidt åbne øjne.
Uden erkendelsen, vælger man så bare at opføre sig naivt. Og det nytter ikke at råbe "Datatilsyn" når det først er gået galt.
For datatilsynet har travlt med at stå foroverbøjet med bagen blottet ind mod et eller andet katastrofeministerie.
K
- more_vert
- insert_linkKopier link
Jesper, hvorfor prøver du konsekvent at afspore debatten ?
- more_vert
- insert_linkKopier link
Hans ihærdighed får mig i hvert fald til at spekulere over hvilke motiver, der kan ligge bag.Jesper, hvorfor prøver du konsekvent at afspore debatten ?
Der var ellers lagt op til en interessant debat.
- more_vert
- insert_linkKopier link
Der var ellers lagt op til en interessant debat.
Vi behøver da ikke slutte endnu.
For eksempel:
Hvad kan (Linux-)distributioner gøre for at ondsindede patches ikke sniger sig med ud til brugerne ?
Og så var der det her uelegante forsøg:
http://lkml.indiana.edu/hypermail/linux/kernel/0311.0/0621.html
- more_vert
- insert_linkKopier link
Fantastisk, PHK ... gør hvad du gør bedst - undlad at forholde dig til kritikken.Jesper, hvorfor prøver du konsekvent at afspore debatten ?
Desværre havde jeg ikke forventet mere ... men vi gør jo hver især hvad vi kan for at sove roligt om natten.
- more_vert
- insert_linkKopier link
Ok - men ret mig endeligt, hvis jeg tager fejl - men kan du kigge i kildekoden og deraf konkludere noget omkring eksistensen af eventuelle bagdøre i de binære OEM-udgaver af Android? Samme spørgsmål gør sig gældende for Chrome og de binære installationsfiler som Google leverer?Android er Open Source (med visse relevante fodnoter)
Det er klart, at det er rart at kunne kigge i kildekoden, men du skrev jo selv "leverandør af ukompromiteret softwareløsninger". Mig bekendt leverer Google Chrome som binære bits samt også binære bits af Android til deres OEM-partnere.
Og eftersom Google primært er leverandør af services, der leveres fra skyen - hvordan kan du kigge i noget som helst OSS-kildekode og udtale dig om eksistensen af bagdøre i deres sky-løsninger?
- more_vert
- insert_linkKopier link
Samme spørgsmål gør sig gældende for Chrome og de binære installationsfiler som Google leverer?
Der findes realistiske open-source alternativer til Chrome, som er meget langt fra at have den status af defakto monopol som Apple og Microsoft har på operativsystemer.
- more_vert
- insert_linkKopier link
Ok - men ret mig endeligt, hvis jeg tager fejl
Jesper, du tager ikke fejl. Jeg undrede mig også over Googles fravær på listen - formelt set hører Google til på den, og du remser nogle gode grunde op for det.
Google er bare et andet selskab end Apple og MS.
Du kan nemlig slippe for Google.
Alt hvad Google leverer kan du også få andre steder - enten i form af open source pendenter til deres binære udgivelser (Chrome - Chromium, osv) eller tilsvarende services.
Google tvinger sig selv til at være skarpe mht at indgå i et økosystem med sine brugere. For hvis de er til ulempe for brugerne, vil de ikke blive opfattet som en nødvendig del af brugerens økosystem, men som en parasit man bare gerne vil slippe for.
I stærk kontrast hertil står især Microsoft, som meget længe har ageret som en parasit, man ikke kan slippe af med, selv hvis man er villig til at betale en høj pris.
Hvem tror du der er størst sandsynlighed for vil behandle dig svinsk? Ham der kidnapper dig og holder dig indespærret i sit hus, eller ham der giver dig nøglen og siger du kan gå hvis du ikke bryder dig om ham?
Det er ikke bare open source i kode - det er open source i ånd.
- more_vert
- insert_linkKopier link
Beklager - jeg glemte at svare på den mest vigtige linie i din kommentar.Det er ikke bare open source i kode - det er open source i ånd.
