[Olpc-uruguay] Software malicioso en las XO...

Pablo Flores pflores2 en gmail.com
Vie Mayo 21 10:03:34 EDT 2010


Me pregunto si no será posible revisar en una aplicación para las XO, aunque
su código esté cerrado, que NO suceda alguna de estas situaciones:
1. Que se acceda a la cámara o micrófono
2. Que ejecute con permisos de Terminal (saltando Rainbow)
3. Que se transmitan datos enciptados

Si se pudiera comprobar esto sin abrir el SW, y haciendo una revisión del
tráfico a Internet que realiza la aplicación, se podría certificar que el SW
no es malicioso...

Saludos,
Pablo Flores


2010/5/21 Pablo Moleri <pmoleri at gmail.com>

> Esos avisos creo que sirven muy poco, salvo por algunos usuarios
> desconfiados.
>
> Lo que se podría hacer en la XO sería implementar una firma para dar acceso
> como el que tiene hoy la XO y que las aplicaciones no firmadas corran en un
> sandbox más riguroso, sin acceso a cámara, microfono e internet.
>
> Pero creo que esto entorpecería aún más los desarrollos. Parte de la
> genialidad del plan ceibal es que todos puedan acceder al mismo tipo de
> aplicaciones a las que accede cualquier ninó que tenga una PC en su casa,
> esto es lo que brinda igualdad y derriba la llamada brecha tecnológica, lo
> cual se estaría entorpeciendo si se agregaran más barreras.
>
> Saludos,
> Pablo Moleri
>
> 2010/5/21 Fernando Da Rosa <fedaro at adinet.com.uy>
>
> Gabriel:
>>
>> Sin duda, comparto tu planteo. Yo no hablaba de restringir, sino de dar
>> pautas de seguridad en el caso de software privativo.
>>
>> Con relación a Windows, en las últimas versiones, vas a ver que Microsoft
>> bien que te avisa cuando vas a instalar algo que no cuenta con su
>> aprobación. Lo tuvieron que hacer, justamente, para evitar los problemas de
>> seguridad o al menos mitigarlos.
>>
>> Saludos
>> Fernando
>>
>> El 21 de mayo de 2010 08:41, Gabriel Eirea <geirea at gmail.com> escribió:
>>
>> Estimados:
>>>
>>> Interesante discusión. Creo que tenemos que ser muy cautelosos al
>>> plantear la existencia de una certificación centralizada de software
>>> porque ello inevitablemente se convertiría en un obstáculo para la
>>> difusión libre de aplicaciones creadas por la comunidad. Son ideas que
>>> mejor no caigan en manos de ciertos burócratas.
>>>
>>> El éxito de la arquitectura PC y de Windows radican, entre otras
>>> cosas, en constituirse de hecho en una plataforma estándard para el
>>> desarrollo de aplicaciones. Este estándard se construyó inicialmente
>>> como un estándard abierto y de hecho lo sigue siendo si uno está
>>> dispuesto a invertir en las herramientas de desarrollo adecuadas. Se
>>> disponía de la información y las herramientas para que cualquiera
>>> pudiera desarrollar tanto hardware como software que funcionara sobre
>>> esta plataforma.
>>>
>>> Con la XO tenemos la limitante del acceso a root, que ya nos da
>>> bastantes problemas, si bien simplifica la solución de algunos
>>> aspectos de seguridad. Es decir, Ceibal no tiene ningún inconveniente
>>> en tomar medidas que restrinjan la libertad del usuario (y violen la
>>> licencia GPL) en nombre de la seguridad. No pidamos más de eso.
>>>
>>> Además, no es necesario.
>>>
>>> El tan criticado Rainbow funciona muy bien para tal fin si estuviera
>>> bien implementado. Las aplicaciones que se pueden instalar en Sugar
>>> están todas sujetas a las restricciones de Rainbow, excepto dos o tres
>>> (journal, terminal y alguna otra). Este es el hueco por donde se metió
>>> Flavio con su actividad Terminal. Bastaría con exigir un control más
>>> estricto sobre esas actividades puntuales que tienen desactivado
>>> Rainbow.
>>>
>>> No es posible instalar actividades que corran solas en el fondo, como
>>> por ejemplo actividades que monitoreen la actividad de los niños (a
>>> menos que lo haga oficialmente Ceibal, por supuesto). Las actividades
>>> deben ser ejecutadas explícitamente por los niños para poder
>>> funcionar.
>>>
>>> También, en nombre de la seguridad, recordemos que el kernel de linux
>>> utilizado en la XO tiene algunos años y no le vendría nada mal una
