Dette indlæg er alene udtryk for skribentens egen holdning.

NSA bagdøre i Open Source ?

101 kommentarer.  Hop til debatten
Blogindlæg18. juni 2013 kl. 08:00
errorÆldre end 30 dage

Microsoft og Apple har mistet enhver tilbageværende kredibilitet som leverandører af ukompromiterede softwareløsninger og jeg ser ingen grund til at antage at Adobe og Oracle ikke også bør stilles i samme lys.

Det er formodentlig den bedste markedsåbning der er sket for FOSS i nyere tid, men det kommer til at koste hårdt arbejde at holde vores sti ren.

Hvis vi antager at NSA's ledelse har en smule omtanke og økonomisk sans, sidder der et dusin amerikanere med meget høj security clearance og stopper bagdøre ind i Open Source projekter.

Hvis Snowden havde været ansat som systemadministrator i et skalkeskjul og sendt en række gode patches, havde det næppe taget ham mere end et års tid at placere den første kodesvaghed i et eller andet open source projekt.

Artiklen fortsætter efter annoncen

Et godt eksempel på hvorledes det kunne se ud: Debians random number bug.

Ind til nu har vi antaget at den bommert var gennemgribende inkompetence, fordi vi er nogle søde og rare mennesker der ikke forfalder til konspirationsteorier.

I lyset af NSAs aktiviteter og GCHQ's aflytning af deltagere i G20 mødet, er det vist på tide at blive lidt mere nøjeregnende og noget mere kritiske ?

Vi kommer heller ikke uden om "Reflections on trusting trust", jeg er helt sikker på at NSA kan se perspektivet i selvpropagerende bagdøre.

Et godt sted at starte, er altid at compilere GCC med LLVM og LLVM med GCC.

Vi kommer også til at tale om binære distributioner hvor kernen ikke kan reproduceres uden videre.

Men først og fremmest handler det om meget skeptiske code-reviews.

phk

101 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
104
20. juni 2013 kl. 18:33

Ok, så med open source har vi en teoretisk mulighed for at kontrollere kildekoden, men hvad med BIOS'en? Der er selvfølgelig Coreboot der er open source, men HW understøttelsen er begrænset.

Bør vi ikke være ligeså mindst bekymret for mangel på åbenhed omkring BIOS/EFI.

Thomas

101
20. juni 2013 kl. 11:57

Tak til blogføreren for et interessant blogindlæg om, hvorledes Open Source-miljøet må intensivere kontrollen, så der ikke smutter bagdøre ind.

93
19. juni 2013 kl. 22:17

Et godt sted at starte, er altid at compilere GCC med LLVM og LLVM med GCC

Hvis det var mig der havde fået lejlighed til at smide en selvpropagerende bagdør i gcc, tror jeg nok jeg ville sørge for at den kunne propagere mellem alle de større compilere.

102
20. juni 2013 kl. 14:34

Jeg anerkender fuldt pointen i scenariet med "selvpropagerende" malware i compilere osv. men helt ærligt, er det ikke meget teoretisk?

Tænk hvor avanceret en sådan mekanisme skulle være. Ikke blot skulle den kunne patche sourcekoden til "sig selv" (dette aspekt er til at have med at gøre), men den skulle også tage højde for kodeændringer i fremtidige udgaver af sourcen, og kompenserer herfor under patchingen. Og at få skjult sin eksistens i den binære kode så den ikke lige dukker op fordi nogen åbner den i en editor. For ikke at tale om under debugging, hvor det må være særdeles svært at skjule der er noget i gøre, hvis en compiler-udvikler netop debugger de patchede sektioner (hvor han måske selv er i gang med at rette). Desuden skal patchen være 100% fejlfri, da et enkelt crash som følge af patchen vil medføre en større undersøgelse af hvorfor det fejler, hvilket i sidste ende - når ingen kan finde en forklaring i sourcen - vil føre til en granskning af den binære compiler, hvorved at nummeret vil blive opdaget. En sådan patch ville være nødt til at være, om ikke kunstigt intelligent, så i hvert fald et datalogisk mestervæk indenfor semantik, programanalyse m.m. af hidtil usete dimensioner.

Jeg anser det som helt teoretisk NSA skulle benytte den slags på en systematisk skala.

Jeg tror derimod godt det ville kunne lade sig gøre at "plante" en sådan compiler på et udvalgt system, hvor compilerversioner m.m. er kendte af angriberne - og kun systemer som ikke bruges af compiler-udviklere, men hvor compileren udelukkende anvendes til almindelig kompilering/maintenance af selve systemet. Men selv her er der en overhængende fare for at patchen bryder sammen ved senere opdatering af compileren, så patchen ville være nødt til at være stærkt konservativ og slå sig selv fra i forbindelse med kodeændringer m.m. Derfor ville metodne kun kunne bruges på et udvalgt system i en kort periode.

Så anser jeg CPU-bagdøre som langt mere kraftfulde. Jeg har flere idéer til hvordan en sådan CPU-bagdør på enkelt vis kunne give næsten universel adgang til alt uanset operativsystem, angrebsvektor m.m. og samtidigt ville være umulig at opdage.

103
20. juni 2013 kl. 16:44

Jeg anser det som helt teoretisk NSA skulle benytte den slags på en systematisk skala.</p>
<p>Jeg tror derimod godt det ville kunne lade sig gøre at "plante" en sådan compiler på et udvalgt system, hvor compilerversioner m.m. er kendte af angriberne

Jeg synes ikke de to synspunkter hænger helt sammen.