Mener du virkeligt, at Google er et "OSS-firma i ånd"?
I mine øjne er et "OSS-firma" et firma, der enten leverer OSS-software (som danske Magenta, eksempelvis) eller hvis kerneprodukt er OSS-software (som fx RedHat). Google kommer ikke i nærheden af at være dækket af den definition (som jo naturligvis kan være forkert). Til gengæld deler Google forretningsmodel med en række andre firmaer, hvis kerneprodukter/forretning (som de tjener deres penge på) er closed source men hvor de hver især leverer en række værktøjer, der enten er tooling til den proprietære platform eller kanaliserer brugerne ind på deres platform. Eksempler på disse kunne være IBM og Microsoft. Fælles for dem alle er, at deres stack er proprietær og at de leverer en række OSS-værktøjer, hvis primære formål er at konsolidere og udbygge deres proprietære platform.
Det er naturligvis muligt, at jeg overser et eller andet - eller at Google normativt leverer flere OSS-værktøjer end IBM, men at kalde Google et "OSS-firma af ånd" synes for mig lidet foreneligt med virkeligheden.
:o)
- more_vert
- insert_linkKopier link
I mine øjne er et "OSS-firma" et firma, der enten leverer OSS-software (som danske Magenta, eksempelvis) eller hvis kerneprodukt er OSS-software (som fx RedHat). Google kommer ikke i nærheden af at være dækket af den definition (som jo naturligvis kan være forkert).
Drop det Jesper - du er blandt oplyste mennesker.
Hvis du ikke ved at Google leverer/understøtter leveringen af open source software, vil jeg foreslå du holder op med at bruge bing som søgemaskine. Jeg kan simpelthen ikke se en anden grund til at dette faktum skulle være gået din næse forbi.
- more_vert
- insert_linkKopier link
Men hvis kriteriet for at være "OSS-firma" blot er, at man leverer OSS-software og bidrager til OSS-software, så falder IBM jo også ind i den kategori.Hvis du ikke ved at Google leverer/understøtter leveringen af open source software, vil jeg foreslå du holder op med at bruge bing som søgemaskine. Jeg kan simpelthen ikke se en anden grund til at dette faktum skulle være gået din næse forbi.
Det synes jeg er mystisk.
Eller er der en grænse for antallet af linier OSS-kode man skal lave, før man er "god nok"? Hvad er denne, i givet fald?
- more_vert
- insert_linkKopier link
Men hvis kriteriet for at være "OSS-firma" blot er, at man leverer OSS-software og bidrager til OSS-software, så falder IBM jo også ind i den kategori.
Som sagt taler jeg ikke om at være et OSS firma, men om at være open source firma i ånden, og ikke bare i kode.
Jeg ved godt at du (og nu også Thomas) prøver at forvanske dette udsagn - fair nok, vi kender jeres varme følelser for især MS.
Så lad mig lige ridse lidt mere op for jer hvad der udelukker eksempelvis MS fra at blive kaldt OSS i ånden.
- Halloween documents
- GPL er ligesom kræft
- Lad mig se Microsofts udgivelse af Windows kildekode - eller et hvilket som helst andet kerneprodukt - under en open source licens.
Jeg ved godt at I aldrig vil indrømme at Google er tættere på open source ånden end MS og Apple - fint nok.
Jeg synes bare det er spild af tid at i stiller op til maskerade, og gør som om I kan overbevises.
Google har fra dag 1 anvendt open source og givet tilbage til community.
Apple og MS har fra dag 1 forsøgt at holde "kassen lukket", og køre en licensbetalingsmodel for software med lukket kode. Kun da de blev presset udefra af markedet, så de sig nødsaget til at give open source en (kold) omfavnelse.
Det er bare ikke helhjertet - og det kan jeres eksempler på små alibiudgivelser af open source fra MS og Apple ikke ændre på.
