[Olpc-uruguay] Software malicioso en las XO...

Fernando Da Rosa fedaro en adinet.com.uy
Vie Mayo 21 08:06:55 EDT 2010


Gabriel:

Sin duda, comparto tu planteo. Yo no hablaba de restringir, sino de dar
pautas de seguridad en el caso de software privativo.

Con relación a Windows, en las últimas versiones, vas a ver que Microsoft
bien que te avisa cuando vas a instalar algo que no cuenta con su
aprobación. Lo tuvieron que hacer, justamente, para evitar los problemas de
seguridad o al menos mitigarlos.

Saludos
Fernando

El 21 de mayo de 2010 08:41, Gabriel Eirea <geirea at gmail.com> escribió:

> Estimados:
>
> Interesante discusión. Creo que tenemos que ser muy cautelosos al
> plantear la existencia de una certificación centralizada de software
> porque ello inevitablemente se convertiría en un obstáculo para la
> difusión libre de aplicaciones creadas por la comunidad. Son ideas que
> mejor no caigan en manos de ciertos burócratas.
>
> El éxito de la arquitectura PC y de Windows radican, entre otras
> cosas, en constituirse de hecho en una plataforma estándard para el
> desarrollo de aplicaciones. Este estándard se construyó inicialmente
> como un estándard abierto y de hecho lo sigue siendo si uno está
> dispuesto a invertir en las herramientas de desarrollo adecuadas. Se
> disponía de la información y las herramientas para que cualquiera
> pudiera desarrollar tanto hardware como software que funcionara sobre
> esta plataforma.
>
> Con la XO tenemos la limitante del acceso a root, que ya nos da
> bastantes problemas, si bien simplifica la solución de algunos
> aspectos de seguridad. Es decir, Ceibal no tiene ningún inconveniente
> en tomar medidas que restrinjan la libertad del usuario (y violen la
> licencia GPL) en nombre de la seguridad. No pidamos más de eso.
>
> Además, no es necesario.
>
> El tan criticado Rainbow funciona muy bien para tal fin si estuviera
> bien implementado. Las aplicaciones que se pueden instalar en Sugar
> están todas sujetas a las restricciones de Rainbow, excepto dos o tres
> (journal, terminal y alguna otra). Este es el hueco por donde se metió
> Flavio con su actividad Terminal. Bastaría con exigir un control más
> estricto sobre esas actividades puntuales que tienen desactivado
> Rainbow.
>
> No es posible instalar actividades que corran solas en el fondo, como
> por ejemplo actividades que monitoreen la actividad de los niños (a
> menos que lo haga oficialmente Ceibal, por supuesto). Las actividades
> deben ser ejecutadas explícitamente por los niños para poder
> funcionar.
>
> También, en nombre de la seguridad, recordemos que el kernel de linux
> utilizado en la XO tiene algunos años y no le vendría nada mal una
> actualización. La dejo por ahí.
>
> Existen soluciones sencillas a los potenciales problemas que presenta
> la instalación de software no controlado en la XO. En mi opinión la
> plataforma debe ser abierta para todo tipo de software.
>
> Saludos,
>
> Gabriel
>
>
> El día 21 de mayo de 2010 08:10, Fernando Da Rosa
> <fedaro at adinet.com.uy> escribió:
> > Estimado:
> >
> > El LATU certifica muchas cosas, es una de sus tareas.
> >
> > Por supuesto que CeibalJam puede certificar lo que quiera, pero hay una
> > diferencia, creo que es mucho más probable que un desarrollador de
> software
> > privativo entregue el código fuente al LATU que a CeibalJam, no solo por
> un
> > tema de fama, sino porque si no publica su código fuente es justamente
> > porque no quiere que lo tenga "la competencia", ¿se entiende?. Y el LATU
> > como organismo oficial, seguramente le de más garantías en cuanto a
> cumplir
> > con un contrato de no revelar el código fuente.
> >
> > En todo caso yo lo que quería era dejar planteado el tema, realmente me
> > preocupa el tema de instalar software a ciegas. Concuerdo en que el LATU
> > debería publicar el código pero también debemos entender que una cosa es
> el
> > LATU, que dio inicio a CEIBAL y esta muy interesado en que todo ande bien
> y
> > otra cosa es enfrentarse a un programa que algún desconocido podría subir
> a
> > un sitio web.
> >
> > Aclaro que no propongo ni defiendo que el LATU lo haga, ni se si le puede
> > interesar o querer, lo que hice fue dar un ejemplo, podría ser AGESIC u
> otro
> > organismo. Y sin duda que CeibalJam si lo desea puede hacer listas de
> > software de lo que guste. Lo que me parece difícil es, como decía antes,
> el
> > tema del acceso al código fuente.
> >
> > En el caso de programas que promocionan una determinada marca comercial,
> la
> > marca es la que pone la cara y debería (si fuera inteligente) exigir el
> > código fuente y auditarlo o liberarlo. Dado que si luego el programa hace
> > algo perjudicial para el usuario o el equipo, la más dañada va a ser la