På en standard Linux-distribution har man jo netop et veldefineret sæt af software, herunder en given compiler - og en specifik version af en Linux-distribution vil ikke se væsentlige ændringer i versionerne på de inkluderede pakker, istedet laves der en ny version af Linux-distributionen, typisk med jævne mellemrum, som på den måde sørger for at nye versioner af de inkluderede pakker kommer ud til brugerne.

Så hvis en ondsindet organisation har kompromitteret en central vedligeholder på en given Linux-distribution, så mener jeg at den netop har gode muligheder for at distribuere en trojaner ifbm. compileringen af distributionens pakker.

Så nogle gode spørgsmål til en given (Linux-)distribution kunne være:

  1. Kan en enkelt ondsindet/udnyttet vedligeholder kompromittere (Linux-)distributionen ?
  2. Hvordan er spredningen af nationaliteter blandt (Linux-)distributionens vedligeholdere?
105
20. juni 2013 kl. 22:46

@Lars, det du beskriver har jo ikke noget direkte at gøre med "Reflections on Trusting Trust", som handler om at du ikke kan stole på at kildeteksten du læser bliver oversat rigtigt. Heller ikke selvom du selv oversætter compileren (med en binær compiler du ikke har kontrol over). Det du beskriver er mere den generelle problemstilling at en ond maintainer kan bundle binære pakker der hedder, f.eks. "OpenSSL", med i en distribution. Selvfølgelig kunne han også bundle en ond compiler med men det er samme sag.

Jeg opfattede PHK's reference til "Reflections on Trusting Trust" (og det er muligt det var min ekstrapolation) som en mulighed for at de compilere vi alle render og bruger (og dermed højst sandsynligt de udgaver du pt. har installeret) på et eller andet tidspunkt er blevet kompromiteret af f.eks. NSA på denne selvpropagerende måde, så selv hvis vi får fat i den rigtige, ukompromiterede kildekode, så får vi stadigvæk en kompromiteret compiler ud når vi kompilerer. Og det er det scenarie jeg argumenterer imod i mit indlæg, da jeg tror det ret hurtigt vil blive opdaget.

Men jeg tror at teknikken kan være velegnet til at angribe visse systemer hvor man ved de selv compilerer al software (herunder det sikkerhedsrelaterede), det er måske endda deres egen kode, men at de ikke er specielt specialiserede i compilerteknologi og således ikke selv vil rette i compileren eller iøvrigt analysere denne nærmere. Men jeg finder ikke teknikken kan bruges på "masserne" på linie med f.eks. PRISM som diskussionen tog udgansgpunkt i.

82
19. juni 2013 kl. 19:27

@Lars - ja lad os komme tilbage på sporet.

Da git bliver brug til kerne hacking i Linux og meget andet Open Source må en kompromittering her være en god forudsætning for at snige et par fixes ind, som den Lars nævner.

F.eks.: http://www.cvedetails.com/cve/CVE-2013-0308/

Det reddes så i de projekter, der har en god kvalitetskontrol.

Ellers er der social engineering teknikker kombineret med et par usikre links og en package manager der åbner og installerer alt det som den bliver fodret med af standard browsereren - det er jo så bekvemt.

Og ... hvor mange har altid kørt md5 check på alt det sw de installerer?

65
19. juni 2013 kl. 11:23

Safari's engine er den mest udbredte browser engine. Det er Apple's OSS version af en anden OSS engine.

Der er masser af Apple OSS, se bl.a. her:http://www.apple.com/opensource/

Det er ikke alt der er OSS; men store dele er. Og så kan du bare køre OSS software på deres OSS kernel.

49
18. juni 2013 kl. 20:51

Jeg bruger Ubuntu, men jeg har ingen chance for at gennemskue om der er bagdøre deri, jeg må stole på når andre siger det hele er åben kode og nogle ville opdage hvis der var snavs gemt.

45
18. juni 2013 kl. 19:28

/* 3c503.c: A shared-memory NS8390 ethernet driver for linux. / /Written 1992-94 by Donald Becker.

Copyright 1993 United States Government as represented by the
Director, National Security Agency.  This software may be used and
distributed according to the terms of the GNU General Public License,
incorporated herein by reference.
43
18. juni 2013 kl. 17:47

Den oprindelige historie (den hvor NSA havde uhindret adgang til alle dine emails, dokumenter, billeder, videoer) var baseret på spekulation over hvad et powerpoint beskrev. Snowden og (ellers ansete) journalister kiggede slides igennem og extrapolerede en kæmpe konspiration.

Som al extrapolation er der en risiko for fejlslutninger. Det blev The guardian og The Washington Post åbenbart hurtigt klar over (måske en lidt kildekritisk redaktør fik noget galt i halsen). Men i stedet for offentligt at gøre opmærksom på at flere af deres mest vidtrækkende konklusioner ikke kunne støttes af fakta, ændrede de deres artikler retrospektivt. Uden at fortælle det i artiklerne.

Se dokumentationen her (Ed Bott, ZDNet): http://www.zdnet.com/the-real-story-in-the-nsa-scandal-is-the-collapse-of-journalism-7000016570/

Historien var åbenbart for god, så alle andre medier løb med den som om den var den evige sandhed.

