Přihlásit
: [1]
   |   
: Bezpečnost distribucí a lidí kolem  ( 2432 )
Tomix
Newbie
*

Karma: 1
: 29


« : December 27, 2011, 22:46:31 »

Chtěl bych se zeptat na jednu věc. Existuje spousta distribucí, jako Mandriva, Debian, Ubuntu, Fedora..... některé více známé, některé méně známé. Zajímalo by mě, jak je to s bezpečností operačních systémů, co se týká vývojových týmů.

Dá se zjistit, co za lidi za těmito distribucemi stojí? Co je to za společnosti a lidi, kterým uživatelé svěřují svá data. Člověk stáhne z internetu ISO, nainstaluje systém... v lepším případě ověří el. podpisy balíčků...

Kde má člověk jistotu, že se systémem nenainstaloval škodlivý software. Že v balíčcích před kompilací nebylo něco upraveno a pozměněno. Vím, open source - původní zdrojové kody jsou volně přístupné a zkontrolovatelné. Ne každý je programátor.

U Windowsu mě zaujalo, že bez vědomí uživatele odesílal do Microsoftu údaje o hardware v rámci ověřování pravosti MS Windowsu (WGA). Mobilní operátoři si nechali u výrobců nainstalovat Carrier IQ....  Apple shromažďoval v přístrojích (iPad) data o pohybu uživatele (relativně neškodné)

Možná jako laik do problematiky nevidím, ale právě jako běžnému uživateli mi přijde, že tu u Linuxu panuje až přílišná naivita a důvěřivost a nekritické přijímání dogmat o jeho bezpečnosti.

Např. včera Mandrivu vlastnil někdo, dnes patří zase někomu jinému.... Je to jistě běžná situace u programů, že se mění majitel nebo akcionáři. Tady jde ale o celý instalovaný systém. Stalo se někdy v historii, že by byla distribuce někdy napadena nebo zneužita zevnitř firmy?

(asi nejjistější by bylo všechny balíčky si kompilovat sám, neumím si to ale představit v praxi)

« : December 28, 2011, 09:49:02 Tomix »
Ivan Bibr
Administrator
Hero Member
*****

Karma: 52
: 3 298



« #1 : January 02, 2012, 13:20:48 »

Chtěl bych se zeptat na jednu věc. Existuje spousta distribucí, jako Mandriva, Debian, Ubuntu, Fedora..... některé více známé, některé méně známé. Zajímalo by mě, jak je to s bezpečností operačních systémů, co se týká vývojových týmů.

Otázka je velmi obecná a není v mých časových možnostech zde vše popsat, proto jen stručné odpovědi, možná se někdo k diskusi připojí.

Dá se zjistit, co za lidi za těmito distribucemi stojí? Co je to za společnosti a lidi, kterým uživatelé svěřují svá data. Člověk stáhne z internetu ISO, nainstaluje systém... v lepším případě ověří el. podpisy balíčků...

Špatná otázka - tyto systémy jsou otevřené pro vývoj i komunitním přispěvatelům, nezáleží tedy jen a pouze na společnostech (a jejich zaměstnancích).

Kde má člověk jistotu, že se systémem nenainstaloval škodlivý software. Že v balíčcích před kompilací nebylo něco upraveno a pozměněno. Vím, open source - původní zdrojové kody jsou volně přístupné a zkontrolovatelné. Ne každý je programátor.

Většina dister i jednotlivých projektů má nějaké SVN, kde se píše, kdo tam kdy a co posílal a tak se dá zjistit, kdo je za co zodpovědný - opět v obecném slova smyslu, jakou zodpovědnost má např. člověk pracující na projektu zadarmo a pro potěšení?

U Windowsu mě zaujalo, že bez vědomí uživatele odesílal do Microsoftu údaje o hardware v rámci ověřování pravosti MS Windowsu (WGA). Mobilní operátoři si nechali u výrobců nainstalovat Carrier IQ....  Apple shromažďoval v přístrojích (iPad) data o pohybu uživatele (relativně neškodné)

Osobně pevně věřím, že z toho není dána snahou "špehovat" uživatele a jeho data, obvykle jde o nedomyšlenou snahu něco zlepšit - což beze zbytku platí i pro uvedené hardwarové "špehování" MS atd.