- more_vert
- insert_linkKopier link
Jeg prøver sådan set ikke at forvanske noget - jeg forsøger blot at forstå, hvordan din definition er sammensatJeg ved godt at du (og nu også Thomas) prøver at forvanske dette udsagn - fair nok,
Martin, du er én af de mere interessante at snakke med herinde - normalt fordi dine argumenter ofte er skarpe som en nyslebet kniv, men det er under din værdighed at bruge ovenstående som argument.vi kender jeres varme følelser for især MS.
Synes du ikke, at det er lidt tyndt at skulle retfærdiggøre noget med eksempler, der er 10-15 år gamle?Så lad mig lige ridse lidt mere op for jer hvad der udelukker eksempelvis MS fra at blive kaldt OSS i ånden.</p>
<ul><li>Halloween documents</li>
<li>GPL er ligesom kræft
Thomas havde jo fat i dig omkring dette - men jeg går ud fra, at du nu er klar over, at det enten er et dårligt argument - eller at du er lidt hyklerisk?- Lad mig se Microsofts udgivelse af Windows kildekode - eller et hvilket som helst andet kerneprodukt - under en open source licens.
Det har jeg sådan set ikke noget imod at indrømme - jeg tror, at du har ret i, at Google har en længerevarende tradition for at lave OSS-software end Microsoft.Jeg ved godt at I aldrig vil indrømme at Google er tættere på open source ånden end MS og Apple - fint nok.
Jeps - og jeg er helt med på, at det har Microsoft ikke ... men de er kommet efter det i løbet af de sidste 5 års tid.Google har fra dag 1 anvendt open source og givet tilbage til community.
Jeg tror helt ærligt, at du skal have din information opdateret. Hvis du følger en smule med, så er Microsoft et helt andet sted i dag end de var, da de sammenlignede OSS med kræft. De udgiver også OSS-software (typisk under Apache-licensen som Google), de leverer OSS som en del af kernen i deres komponenter (git, eksempelvis) og bidrager aktivt til Linux-kernen (så vidt jeg husker, så har de folk ,der endda har commit-rettigheder), til git etc. De har skrottet udviklingsfladen til deres ypperste cash-cow (Office) fra at være deres egne lorte VBA/OBA/.Net API til nu at være Javascript og HTML5. En stor del af udviklingsværktøjerne omkring Visual Studio er i dag Open Source og hele deres MVC-platform til Windows er Open Source.Det er bare ikke helhjertet - og det kan jeres eksempler på små alibiudgivelser af open source fra MS og Apple ikke ændre på.
Man kan selvfølgelig altid spørge, om det nu er "nok" ... og nogle vil naturligvis mene, at det ikke er tilfældet. Men at snakke om Microsoft og OSS på basis af 10 år gamle udtalelser bidrager absolut ikke til noget ... udover at kunne klappe hinanden på skuldrene imens man med fingrene i ørene messer "LALALALALALALALALA ..."
- more_vert
- insert_linkKopier link
@Martin Bøgelund
Kan du så med den logik vise mig hvor jeg finder kildekoden til Googles profileringsmaskine? Uanset hvordan du vender og drejer det er det PRODUKTET hos Google, og alt andet de laver drejer om det...
Så med din egen logik er de heller ikke OSS, da de ikke leverer kildekoden til deres kerneprodukt...
- more_vert
- insert_linkKopier link
Så med din egen logik er de heller ikke OSS, da de ikke leverer kildekoden til deres kerneprodukt...
God pointe.
Men tænk over hvem der kan have glæde af at de frigiver deres kildekode.
Når du har tænkt færdig, vil du næppe have en liste der er længere end dette:
Hvem har så gavn af at Google frigiver kildekoden til Android, Chrome, Chrome OS, og deres contributions til MySQL og Linux kernen, deres afholdelse af Google summer of code, osv.
På denne liste - hvor du nok også kan finde Googles konkurrenter - vil du finde
- Googles kunder
Googles leverancer til de almindelige slutbrugere falder i 2 kategorier
- Free (as in beer)
- Free (as in freedom)
Så ja - Google deler alt det de kan dele, og alligevel lykkes det dem at drive en forretning med stærk indtjening.
Så din pointe med at de ikke deler deres profiling engine er valid nok. På den anden side er det en misforståelse, at bare fordi man er et open source firma i ånden, så er man også idiot. Og det er præcis hvad Google ville være, hvis de forærede den engine til konkurrenterne, og derved tog livet af sig selv.
- more_vert
- insert_linkKopier link
Så ja - Google deler alt det de kan dele, og alligevel lykkes det dem at drive en forretning med stærk indtjening.</p>
<p>Så din pointe med at de ikke deler deres profiling engine er valid nok. På den anden side er det en misforståelse, at bare fordi man er et open source firma i ånden, så er man også idiot. Og det er præcis hvad Google ville være, hvis de forærede den engine til konkurrenterne, og derved tog livet af sig selv.
Så nu er vi fremme ved at de alligevel godt kan være OSS selvom de ikke deler deres kerneprodukt, hvis det sker af hensyn til at deres konkurrenter vil få fordele af det? ;)
Så kan vi anvende samme logik overfor Microsoft. De er også OSS, da de leverer til OSS communityet, men de gør det ikke for deres kerneforretning fordi det kan skade dem mere end det gavner. Leverer Microsoft eks. kildekoden til Windows vil det være muligt for folk at bedre få Linux til at afvikle Windows programmer hvilket vil være skadeligt for Microsofts forretning... Kan du selv se hvor logikken skrider hen?
Enten er man OSS med sine kerneprodukter eller også er man ikke... Der er ikke nogen gradbøjninger heri...
Derudover tjener de penge fordi alle de produkter de laver støtter op om deres kerneprodukt, nemlig profileringen... Så at de laver Android, G+ og hvad de ellers finder på tjener det kun til at hente data hjem til deres profileringsapparat...
Præcis som når Microsoft frigiver noget under OSS, så tjener det også til at støtte op om deres kerneprodukter...
- more_vert
- insert_linkKopier link
Og det kan du ikke med software fra fx Apple?Du kan nemlig slippe for Google.
Så alternativerne til Googles produkter er ikke alternativer til Microsofts og Apples produkter?Alt hvad Google leverer kan du også få andre steder - enten i form af open source pendenter til deres binære udgivelser (Chrome - Chromium, osv) eller tilsvarende services.
Er Chrome ikke et alternativ til IE eller Safari? Er LibreOffice ikke et alternativ til Office eller iWork? Er Google Docs ikke et alternativ til Office 365 eller iCloud? Er Linux ikke et alternativ til Windows eller MacOS? Er Android ikke et alternativ til iPhone eller WP?
Nu er jeg lidt usikker på, hvem du mener er hvem, men hvis vi kigger på deres respektive sky-baserede kontorpakker (Google Docs og Office 365), så gemmes dokumenter hos Google i deres eget proprietære, ikke-dokumenterede format. Hos Office 365 gemmes dokumenter i OOXML.Hvem tror du der er størst sandsynlighed for vil behandle dig svinsk?
Ham der kidnapper dig og holder dig indespærret i sit hus, eller ham der giver dig nøglen og siger du kan gå hvis du ikke bryder dig om ham?
Vi har i nogle år brugt Google Docs som vores primære værktøj til at dele dokumenter herhjemme, og vi har vel nogle hundrede dokumenter efterhånden. For et par år siden prøvede jeg for sjov at se, om jeg kunne få data ud igen, og jeg eksporterede alt derinde som ODF og åbnede dem i OpenOffice.org . Det var dælme en nedslående oplevelse - en stor del af dokumenterne manglede selv basal formattering. Google Docs er et fedt værktøj - hvis du "lever og dør" derinde. Skulle du derimod forsøge at importere dokumenter eller eksportere dem, så oplever man problemer.
Var det det du mente med "kidnapper og holder dig spærret i dit hus"?
