[Olpc-uruguay] Software malicioso en las XO...

Vie Mayo 21 07:41:41 EDT 2010

Estimados:

Interesante discusión. Creo que tenemos que ser muy cautelosos al
plantear la existencia de una certificación centralizada de software
porque ello inevitablemente se convertiría en un obstáculo para la
difusión libre de aplicaciones creadas por la comunidad. Son ideas que
mejor no caigan en manos de ciertos burócratas.

El éxito de la arquitectura PC y de Windows radican, entre otras
cosas, en constituirse de hecho en una plataforma estándard para el
desarrollo de aplicaciones. Este estándard se construyó inicialmente
como un estándard abierto y de hecho lo sigue siendo si uno está
dispuesto a invertir en las herramientas de desarrollo adecuadas. Se
disponía de la información y las herramientas para que cualquiera
pudiera desarrollar tanto hardware como software que funcionara sobre
esta plataforma.

Con la XO tenemos la limitante del acceso a root, que ya nos da
bastantes problemas, si bien simplifica la solución de algunos
aspectos de seguridad. Es decir, Ceibal no tiene ningún inconveniente
en tomar medidas que restrinjan la libertad del usuario (y violen la
licencia GPL) en nombre de la seguridad. No pidamos más de eso.

Además, no es necesario.

El tan criticado Rainbow funciona muy bien para tal fin si estuviera
bien implementado. Las aplicaciones que se pueden instalar en Sugar
están todas sujetas a las restricciones de Rainbow, excepto dos o tres
(journal, terminal y alguna otra). Este es el hueco por donde se metió
Flavio con su actividad Terminal. Bastaría con exigir un control más
estricto sobre esas actividades puntuales que tienen desactivado
Rainbow.

No es posible instalar actividades que corran solas en el fondo, como
por ejemplo actividades que monitoreen la actividad de los niños (a
menos que lo haga oficialmente Ceibal, por supuesto). Las actividades
deben ser ejecutadas explícitamente por los niños para poder
funcionar.

También, en nombre de la seguridad, recordemos que el kernel de linux
utilizado en la XO tiene algunos años y no le vendría nada mal una
actualización. La dejo por ahí.

Existen soluciones sencillas a los potenciales problemas que presenta
la instalación de software no controlado en la XO. En mi opinión la
plataforma debe ser abierta para todo tipo de software.