Možná jako laik do problematiky nevidím, ale právě jako běžnému uživateli mi přijde, že tu u Linuxu panuje až přílišná naivita a důvěřivost a nekritické přijímání dogmat o jeho bezpečnosti.

Tomu rozumím, ale řečeno na rovinu, naivita a důvěřivost je společná všem laikům bez ohledu na používaný hardware a software, stačí se podívat na zcela nekritické a důvěřivé "fanoušky" Apple.

Co se fakt o bezpečnosti týče, zkuste se podívat na nějaké studie. Osobně si myslím, že právě otevřené zdrojáky jsou největší výhodou - umožňují totiž nezávislou kontrolu. Tohle u closed source není a uživatel je zcela odkázán na to, co si koupí nebo dostane. Oproti otevřeným zdrojákům je to ta horší možnost, protože někteří uživatelé jsou zároveň i programátoři.

Např. včera Mandrivu vlastnil někdo, dnes patří zase někomu jinému.... Je to jistě běžná situace u programů, že se mění majitel nebo akcionáři. Tady jde ale o celý instalovaný systém. Stalo se někdy v historii, že by byla distribuce někdy napadena nebo zneužita zevnitř firmy?

Špatná otázka - ten "celý systém" systém je z 99.9 % stejně tvořen aplikacemi a komponentami jiných tvůrců, čili není to o vlastníkovi Mandrivy. Myslím že nějaké podvrhy už tady byly, hledejte.

(asi nejjistější by bylo všechny balíčky si kompilovat sám, neumím si to ale představit v praxi)

LFS, ale ani to vám nedává jistotu - podvrhnout lze totiž všechno, tedy i zdrojový kód, že ano.

Většina otázek, které kladete platí pro jakéhokoliv výrobce softwaru bez rozdílu na Linux/neLinux a podobně. Otevřený zdrojový kód dává však dává jednoznačnou výhodu, protože si můžete zkontrolovat všechno, co v používaném softwaru je. U uzavřeného dodavatele nezbývá než mu věřit. Tolik ve stručnosti.

Tomix
Newbie
*

Karma: 1
: 29


« #2 : January 03, 2012, 21:11:13 »

děkuji za informace. Tady na fóru se obvykle řeší konkrétní technické dotazy, jak co zprovoznit, jak nainstalovat jaký ovladač....
Jak jsem napsal v dotazu, překvapilo mě, že i velké společnosti (Microsoft aj.) nemusí vůči svým platícím zákazníkům vystupovat korektně. Respektive, že mají pocit, že si můžou dovolit cokoliv (a taky se tak některé ke svým malým zákazníkům chovají, jako by to byly v lepším případě ovečky, v horším zloději). Data, která zatím sbírají a shromažďují o svých zákaznících bez jejich vědomí, můžou být do budoucna zpracována nejrůznějšími subjekty....

To, že ten "celý systém" systém je z 99.9 % stejně tvořen aplikacemi a komponentami jiných tvůrců, čili není to o vlastníkovi Mandrivy. jsem si neuvědomi. To je fakt, člověk třeba narazí na chybu a řešení, kterou popisují uživatelé Ubuntu, openSUSE aj. Programy jsou na SourceForge.net nebo mají svoje xyz.org stránky.

Na to zneužití jsem se ptal proto, že už jsem párkrát v životě viděl, jak "příležitost dělá zloděje", a že v dostatečně velkém množství lidí se vždy najde někdo, kdo podlehne pokušení.

Moc se mi líbila vaše knížka Mandriva Linux 2010 CZ.  Po stránce obsahové, praktické, grafické, didaktické .... Bez ní bych se k linuxu nikdy nedostal. Držím palce, ať se vám podaří vydat další.
Tom

« : January 03, 2012, 21:12:57 Tomix »
: [1]
   |   
 
: