[Olpc-uruguay] Software malicioso en las XO...

Pablo Moleri pmoleri en gmail.com
Vie Mayo 21 08:43:27 EDT 2010 

Esos avisos creo que sirven muy poco, salvo por algunos usuarios
desconfiados.

Lo que se podría hacer en la XO sería implementar una firma para dar acceso
como el que tiene hoy la XO y que las aplicaciones no firmadas corran en un
sandbox más riguroso, sin acceso a cámara, microfono e internet.

Pero creo que esto entorpecería aún más los desarrollos. Parte de la
genialidad del plan ceibal es que todos puedan acceder al mismo tipo de
aplicaciones a las que accede cualquier ninó que tenga una PC en su casa,
esto es lo que brinda igualdad y derriba la llamada brecha tecnológica, lo
cual se estaría entorpeciendo si se agregaran más barreras.

Saludos,
Pablo Moleri

2010/5/21 Fernando Da Rosa <fedaro en adinet.com.uy>

> Gabriel:
>
> Sin duda, comparto tu planteo. Yo no hablaba de restringir, sino de dar
> pautas de seguridad en el caso de software privativo.
>
> Con relación a Windows, en las últimas versiones, vas a ver que Microsoft
> bien que te avisa cuando vas a instalar algo que no cuenta con su
> aprobación. Lo tuvieron que hacer, justamente, para evitar los problemas de
> seguridad o al menos mitigarlos.
>
> Saludos
> Fernando
>
> El 21 de mayo de 2010 08:41, Gabriel Eirea <geirea en gmail.com> escribió:
>
> Estimados:
>>
>> Interesante discusión. Creo que tenemos que ser muy cautelosos al
>> plantear la existencia de una certificación centralizada de software
>> porque ello inevitablemente se convertiría en un obstáculo para la
>> difusión libre de aplicaciones creadas por la comunidad. Son ideas que
>> mejor no caigan en manos de ciertos burócratas.
>>
>> El éxito de la arquitectura PC y de Windows radican, entre otras
>> cosas, en constituirse de hecho en una plataforma estándard para el
>> desarrollo de aplicaciones. Este estándard se construyó inicialmente
>> como un estándard abierto y de hecho lo sigue siendo si uno está
>> dispuesto a invertir en las herramientas de desarrollo adecuadas. Se
>> disponía de la información y las herramientas para que cualquiera
>> pudiera desarrollar tanto hardware como software que funcionara sobre
>> esta plataforma.
>>
>> Con la XO tenemos la limitante del acceso a root, que ya nos da
>> bastantes problemas, si bien simplifica la solución de algunos
>> aspectos de seguridad. Es decir, Ceibal no tiene ningún inconveniente
>> en tomar medidas que restrinjan la libertad del usuario (y violen la
>> licencia GPL) en nombre de la seguridad. No pidamos más de eso.
>>
>> Además, no es necesario.
>>
>> El tan criticado Rainbow funciona muy bien para tal fin si estuviera
>> bien implementado. Las aplicaciones que se pueden instalar en Sugar
>> están todas sujetas a las restricciones de Rainbow, excepto dos o tres
>> (journal, terminal y alguna otra). Este es el hueco por donde se metió
>> Flavio con su actividad Terminal. Bastaría con exigir un control más
>> estricto sobre esas actividades puntuales que tienen desactivado
>> Rainbow.
>>
>> No es posible instalar actividades que corran solas en el fondo, como
>> por ejemplo actividades que monitoreen la actividad de los niños (a
>> menos que lo haga oficialmente Ceibal, por supuesto). Las actividades
>> deben ser ejecutadas explícitamente por los niños para poder
>> funcionar.
>>
>> También, en nombre de la seguridad, recordemos que el kernel de linux
>> utilizado en la XO tiene algunos años y no le vendría nada mal una
>> actualización. La dejo por ahí.
>>