Igen, læs Ed Bott, ZDNet: http://www.zdnet.com/how-did-mainstream-media-get-the-nsa-prism-story-so-hopelessly-wrong-7000016822/

(her kan man også se den famøse powerpoint som er dokumentationen for at NSA har fri adgang til selskabernes servere).

PHK kunne heller ikke drømme om at foretage lidt kildekritik. Historien passer lidt for godt til hans verdensbillede. Så er fakta ligegyldigt.

Han er endda parat til at udvælge enkelte firmaer fordi billedet ville blive lidt mere udtværet hvis nogen af heltene blev nævnt sammen med den kun delvist sande historie.

Tag ikke fejl, der foregår overvågning og specielt som ikke-amerikanere er vi vist delvist retsløse.

Men PHK vil gerne gøre det til en historie om selskabers troværdighed. Historien er imidlertid at Google, Apple, Microsoft, Yahoo etc. kun har overdraget til NSA hvad der krævedes ifølge lovgivningen, og i hvert tilfælde kun efter en dommerkendelse. Hvis de ikke overdrog oplysningerne når der foreligger en lovligt udstedt dommerkendelse så ville de bryde loven.

Vi kan (nej, vi SKAL) være bekymrede for den amerikanske lovgivning, specielt når en hemmelig domstol udsteder hemmelige dommerkendelser, og specielt når lovgivningen gør udenlandske statsborgere retsløse. Det er imidlertid et problem med lovgivningen og ikke et troværdighedsproblem ifht individualle selskaber som PHK gerne vil gøre det til. Og kun de selskaber som PHK ikke kan lide.

Den powerpoint som var "dokumentation" for at Apple, Microsoft, Google, Yahoo, Skype mfl skulle have givet NSA uhindret adgang til deres servere var en uddannelsespræsentation til nye agenter. Det den viste var, at de nævnte selskaber havde tilsluttet sig et system hvor de online kunne aflevere materialet når selskabernes advokater havde gennemgået det i forhold til begæringen og dommerkendelsen. En postkasse. Uden denne postkasse skulle materialet (det er dybt fortroligt at det afleveres) overbringen personligt på fx. USB key, DVD eller CD. Med op til 20.000 (!) sådanne anmodninger om året kan man godt få den idé at begrænse personlige afleveringer.

Alle de anklagede selskaber har på det kraftigste afvist at NSA har adgang til deres servere. Anklagen er ikke understøttet af andet materiale end en enkelt powerpoint - som kræver en god del extrapolation og spekulation for at kunne læse det som adgang til servere.

Selskaberne kan ikke engang få lov at fortælle om hvad der virkelig foregår. Lovgivning igen.

Hvis det at være begrænset af lovgivning eller udlevere informationer på baggrund af (desværre) lovlige dommerkendelser er et spørgsmål om troværdighed, hvordan har det så noget med open source at gøre.

Trot vi at Red Hat (endnu et amerikansk selskab som skal følge amerikansk lovgivning) kan tilbyde cloud service uden at blive tvunget til at overlevere informationer på samme måde?

men... hvis vi kan plukke nogle enkelte selskaber ud - udelade "heltene" - og ignorere at anklagerne er spekulative og ikke underbyggede så kan vi måske få det til at se sådan ud.

44
18. juni 2013 kl. 18:03

og hvis jeg må tilføje et retorisk spm., i lyset af de aktuelle G8 forhandlinger om handelssamarbejdet (om IT Service Ydelser): Hvilke regelsæt skal gælde for partnerne i handelssamarbejdet ? Udfaldsrummet er:

  1. De strammeste regler fra eet virkårligt land i samarbejdet
  2. De svageste regler fra eet vilkårligt land i samarbejdet
  3. Foreningsmængden af regelsættene fra alle lande i samarbejdet Mit gæt er det bliver nr. 1, og lur mig om ikke det bliver enten USA eller Kina der løber af med "sejren".
38
18. juni 2013 kl. 16:54

Den nævnte 'random number bug' mener jeg vedrører kode i SSL-projektet, som Debian distribuerer.

Problemet var at en person i Debian (fejlagtigt) konkluderede at han havde fundet en fejl i koden[*], og at han uden at orientere SSL-projektet rettede i Debians kopi af SSL-koden - en kode han tydeligtvis ikke forstod.

Så een af de mange konklusioner man kan drage af PHKs indlæg er at det er vigtigt at de forskellige Linux-distributioner strammer op på deres procedurer, så der er mindre risiko for at uautoriserede ænderinger når ud til brugerne.

Specifikt skal det sikres at man sender rapporter om fejl 'upstream', dvs. tilbage til de ansvarlige for koden, som herefter kan komme med en ordentlig vurdering af en patch.

[*] Koden læste med vilje uinitialiseret hukommelse, i et forsøg på at høste entropi til tilfældighedsgeneratoren. Uden entropi, ingen tilfældige primtal...

35
18. juni 2013 kl. 16:03

"I have received a mail regarding the early development of the OpenBSD IPSEC stack. It is alleged that some ex-developers (and the company they worked for) accepted US government money to put backdoors into our network stack, in particular the IPSEC stack. Around 2000-2001."http://marc.info/?l=openbsd-tech&m=129236621626462&w=2

32
18. juni 2013 kl. 15:41

da US Export Regulativerne blev ændret for export af SW baseret på stærke (dengang) nøgler. Se denne oversigt fra en publiceret artikel fra Nov/Dec 1997):http://encryption_policies.tripod.com/us/baker_060100_regulation.htm

29
18. juni 2013 kl. 15:14

Der var en sag fornylig om en bagdør i noget militær HW (firmware). Hvis man nu kunne få indført en lignende facilitet i f.eks. et meget brugt chipset, er det ikke nødvendigvis relevant, om compilere, kerne, kernemoduler, netværksstak, tekstbehandling etc. er checket, checket igen og selvkompileret etc. Se f.eks. http://www.slideshare.net/endrazine/defcon-hardware-backdooring-is-practical

21
18. juni 2013 kl. 13:59

Jeg synes ikke at have læst om at der har været tale om nogen som helst bagdøre i noget som helst software i denne PRISM sag, men netop om at NSA kan få oplysninger fra diverse service leverandører, hvis de ønsker.

Microsoft og Apple er jo ikke involveret pga. deres OS, men pga. af selvsamme servicetyper som Google, Yahoo og Facebook leverer.

19
18. juni 2013 kl. 12:50

Ind til nu har vi antaget at den bommert var gennemgribende inkompetence, fordi vi er nogle søde og rare mennesker der ikke forfalder til konspirationsteorier.

.. sagde manden med sølvpapirshjelmen :-)

17
18. juni 2013 kl. 12:24

Et godt sted at starte, er altid at compilere GCC med LLVM og LLVM med GCC

Mon der ikke allerede arbejdes på at det heller ikke er noget problem for videreførelsen af "funktionaliteten"? Internettet er jo trods alt en kriminaliseres krigszone og dermed supermagtsrelevant. ;-)

16
18. juni 2013 kl. 11:58

Alt det her er meget bekymrende, og mon ikke at de her fæle folk allerede har betalt visse skruppelløse ingeniører 30 sølvstykker for at forråde menneskeheden? Spørgsmålet må vel være i hvor stort omfang, og hvilke projeter der kan tænkes ramt?

Et andet spørgsmål er også om vi mennesker overhovedet kan formodes at lave solide nok reviews på kode, eller om der skal andre værktøjer til? SPARK?

Så vidt jeg ved så er det netop den slags sikkerhed og tillid OpenBSD folkene går meget op i. Er der nogen der ved noget om hvordan deres proces for håndtering af patches/kode er? Kan der læres noget?

Fsv. debatten om hvem der skal på listen over de værste "syndere", så føler jeg personligt at det er ret let for mig at skille mig af med Google/Yahoo/Facebook, hvorimod Microsoft/Apple er en helt anden sag. De tre første leverer en service jeg kan forlade når jeg vil. De to sidste bliver i forskelligt omfang tvunget ned i halsen på mig.

69
19. juni 2013 kl. 11:53

Kan du ikke forklare mig, hvordan software fra Apple bliver tvunget ned i halsen på dig?

Jeg var utvivlsomt lidt for hurtig til at smide Apple i samme skuffe som Microsoft.

Jeg æder mine ord i mig og indrømmer at jeg faktisk aldrig har fået tvunget et æble ned i halsen.

/me klapper sin MacBook Air og undskylder

8
18. juni 2013 kl. 10:50

...til at behøve bagdøre til DK, de kan bare købe "Hoveddøren" aka. NETS.

4
18. juni 2013 kl. 09:15

Open source giver i det mindste mulighed for at reviewe kode – om det så i praksis vil stoppe NSA er usikkert. Jeg synes dog det er langt mere skræmmende at forestille sig bagdøre i Vmware, Hypervisor mm

5
18. juni 2013 kl. 10:13

Betyder i den her sammenhæng knap så meget, det er jo ikke fordi der bliver sat bagdøre ind med store kommentarer, det som PHK hentyder er jo tydeligvis at der bliver lavet "brølere" med vilje, af folk ansatte af staten til ene og samme, og når lønnen er iorden så er der uden tvivl arbejde for folk med lav moral. Sorry for pointing out the obvious :-P

3
18. juni 2013 kl. 09:10

Det er formentligt usundt for Demokratiet, det skidt USA gør for at bekæmpe "terror", men det er jo ingenting ved siden af et land der ikke er begrænset af Demokrati.

1
18. juni 2013 kl. 08:20

Synes du ikke der er flere som bør omfattes af din miskredibilitetsdom? Jeg vil da mene at både Google og Yahoo i hvert fald også bør nævnes.

6
18. juni 2013 kl. 10:16

Synes du ikke der er flere som bør omfattes af din miskredibilitetsdom? Jeg vil da mene at både Google og Yahoo i hvert fald også bør nævnes.

Det passer bedst ind i PHKs vedensbillede, hvis Microsoft og Apple nævnes ved navn og Google kun "nævnes imellem linierne".

PHK har jo en skåltale om, hvor afbalanceret han er i sin kritik og at han også tidligere har kritiseret "alle" - talen finder bare sjældent anvendelse i virkeligheden.

7
18. juni 2013 kl. 10:44

Det passer bedst ind i PHKs vedensbillede, hvis Microsoft og Apple nævnes ved navn og Google kun "nævnes imellem linierne".

At jeg ikke nævnte Google ved navn i denne sammenhæng skyldes tre ting.

  1. Android er Open Source (med visse relevante fodnoter)

  2. Telefonproducenter og teleudbydere er langt større sikkerhedstrusler i Android miljøet.

  3. Der findes alternativer til at bruge en smartphone, fra fastnet til Doro's pensionisttelefoner men der findes intet reelt alternativ til at bruge en PC eller laptop med Microsoft eller Apple software, (jvf. kompatibilitets-lister fra banker og offentlig digitalisering).