> > imagen de la marca.  Eso es algo que tendrían que entender desde las
> > agencias de publicidad hasta los gerentes de las empresas.
> >
> > Saludos
> > Fernando
> >
> > El 21 de mayo de 2010 01:54, <nanonano at mediagala.com> escribió:
> >>
> >> >Flavio Danesse wrote:
> >> >... si queremos abrir todo el código que hay en nuestras xo tenemos que
> >> > empezar por el LATU.
> >>
> >>
> -----------------------------------------------------------------------------------------------
> >>
> >>
> >> Concuerdo con Flavio, sería absurdo pedirle al LATU que certifique
> >> programas "buenos y amigables", cuando en realida los programas que
> instala
> >> el LATU no lo son, ya que para empezar violan las licencias del software
> >> libre (las licencias del software libre lo obligan a entragar software
> >> libre, sin clave alguna).
> >>
> >>
> >> Creo que tenemos que dejar de esperar que alguien de "más arriba", o el
> >> estaddo nos solucione tal o cual problema, creo que es mejor si uno
> mismo
> >> trata de agarrar la posta.
> >>
> >> Por ejemplo: ¿porqué tendría que ser el LATU el que certifique la
> "bondad"
> >> de un software?????
> >>
> >> ¿NO podría ser el Ceibal JAM el que lo haga???????
> >>   ¿porque siempre pensamos en un ente del estado para ese tipo de cosas,
> >> cuando lo puede hacer un ente o asociación privada?
> >>
> >> Sí, Sí, ya sé que el CeibalJAm no tiene la "FAMA" o el reconocimiento
> >> internacional que el LATU, pero les recuerdo que en Estados Unidos
> existe un
> >> ente privado (no recuerdo el nombre exacto) que al principio era una
> revista
> >> que probaba los electrodomésticos, para ver si eran confiables, y con el
> >> tiempo esa revista se convirtió en un estandard de facto, si en esa
> revista
> >> lo bochaban, el aparato no podías venderlo.
> >>
> >> Yo no vería nada descabellado que en la pagina del CeibalJAM hubiese una
> >> sección que dijese "tal programa es confiable, en tal otro programa no
> >> confiamos".
> >>
> >> Otro ejemplo es la revista "Quattroruote" (una revista de autos) que en
> >> Italia es "palabra santa", especialemente hablando de los precios, sea
> de
> >> los nuevos que lso autos usados.  NO hay forma de vender un auto en
> italia
> >> si difiere del precio que está eescrito en esa revista, que es
> considerado
> >> "precio oficial", y punto, no hay discusión.
> >>
> >>
> >> Es más: los precios de dicha revista son tan "oficiales" que han tenido
> >> que cambiar la metodología con el pasar de los años, porque al principio
> en
> >> la revista ponían los precios de los usados siguiendo el mercado, pero
> desde
> >> hace muchos años es al revés: el mercado sigue a la revista.
> >> Por ejemplo: antiguamente el precio del auto usado en dicha revista
> decía:
> >> "entre tal y tal precio". Eso tuvieron que anularlo y poner un precio
> solo,
> >> porque resultaba que los concesionarios seguían tan al pie de la letra a
> la
> >> revista "quattroruote", que a fin de cuentas el precio más bajo era el
> >> precio de compra de un usado, y el precio mas alto era el precio de
> venta, y
> >> la diferencia era la ganancia del concesionario, resultando así que la
> >> revista también determinaba no solo los precios, sino también la
> ganancia de
> >> cada concesionario.
> >>
> >>
> >> Y eso algo que no lo hizo el Estado, ni el gobierno, es algo privado,
> así
> >> que no creo que se necesite al LATU que certifique nada, lo pueden hacer
> las
> >> personas normales y corrientes.
> >>
> >> --------------------------
> >>
> >> Ojalá en un futuro algún privado haga algo así con lo que estamos
> >> hablando, y certifique el software, , hasta que llegue un punto que si
> no
> >> tiene ese certificado, el software no lo compra ni lo usa nadie.
> >>
> >>
> >>
> >> Paolo Benini
> >>
> >>
> >>
> >> Paolo BEnini
> >>
> >> _______________________________________________
> >> Olpc-uruguay mailing list
> >> Olpc-uruguay at lists.laptop.org
> >> http://lists.laptop.org/listinfo/olpc-uruguay
> >>
> >
> >
> >
> > --
> > Fernando da Rosa
> > fernando.darosa at gmail.com
> > http://www.fedaro.info
> >
> > _______________________________________________
> > Olpc-uruguay mailing list
> > Olpc-uruguay at lists.laptop.org
> > http://lists.laptop.org/listinfo/olpc-uruguay
> >
> >
> _______________________________________________
> Olpc-uruguay mailing list
> Olpc-uruguay at lists.laptop.org
> http://lists.laptop.org/listinfo/olpc-uruguay
>



-- 
Fernando da Rosa
fernando.darosa at gmail.com
http://www.fedaro.info
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.laptop.org/pipermail/olpc-uruguay/attachments/20100521/071e656e/attachment-0001.htm 


More information about the Olpc-uruguay mailing list