Det står dig jo frit for, om du vil benytte Windows eller ej - men det er korrekt, at en række OEM-leverandører har valgt at levere deres maskiner med Windows på.I stærk kontrast hertil står især Microsoft, som meget længe har ageret som en parasit, man ikke kan slippe af med, selv hvis man er villig til at betale en høj pris.
Hvis vi et øjeblik accepterer, at dette er sket med ublu pres fra Microsoft - er det så anderledes end når Google kræver, at hvis man vil være én af deres OEM-partnere på Android (og dermed få adgang til bits tidligere end andre), så skal man underskrive en "kompatibilitets-aftale", der kræver at Googles apps som Youtube, GMail, Google Maps etc leveres med Android og får prominent placering på telefonen? En aftale, der kræver, at lokalitetstjenester skal leveres fra Google og ikke evt alternativer - selvom præcist dette er totalt usynligt for brugerne?
Seriøst - mange gange virker det som om, at en stor del af debattørerne herinde lider af en eller anden form for masse-induceret Stockholm-syndrom ifht Googles handlinger.
- more_vert
- insert_linkKopier link
Skulle du derimod forsøge at importere dokumenter eller eksportere dem, så oplever man problemer.
Prøvede for sjov at eksporterer nogle af mine Google Docs dokumenter (mest regneark og lidt præsentationer). Jeg fik ingen problemer med at eksporterer til xlsx eller pptx (Win7 + Office 2010).
Jeg importerer regelmæssigt dokumenter til Drive for at dele med andre (mest fra odf) jeg har endnu kke oplevet problemer den vej.
Og skal vi så være enige om, at holde os til emnet for blog'en ?
- more_vert
- insert_linkKopier link
Jesper,
Stort set hver dag får Microsoft positiv særbehandling på version2, hvorfor har du aldrig brokket dig over det ?
- more_vert
- insert_linkKopier link
Læs nu hvad der bliver skrevet og ikke hvem der skriver det...
Google frikendes IKKE - men de kan fravælges. Du behøver ikke en en smartphone/gmail/google docs etc etc.
Men i danmark er du mere eller mindre tvunget til at bruge Apple/microsoft software til at tilgå offentlige ydelser.
- more_vert
- insert_linkKopier link
På samme vis behøver du jo heller ikke en iPhone eller bruge iCloud ... eller en Windows Phone og bruge Office 365/Office eller IE?Google frikendes IKKE - men de kan fravælges.
Du behøver ikke en en smartphone/gmail/google docs etc etc.
Herhjemme skiftede vi vores Windows-maskiner ud i efteråret 2009 og jeg kan ikke huske, hvilke offentlige ydelser jeg har været afskåret fra at benytte i tiden derefter. Hvilke tænker du på?Men i danmark er du mere eller mindre tvunget til at bruge Apple/microsoft software til at tilgå offentlige ydelser.
- more_vert
- insert_linkKopier link
Til Apple (som er indbefattet i blogindlæggets advarsel)? Til Linux eller xBSD?</p>
<p>Herhjemme skiftede vi vores Windows-maskiner ud i efteråret 2009 og jeg kan ikke huske, hvilke offentlige ydelser jeg har været afskåret fra at benytte i tiden derefter. Hvilke tænker du på?
Men i øvrigt er det efterhånden sjældent jeg behøver at låne fruens XP for at tilgå noget...
- more_vert
- insert_linkKopier link
Chrome er som sådan ikke open source, så det kan man ikke. Men hvis man benytter Chromium, som er det open source projekt som Chrome er baseret på, så kan man. På den maskine jeg skriver dette fra, har jeg en version af Chromium installeret, som jeg selv har compilet.
- more_vert
- insert_linkKopier link
Synes du ikke der er flere som bør omfattes af din miskredibilitetsdom? Jeg vil da mene at både Google og Yahoo i hvert fald også bør nævnes.
Jeg antog at alle her kunne gennemskue hvem der var omfattet af "reflections on trusting trust" :-)
- more_vert
- insert_linkKopier link