>> Existen soluciones sencillas a los potenciales problemas que presenta
>> la instalación de software no controlado en la XO. En mi opinión la
>> plataforma debe ser abierta para todo tipo de software.
>>
>> Saludos,
>>
>> Gabriel
>>
>>
>> El día 21 de mayo de 2010 08:10, Fernando Da Rosa
>> <fedaro en adinet.com.uy> escribió:
>> > Estimado:
>> >
>> > El LATU certifica muchas cosas, es una de sus tareas.
>> >
>> > Por supuesto que CeibalJam puede certificar lo que quiera, pero hay una
>> > diferencia, creo que es mucho más probable que un desarrollador de
>> software
>> > privativo entregue el código fuente al LATU que a CeibalJam, no solo por
>> un
>> > tema de fama, sino porque si no publica su código fuente es justamente
>> > porque no quiere que lo tenga "la competencia", ¿se entiende?. Y el LATU
>> > como organismo oficial, seguramente le de más garantías en cuanto a
>> cumplir
>> > con un contrato de no revelar el código fuente.
>> >
>> > En todo caso yo lo que quería era dejar planteado el tema, realmente me
>> > preocupa el tema de instalar software a ciegas. Concuerdo en que el LATU
>> > debería publicar el código pero también debemos entender que una cosa es
>> el
>> > LATU, que dio inicio a CEIBAL y esta muy interesado en que todo ande
>> bien y
>> > otra cosa es enfrentarse a un programa que algún desconocido podría
>> subir a
>> > un sitio web.
>> >
>> > Aclaro que no propongo ni defiendo que el LATU lo haga, ni se si le
>> puede
>> > interesar o querer, lo que hice fue dar un ejemplo, podría ser AGESIC u
>> otro
>> > organismo. Y sin duda que CeibalJam si lo desea puede hacer listas de
>> > software de lo que guste. Lo que me parece difícil es, como decía antes,
>> el
>> > tema del acceso al código fuente.
>> >
>> > En el caso de programas que promocionan una determinada marca comercial,
>> la
>> > marca es la que pone la cara y debería (si fuera inteligente) exigir el
>> > código fuente y auditarlo o liberarlo. Dado que si luego el programa
>> hace
>> > algo perjudicial para el usuario o el equipo, la más dañada va a ser la
>> > imagen de la marca.  Eso es algo que tendrían que entender desde las
>> > agencias de publicidad hasta los gerentes de las empresas.
>> >
>> > Saludos
>> > Fernando
>> >
>> > El 21 de mayo de 2010 01:54, <nanonano en mediagala.com> escribió:
>> >>
>> >> >Flavio Danesse wrote:
>> >> >... si queremos abrir todo el código que hay en nuestras xo tenemos
>> que
>> >> > empezar por el LATU.
>> >>
>> >>
>> -----------------------------------------------------------------------------------------------
>> >>
>> >>
>> >> Concuerdo con Flavio, sería absurdo pedirle al LATU que certifique
>> >> programas "buenos y amigables", cuando en realida los programas que
>> instala
>> >> el LATU no lo son, ya que para empezar violan las licencias del
>> software
>> >> libre (las licencias del software libre lo obligan a entragar software
>> >> libre, sin clave alguna).
>> >>
>> >>
>> >> Creo que tenemos que dejar de esperar que alguien de "más arriba", o el
>> >> estaddo nos solucione tal o cual problema, creo que es mejor si uno
>> mismo
>> >> trata de agarrar la posta.
>> >>
>> >> Por ejemplo: ¿porqué tendría que ser el LATU el que certifique la
>> "bondad"
>> >> de un software?????
>> >>
>> >> ¿NO podría ser el Ceibal JAM el que lo haga???????
>> >>   ¿porque siempre pensamos en un ente del estado para ese tipo de
>> cosas,
>> >> cuando lo puede hacer un ente o asociación privada?
>> >>
>> >> Sí, Sí, ya sé que el CeibalJAm no tiene la "FAMA" o el reconocimiento
>> >> internacional que el LATU, pero les recuerdo que en Estados Unidos
>> existe un
>> >> ente privado (no recuerdo el nombre exacto) que al principio era una
>> revista
>> >> que probaba los electrodomésticos, para ver si eran confiables, y con
>> el
>> >> tiempo esa revista se convirtió en un estandard de facto, si en esa
>> revista
>> >> lo bochaban, el aparato no podías venderlo.
>> >>
>> >> Yo no vería nada descabellado que en la pagina del CeibalJAM hubiese
>> una
>> >> sección que dijese "tal programa es confiable, en tal otro programa no
>> >> confiamos".
>> >>
>> >> Otro ejemplo es la revista "Quattroruote" (una revista de autos) que en
>> >> Italia es "palabra santa", especialemente hablando de los precios, sea
>> de
>> >> los nuevos que lso autos usados.  NO hay forma de vender un auto en
>> italia
>> >> si difiere del precio que está eescrito en esa revista, que es
>> considerado
>> >> "precio oficial", y punto, no hay discusión.
>> >>
>> >>
>> >> Es más: los precios de dicha revista son tan "oficiales" que han tenido
>> >> que cambiar la metodología con el pasar de los años, porque al
>> principio en
>> >> la revista ponían los precios de los usados siguiendo el mercado, pero
>> desde
>> >> hace muchos años es al revés: el mercado sigue a la revista.
>> >> Por ejemplo: antiguamente el precio del auto usado en dicha revista
>> decía:
>> >> "entre tal y tal precio". Eso tuvieron que anularlo y poner un precio
>> solo,
>> >> porque resultaba que los concesionarios seguían tan al pie de la letra
>> a la
>> >> revista "quattroruote", que a fin de cuentas el precio más bajo era el
>> >> precio de compra de un usado, y el precio mas alto era el precio de
>> venta, y
>> >> la diferencia era la ganancia del concesionario, resultando así que la
>> >> revista también determinaba no solo los precios, sino también la
>> ganancia de
>> >> cada concesionario.
>> >>
>> >>
>> >> Y eso algo que no lo hizo el Estado, ni el gobierno, es algo privado,
>> así
>> >> que no creo que se necesite al LATU que certifique nada, lo pueden
>> hacer las
>> >> personas normales y corrientes.
>> >>
>> >> --------------------------
>> >>
>> >> Ojalá en un futuro algún privado haga algo así con lo que estamos
>> >> hablando, y certifique el software, , hasta que llegue un punto que si
>> no
>> >> tiene ese certificado, el software no lo compra ni lo usa nadie.
>> >>
>> >>
>> >>
>> >> Paolo Benini
>> >>
>> >>
>> >>
>> >> Paolo BEnini
>> >>
>> >> _______________________________________________
>> >> Olpc-uruguay mailing list
>> >> Olpc-uruguay en lists.laptop.org
>> >> http://lists.laptop.org/listinfo/olpc-uruguay
>> >>
>> >
>> >
>> >
>> > --
>> > Fernando da Rosa
>> > fernando.darosa en gmail.com
>> > http://www.fedaro.info
>> >
>> > _______________________________________________
>> > Olpc-uruguay mailing list
>> > Olpc-uruguay en lists.laptop.org
>> > http://lists.laptop.org/listinfo/olpc-uruguay
>> >
>> >
>> _______________________________________________
>> Olpc-uruguay mailing list
>> Olpc-uruguay en lists.laptop.org
>> http://lists.laptop.org/listinfo/olpc-uruguay
>>
>
>
>
> --
> Fernando da Rosa
> fernando.darosa en gmail.com
> http://www.fedaro.info
>
> _______________________________________________
> Olpc-uruguay mailing list
> Olpc-uruguay en lists.laptop.org
> http://lists.laptop.org/listinfo/olpc-uruguay
>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://lists.laptop.org/pipermail/olpc-uruguay/attachments/20100521/a53a4dfd/attachment.htm

More information about the Olpc-uruguay mailing list