10
18. juni 2013 kl. 11:16

At jeg ikke nævnte Google ved navn i denne sammenhæng skyldes tre ting.

PS: Det eneste rigtige svar på min kritik af dig er i øvrigt

"OK - good point ... jeg retter indlægget og tilføjer Google (og Facebook og Yahoo)"

Skulle du ikke kunne finde på andre intelligente ting at svare, skal du ikke være urolig - jeg er sikker på, at nogle af de andre nyttige idioter nok skal enten forsvare dig eller angribe mig.

:o)

23
18. juni 2013 kl. 14:16

FaceBook og Yahoo er ikke program, men service leverandører.

Så fordi Facebook, Yahoo eller Google (som du behændigt udelod igen) leverer software, der ikke er indpakket i folie men som en serviceydelse, så giver det dem mindre mulighed endsige incitament til at kompromittere dine data?

Det argument skal man vist have bundet hele flasken med Kool-Aid for at kunne finde hoved eller hale i.

Og selvom helvede frøs til og dit argument gav mening - hvad så med den software Google leverer? Hvad med Chrome, Picasa, Android (Nexus) ... ?

Men PHK, jeg har ingen forventning om, at jeg kan få dig til at skifte mening - som du ved er det umuligt at få en mand til at skifte mening, hvis hans indtægt er afhængig af det.

26
18. juni 2013 kl. 14:34

Så fordi Facebook, Yahoo eller Google (som du behændigt udelod igen) leverer software, der ikke er indpakket i folie men som en serviceydelse, så giver det dem mindre mulighed endsige incitament til at kompromittere dine data?

Jeg mener at der i tidligere blogindlæg er blevet advarfet generelt om SAAS, cloud og lign.

Og der er også blevet advaret om smartphones incl Android

Her drejer det sig om alene om den traditionelle PC, og jeg mener at reduceres blogindlægget til en 'one-liner', så er resultatet:

Det er ikke utænkeligt, at NSA også har fået bagdøre ind i Linux, xBSD eller essentielle applikationer på den platform

Og det da vist stærke sager fra PHK

36
18. juni 2013 kl. 16:15

Her drejer det sig om alene om den traditionelle PC

Øh?

PHK skriver:

Microsoft og Apple har mistet enhver tilbageværende kredibilitet som leverandører af ukompromiterede softwareløsninger

Hvordan dette skal begrænse debatten til kun at omhandle desktop-PC'er har jeg urimeligt svært ved at se.

42
18. juni 2013 kl. 17:37

Læst i kontekst med resten af blogindlægget, så drejer det sig om installerbar og inspicerbar kode - derved er emnet vel begrænset til desk-/laptops og servere?

Hvis man tilføjer en nyhed som denne til kontekst, så er vi igen på desktop/server: http://www.version2.dk/artikel/microsoft-udleverer-angiveligt-saarbarheder-foer-de-bliver-udbedret-52551

Det er altså ikke PRISM og det der vi er i gang med, det er NSA/CIA priviligeret adgang til sikkerhedshuller i desktop/server software, og spekulationer i om de aktivt har fået lagt huller ind i open source software.

Desuden burde det også være tydeligt ud fra eksemplet med Debian random number bug.

27
18. juni 2013 kl. 14:50

Det er ikke utænkeligt, at NSA også har fået bagdøre ind i Linux, xBSD eller essentielle applikationer på den platform</p>
<p>Og det da vist stærke sager fra PHK

Og tak til PHK for at have kønskirtler nok til ikke bare at se sandheden i øjnene, men også at turde fortælle den.

Uden erkendelse af usikkerheden, kan man jo ikke udvise rettidig omhu.

Ikke at man behøver at udvise rettidig omhu, man kan også vælge at lade være, men så tager man jo chancen med vidt åbne øjne.

Uden erkendelsen, vælger man så bare at opføre sig naivt. Og det nytter ikke at råbe "Datatilsyn" når det først er gået galt.

For datatilsynet har travlt med at stå foroverbøjet med bagen blottet ind mod et eller andet katastrofeministerie.

K

24
18. juni 2013 kl. 14:19

Jesper, hvorfor prøver du konsekvent at afspore debatten ?

9
18. juni 2013 kl. 11:02

Android er Open Source (med visse relevante fodnoter)

Ok - men ret mig endeligt, hvis jeg tager fejl - men kan du kigge i kildekoden og deraf konkludere noget omkring eksistensen af eventuelle bagdøre i de binære OEM-udgaver af Android? Samme spørgsmål gør sig gældende for Chrome og de binære installationsfiler som Google leverer?

Det er klart, at det er rart at kunne kigge i kildekoden, men du skrev jo selv "leverandør af ukompromiteret softwareløsninger". Mig bekendt leverer Google Chrome som binære bits samt også binære bits af Android til deres OEM-partnere.

Og eftersom Google primært er leverandør af services, der leveres fra skyen - hvordan kan du kigge i noget som helst OSS-kildekode og udtale dig om eksistensen af bagdøre i deres sky-løsninger?

13
18. juni 2013 kl. 11:29

Ok - men ret mig endeligt, hvis jeg tager fejl

Jesper, du tager ikke fejl. Jeg undrede mig også over Googles fravær på listen - formelt set hører Google til på den, og du remser nogle gode grunde op for det.

Google er bare et andet selskab end Apple og MS.

Du kan nemlig slippe for Google.

Alt hvad Google leverer kan du også få andre steder - enten i form af open source pendenter til deres binære udgivelser (Chrome - Chromium, osv) eller tilsvarende services.

Google tvinger sig selv til at være skarpe mht at indgå i et økosystem med sine brugere. For hvis de er til ulempe for brugerne, vil de ikke blive opfattet som en nødvendig del af brugerens økosystem, men som en parasit man bare gerne vil slippe for.

I stærk kontrast hertil står især Microsoft, som meget længe har ageret som en parasit, man ikke kan slippe af med, selv hvis man er villig til at betale en høj pris.

Hvem tror du der er størst sandsynlighed for vil behandle dig svinsk? Ham der kidnapper dig og holder dig indespærret i sit hus, eller ham der giver dig nøglen og siger du kan gå hvis du ikke bryder dig om ham?

Det er ikke bare open source i kode - det er open source i ånd.

41
18. juni 2013 kl. 17:11

Det er ikke bare open source i kode - det er open source i ånd.

Beklager - jeg glemte at svare på den mest vigtige linie i din kommentar.

Mener du virkeligt, at Google er et "OSS-firma i ånd"?

I mine øjne er et "OSS-firma" et firma, der enten leverer OSS-software (som danske Magenta, eksempelvis) eller hvis kerneprodukt er OSS-software (som fx RedHat). Google kommer ikke i nærheden af at være dækket af den definition (som jo naturligvis kan være forkert). Til gengæld deler Google forretningsmodel med en række andre firmaer, hvis kerneprodukter/forretning (som de tjener deres penge på) er closed source men hvor de hver især leverer en række værktøjer, der enten er tooling til den proprietære platform eller kanaliserer brugerne ind på deres platform. Eksempler på disse kunne være IBM og Microsoft. Fælles for dem alle er, at deres stack er proprietær og at de leverer en række OSS-værktøjer, hvis primære formål er at konsolidere og udbygge deres proprietære platform.

Det er naturligvis muligt, at jeg overser et eller andet - eller at Google normativt leverer flere OSS-værktøjer end IBM, men at kalde Google et "OSS-firma af ånd" synes for mig lidet foreneligt med virkeligheden.

:o)

60
19. juni 2013 kl. 09:46

I mine øjne er et "OSS-firma" et firma, der enten leverer OSS-software (som danske Magenta, eksempelvis) eller hvis kerneprodukt er OSS-software (som fx RedHat). Google kommer ikke i nærheden af at være dækket af den definition (som jo naturligvis kan være forkert).

Drop det Jesper - du er blandt oplyste mennesker.

Hvis du ikke ved at Google leverer/understøtter leveringen af open source software, vil jeg foreslå du holder op med at bruge bing som søgemaskine. Jeg kan simpelthen ikke se en anden grund til at dette faktum skulle være gået din næse forbi.

62
19. juni 2013 kl. 10:13

Hvis du ikke ved at Google leverer/understøtter leveringen af open source software, vil jeg foreslå du holder op med at bruge bing som søgemaskine. Jeg kan simpelthen ikke se en anden grund til at dette faktum skulle være gået din næse forbi.

Men hvis kriteriet for at være "OSS-firma" blot er, at man leverer OSS-software og bidrager til OSS-software, så falder IBM jo også ind i den kategori.

Det synes jeg er mystisk.

Eller er der en grænse for antallet af linier OSS-kode man skal lave, før man er "god nok"? Hvad er denne, i givet fald?

66
19. juni 2013 kl. 11:36

Men hvis kriteriet for at være "OSS-firma" blot er, at man leverer OSS-software og bidrager til OSS-software, så falder IBM jo også ind i den kategori.

Som sagt taler jeg ikke om at være et OSS firma, men om at være open source firma i ånden, og ikke bare i kode.

Jeg ved godt at du (og nu også Thomas) prøver at forvanske dette udsagn - fair nok, vi kender jeres varme følelser for især MS.

Så lad mig lige ridse lidt mere op for jer hvad der udelukker eksempelvis MS fra at blive kaldt OSS i ånden.

  • Halloween documents
  • GPL er ligesom kræft
  • Lad mig se Microsofts udgivelse af Windows kildekode - eller et hvilket som helst andet kerneprodukt - under en open source licens.

Jeg ved godt at I aldrig vil indrømme at Google er tættere på open source ånden end MS og Apple - fint nok.

Jeg synes bare det er spild af tid at i stiller op til maskerade, og gør som om I kan overbevises.

Google har fra dag 1 anvendt open source og givet tilbage til community.

Apple og MS har fra dag 1 forsøgt at holde "kassen lukket", og køre en licensbetalingsmodel for software med lukket kode. Kun da de blev presset udefra af markedet, så de sig nødsaget til at give open source en (kold) omfavnelse.

Det er bare ikke helhjertet - og det kan jeres eksempler på små alibiudgivelser af open source fra MS og Apple ikke ændre på.

85
19. juni 2013 kl. 21:32

Jeg ved godt at du (og nu også Thomas) prøver at forvanske dette udsagn - fair nok,

Jeg prøver sådan set ikke at forvanske noget - jeg forsøger blot at forstå, hvordan din definition er sammensat

vi kender jeres varme følelser for især MS.

Martin, du er én af de mere interessante at snakke med herinde - normalt fordi dine argumenter ofte er skarpe som en nyslebet kniv, men det er under din værdighed at bruge ovenstående som argument.

Så lad mig lige ridse lidt mere op for jer hvad der udelukker eksempelvis MS fra at blive kaldt OSS i ånden.</p>
<ul>
<li>Halloween documents</li>
<li>GPL er ligesom kræft

Synes du ikke, at det er lidt tyndt at skulle retfærdiggøre noget med eksempler, der er 10-15 år gamle?

- Lad mig se Microsofts udgivelse af Windows kildekode - eller et hvilket som helst andet kerneprodukt - under en open source licens.

Thomas havde jo fat i dig omkring dette - men jeg går ud fra, at du nu er klar over, at det enten er et dårligt argument - eller at du er lidt hyklerisk?

Jeg ved godt at I aldrig vil indrømme at Google er tættere på open source ånden end MS og Apple - fint nok.

Det har jeg sådan set ikke noget imod at indrømme - jeg tror, at du har ret i, at Google har en længerevarende tradition for at lave OSS-software end Microsoft.

Google har fra dag 1 anvendt open source og givet tilbage til community.

Jeps - og jeg er helt med på, at det har Microsoft ikke ... men de er kommet efter det i løbet af de sidste 5 års tid.

Det er bare ikke helhjertet - og det kan jeres eksempler på små alibiudgivelser af open source fra MS og Apple ikke ændre på.

Jeg tror helt ærligt, at du skal have din information opdateret. Hvis du følger en smule med, så er Microsoft et helt andet sted i dag end de var, da de sammenlignede OSS med kræft. De udgiver også OSS-software (typisk under Apache-licensen som Google), de leverer OSS som en del af kernen i deres komponenter (git, eksempelvis) og bidrager aktivt til Linux-kernen (så vidt jeg husker, så har de folk ,der endda har commit-rettigheder), til git etc. De har skrottet udviklingsfladen til deres ypperste cash-cow (Office) fra at være deres egne lorte VBA/OBA/.Net API til nu at være Javascript og HTML5. En stor del af udviklingsværktøjerne omkring Visual Studio er i dag Open Source og hele deres MVC-platform til Windows er Open Source.

Man kan selvfølgelig altid spørge, om det nu er "nok" ... og nogle vil naturligvis mene, at det ikke er tilfældet. Men at snakke om Microsoft og OSS på basis af 10 år gamle udtalelser bidrager absolut ikke til noget ... udover at kunne klappe hinanden på skuldrene imens man med fingrene i ørene messer "LALALALALALALALALA ..."

70
19. juni 2013 kl. 12:02

@Martin Bøgelund

Kan du så med den logik vise mig hvor jeg finder kildekoden til Googles profileringsmaskine? Uanset hvordan du vender og drejer det er det PRODUKTET hos Google, og alt andet de laver drejer om det...

Så med din egen logik er de heller ikke OSS, da de ikke leverer kildekoden til deres kerneprodukt...

75
19. juni 2013 kl. 13:01

Så med din egen logik er de heller ikke OSS, da de ikke leverer kildekoden til deres kerneprodukt...

God pointe.

Men tænk over hvem der kan have glæde af at de frigiver deres kildekode.

Når du har tænkt færdig, vil du næppe have en liste der er længere end dette:

Hvem har så gavn af at Google frigiver kildekoden til Android, Chrome, Chrome OS, og deres contributions til MySQL og Linux kernen, deres afholdelse af Google summer of code, osv.

På denne liste - hvor du nok også kan finde Googles konkurrenter - vil du finde

  • Google
  • Googles kunder

Googles leverancer til de almindelige slutbrugere falder i 2 kategorier

  • Free (as in beer)
  • Free (as in freedom)

Så ja - Google deler alt det de kan dele, og alligevel lykkes det dem at drive en forretning med stærk indtjening.

Så din pointe med at de ikke deler deres profiling engine er valid nok. På den anden side er det en misforståelse, at bare fordi man er et open source firma i ånden, så er man også idiot. Og det er præcis hvad Google ville være, hvis de forærede den engine til konkurrenterne, og derved tog livet af sig selv.

77
19. juni 2013 kl. 13:07

Så ja - Google deler alt det de kan dele, og alligevel lykkes det dem at drive en forretning med stærk indtjening.</p>
<p>Så din pointe med at de ikke deler deres profiling engine er valid nok. På den anden side er det en misforståelse, at bare fordi man er et open source firma i ånden, så er man også idiot. Og det er præcis hvad Google ville være, hvis de forærede den engine til konkurrenterne, og derved tog livet af sig selv.

Så nu er vi fremme ved at de alligevel godt kan være OSS selvom de ikke deler deres kerneprodukt, hvis det sker af hensyn til at deres konkurrenter vil få fordele af det? ;)

Så kan vi anvende samme logik overfor Microsoft. De er også OSS, da de leverer til OSS communityet, men de gør det ikke for deres kerneforretning fordi det kan skade dem mere end det gavner. Leverer Microsoft eks. kildekoden til Windows vil det være muligt for folk at bedre få Linux til at afvikle Windows programmer hvilket vil være skadeligt for Microsofts forretning... Kan du selv se hvor logikken skrider hen?

Enten er man OSS med sine kerneprodukter eller også er man ikke... Der er ikke nogen gradbøjninger heri...

Derudover tjener de penge fordi alle de produkter de laver støtter op om deres kerneprodukt, nemlig profileringen... Så at de laver Android, G+ og hvad de ellers finder på tjener det kun til at hente data hjem til deres profileringsapparat...