Saludos,

Gabriel

El día 21 de mayo de 2010 08:10, Fernando Da Rosa
<fedaro at adinet.com.uy> escribió:
> Estimado:
>
> El LATU certifica muchas cosas, es una de sus tareas.
>
> Por supuesto que CeibalJam puede certificar lo que quiera, pero hay una
> diferencia, creo que es mucho más probable que un desarrollador de software
> privativo entregue el código fuente al LATU que a CeibalJam, no solo por un
> tema de fama, sino porque si no publica su código fuente es justamente
> porque no quiere que lo tenga "la competencia", ¿se entiende?. Y el LATU
> como organismo oficial, seguramente le de más garantías en cuanto a cumplir
> con un contrato de no revelar el código fuente.
>
> En todo caso yo lo que quería era dejar planteado el tema, realmente me
> preocupa el tema de instalar software a ciegas. Concuerdo en que el LATU
> debería publicar el código pero también debemos entender que una cosa es el
> LATU, que dio inicio a CEIBAL y esta muy interesado en que todo ande bien y
> otra cosa es enfrentarse a un programa que algún desconocido podría subir a
> un sitio web.
>
> Aclaro que no propongo ni defiendo que el LATU lo haga, ni se si le puede
> interesar o querer, lo que hice fue dar un ejemplo, podría ser AGESIC u otro
> organismo. Y sin duda que CeibalJam si lo desea puede hacer listas de
> software de lo que guste. Lo que me parece difícil es, como decía antes, el
> tema del acceso al código fuente.
>
> En el caso de programas que promocionan una determinada marca comercial, la
> marca es la que pone la cara y debería (si fuera inteligente) exigir el
> código fuente y auditarlo o liberarlo. Dado que si luego el programa hace
> algo perjudicial para el usuario o el equipo, la más dañada va a ser la
> imagen de la marca.  Eso es algo que tendrían que entender desde las
> agencias de publicidad hasta los gerentes de las empresas.
>
> Saludos
> Fernando
>
> El 21 de mayo de 2010 01:54, <nanonano at mediagala.com> escribió:
>>
>> >Flavio Danesse wrote:
>> >... si queremos abrir todo el código que hay en nuestras xo tenemos que
>> > empezar por el LATU.
>>
>> -----------------------------------------------------------------------------------------------
>>
>>
>> Concuerdo con Flavio, sería absurdo pedirle al LATU que certifique
>> programas "buenos y amigables", cuando en realida los programas que instala
>> el LATU no lo son, ya que para empezar violan las licencias del software
>> libre (las licencias del software libre lo obligan a entragar software
>> libre, sin clave alguna).
>>
>>
>> Creo que tenemos que dejar de esperar que alguien de "más arriba", o el
>> estaddo nos solucione tal o cual problema, creo que es mejor si uno mismo
>> trata de agarrar la posta.
>>
>> Por ejemplo: ¿porqué tendría que ser el LATU el que certifique la "bondad"
>> de un software?????
>>
>> ¿NO podría ser el Ceibal JAM el que lo haga???????
>>   ¿porque siempre pensamos en un ente del estado para ese tipo de cosas,
>> cuando lo puede hacer un ente o asociación privada?
>>
>> Sí, Sí, ya sé que el CeibalJAm no tiene la "FAMA" o el reconocimiento
>> internacional que el LATU, pero les recuerdo que en Estados Unidos existe un
>> ente privado (no recuerdo el nombre exacto) que al principio era una revista
>> que probaba los electrodomésticos, para ver si eran confiables, y con el
>> tiempo esa revista se convirtió en un estandard de facto, si en esa revista
>> lo bochaban, el aparato no podías venderlo.
>>
>> Yo no vería nada descabellado que en la pagina del CeibalJAM hubiese una
>> sección que dijese "tal programa es confiable, en tal otro programa no
>> confiamos".
>>
>> Otro ejemplo es la revista "Quattroruote" (una revista de autos) que en
>> Italia es "palabra santa", especialemente hablando de los precios, sea de
>> los nuevos que lso autos usados.  NO hay forma de vender un auto en italia
>> si difiere del precio que está eescrito en esa revista, que es considerado
>> "precio oficial", y punto, no hay discusión.
>>
>>
>> Es más: los precios de dicha revista son tan "oficiales" que han tenido
>> que cambiar la metodología con el pasar de los años, porque al principio en
>> la revista ponían los precios de los usados siguiendo el mercado, pero desde
>> hace muchos años es al revés: el mercado sigue a la revista.
>> Por ejemplo: antiguamente el precio del auto usado en dicha revista decía:
>> "entre tal y tal precio". Eso tuvieron que anularlo y poner un precio solo,
>> porque resultaba que los concesionarios seguían tan al pie de la letra a la
>> revista "quattroruote", que a fin de cuentas el precio más bajo era el
>> precio de compra de un usado, y el precio mas alto era el precio de venta, y
>> la diferencia era la ganancia del concesionario, resultando así que la
>> revista también determinaba no solo los precios, sino también la ganancia de
>> cada concesionario.
>>
>>
>> Y eso algo que no lo hizo el Estado, ni el gobierno, es algo privado, así
>> que no creo que se necesite al LATU que certifique nada, lo pueden hacer las
>> personas normales y corrientes.
>>
>> --------------------------
>>
>> Ojalá en un futuro algún privado haga algo así con lo que estamos
>> hablando, y certifique el software, , hasta que llegue un punto que si no
>> tiene ese certificado, el software no lo compra ni lo usa nadie.
>>
>>
>>
>> Paolo Benini
>>
>>
>>
>> Paolo BEnini
>>
>> _______________________________________________
>> Olpc-uruguay mailing list
>> Olpc-uruguay at lists.laptop.org
>> http://lists.laptop.org/listinfo/olpc-uruguay
>>
>
>
>
> --
> Fernando da Rosa
> fernando.darosa at gmail.com
> http://www.fedaro.info
>
> _______________________________________________
> Olpc-uruguay mailing list
> Olpc-uruguay at lists.laptop.org
> http://lists.laptop.org/listinfo/olpc-uruguay
>
>