Præcis som når Microsoft frigiver noget under OSS, så tjener det også til at støtte op om deres kerneprodukter...

28
18. juni 2013 kl. 15:11

Du kan nemlig slippe for Google.

Og det kan du ikke med software fra fx Apple?

Alt hvad Google leverer kan du også få andre steder - enten i form af open source pendenter til deres binære udgivelser (Chrome - Chromium, osv) eller tilsvarende services.

Så alternativerne til Googles produkter er ikke alternativer til Microsofts og Apples produkter?

Er Chrome ikke et alternativ til IE eller Safari? Er LibreOffice ikke et alternativ til Office eller iWork? Er Google Docs ikke et alternativ til Office 365 eller iCloud? Er Linux ikke et alternativ til Windows eller MacOS? Er Android ikke et alternativ til iPhone eller WP?

Hvem tror du der er størst sandsynlighed for vil behandle dig svinsk?
Ham der kidnapper dig og holder dig indespærret i sit hus, eller ham der giver dig nøglen og siger du kan gå hvis du ikke bryder dig om ham?

Nu er jeg lidt usikker på, hvem du mener er hvem, men hvis vi kigger på deres respektive sky-baserede kontorpakker (Google Docs og Office 365), så gemmes dokumenter hos Google i deres eget proprietære, ikke-dokumenterede format. Hos Office 365 gemmes dokumenter i OOXML.

Vi har i nogle år brugt Google Docs som vores primære værktøj til at dele dokumenter herhjemme, og vi har vel nogle hundrede dokumenter efterhånden. For et par år siden prøvede jeg for sjov at se, om jeg kunne få data ud igen, og jeg eksporterede alt derinde som ODF og åbnede dem i OpenOffice.org . Det var dælme en nedslående oplevelse - en stor del af dokumenterne manglede selv basal formattering. Google Docs er et fedt værktøj - hvis du "lever og dør" derinde. Skulle du derimod forsøge at importere dokumenter eller eksportere dem, så oplever man problemer.

Var det det du mente med "kidnapper og holder dig spærret i dit hus"?

I stærk kontrast hertil står især Microsoft, som meget længe har ageret som en parasit, man ikke kan slippe af med, selv hvis man er villig til at betale en høj pris.

Det står dig jo frit for, om du vil benytte Windows eller ej - men det er korrekt, at en række OEM-leverandører har valgt at levere deres maskiner med Windows på.

Hvis vi et øjeblik accepterer, at dette er sket med ublu pres fra Microsoft - er det så anderledes end når Google kræver, at hvis man vil være én af deres OEM-partnere på Android (og dermed få adgang til bits tidligere end andre), så skal man underskrive en "kompatibilitets-aftale", der kræver at Googles apps som Youtube, GMail, Google Maps etc leveres med Android og får prominent placering på telefonen? En aftale, der kræver, at lokalitetstjenester skal leveres fra Google og ikke evt alternativer - selvom præcist dette er totalt usynligt for brugerne?

Seriøst - mange gange virker det som om, at en stor del af debattørerne herinde lider af en eller anden form for masse-induceret Stockholm-syndrom ifht Googles handlinger.

40
18. juni 2013 kl. 17:09

Skulle du derimod forsøge at importere dokumenter eller eksportere dem, så oplever man problemer.

Prøvede for sjov at eksporterer nogle af mine Google Docs dokumenter (mest regneark og lidt præsentationer). Jeg fik ingen problemer med at eksporterer til xlsx eller pptx (Win7 + Office 2010).

Jeg importerer regelmæssigt dokumenter til Drive for at dele med andre (mest fra odf) jeg har endnu kke oplevet problemer den vej.

Og skal vi så være enige om, at holde os til emnet for blog'en ?

31
18. juni 2013 kl. 15:37

Jesper,

Stort set hver dag får Microsoft positiv særbehandling på version2, hvorfor har du aldrig brokket dig over det ?

37
18. juni 2013 kl. 16:27

Hmm faktisk ikke, det lykkes ikke rigtigt for dig at svare.

12
18. juni 2013 kl. 11:16

Læs nu hvad der bliver skrevet og ikke hvem der skriver det...

Google frikendes IKKE - men de kan fravælges. Du behøver ikke en en smartphone/gmail/google docs etc etc.

Men i danmark er du mere eller mindre tvunget til at bruge Apple/microsoft software til at tilgå offentlige ydelser.

22
18. juni 2013 kl. 14:10

Google frikendes IKKE - men de kan fravælges.
Du behøver ikke en en smartphone/gmail/google docs etc etc.

På samme vis behøver du jo heller ikke en iPhone eller bruge iCloud ... eller en Windows Phone og bruge Office 365/Office eller IE?

Men i danmark er du mere eller mindre tvunget til at bruge Apple/microsoft software til at tilgå offentlige ydelser.

Herhjemme skiftede vi vores Windows-maskiner ud i efteråret 2009 og jeg kan ikke huske, hvilke offentlige ydelser jeg har været afskåret fra at benytte i tiden derefter. Hvilke tænker du på?

11
18. juni 2013 kl. 11:16

Chrome er som sådan ikke open source, så det kan man ikke. Men hvis man benytter Chromium, som er det open source projekt som Chrome er baseret på, så kan man. På den maskine jeg skriver dette fra, har jeg en version af Chromium installeret, som jeg selv har compilet.