>>> actualización. La dejo por ahí.
>>>
>>> Existen soluciones sencillas a los potenciales problemas que presenta
>>> la instalación de software no controlado en la XO. En mi opinión la
>>> plataforma debe ser abierta para todo tipo de software.
>>>
>>> Saludos,
>>>
>>> Gabriel
>>>
>>>
>>> El día 21 de mayo de 2010 08:10, Fernando Da Rosa
>>> <fedaro at adinet.com.uy> escribió:
>>> > Estimado:
>>> >
>>> > El LATU certifica muchas cosas, es una de sus tareas.
>>> >
>>> > Por supuesto que CeibalJam puede certificar lo que quiera, pero hay una
>>> > diferencia, creo que es mucho más probable que un desarrollador de
>>> software
>>> > privativo entregue el código fuente al LATU que a CeibalJam, no solo
>>> por un
>>> > tema de fama, sino porque si no publica su código fuente es justamente
>>> > porque no quiere que lo tenga "la competencia", ¿se entiende?. Y el
>>> LATU
>>> > como organismo oficial, seguramente le de más garantías en cuanto a
>>> cumplir
>>> > con un contrato de no revelar el código fuente.
>>> >
>>> > En todo caso yo lo que quería era dejar planteado el tema, realmente me
>>> > preocupa el tema de instalar software a ciegas. Concuerdo en que el
>>> LATU
>>> > debería publicar el código pero también debemos entender que una cosa
>>> es el
>>> > LATU, que dio inicio a CEIBAL y esta muy interesado en que todo ande
>>> bien y
>>> > otra cosa es enfrentarse a un programa que algún desconocido podría
>>> subir a
>>> > un sitio web.
>>> >
>>> > Aclaro que no propongo ni defiendo que el LATU lo haga, ni se si le
>>> puede
>>> > interesar o querer, lo que hice fue dar un ejemplo, podría ser AGESIC u
>>> otro
>>> > organismo. Y sin duda que CeibalJam si lo desea puede hacer listas de
>>> > software de lo que guste. Lo que me parece difícil es, como decía
>>> antes, el
>>> > tema del acceso al código fuente.
>>> >
>>> > En el caso de programas que promocionan una determinada marca
>>> comercial, la
>>> > marca es la que pone la cara y debería (si fuera inteligente) exigir el
>>> > código fuente y auditarlo o liberarlo. Dado que si luego el programa
>>> hace
>>> > algo perjudicial para el usuario o el equipo, la más dañada va a ser la
>>> > imagen de la marca.  Eso es algo que tendrían que entender desde las
>>> > agencias de publicidad hasta los gerentes de las empresas.
>>> >
>>> > Saludos
>>> > Fernando
>>> >
>>> > El 21 de mayo de 2010 01:54, <nanonano at mediagala.com> escribió:
>>> >>
>>> >> >Flavio Danesse wrote:
>>> >> >... si queremos abrir todo el código que hay en nuestras xo tenemos
>>> que
>>> >> > empezar por el LATU.
>>> >>
>>> >>
>>> -----------------------------------------------------------------------------------------------
>>> >>
>>> >>
>>> >> Concuerdo con Flavio, sería absurdo pedirle al LATU que certifique
>>> >> programas "buenos y amigables", cuando en realida los programas que
>>> instala
>>> >> el LATU no lo son, ya que para empezar violan las licencias del
>>> software
>>> >> libre (las licencias del software libre lo obligan a entragar software
>>> >> libre, sin clave alguna).
>>> >>
>>> >>
>>> >> Creo que tenemos que dejar de esperar que alguien de "más arriba", o
>>> el
>>> >> estaddo nos solucione tal o cual problema, creo que es mejor si uno
>>> mismo
>>> >> trata de agarrar la posta.
>>> >>
>>> >> Por ejemplo: ¿porqué tendría que ser el LATU el que certifique la
>>> "bondad"
>>> >> de un software?????
>>> >>
>>> >> ¿NO podría ser el Ceibal JAM el que lo haga???????
>>> >>   ¿porque siempre pensamos en un ente del estado para ese tipo de
>>> cosas,
>>> >> cuando lo puede hacer un ente o asociación privada?
>>> >>
>>> >> Sí, Sí, ya sé que el CeibalJAm no tiene la "FAMA" o el reconocimiento
>>> >> internacional que el LATU, pero les recuerdo que en Estados Unidos
>>> existe un
>>> >> ente privado (no recuerdo el nombre exacto) que al principio era una
>>> revista
>>> >> que probaba los electrodomésticos, para ver si eran confiables, y con
>>> el
>>> >> tiempo esa revista se convirtió en un estandard de facto, si en esa
>>> revista
>>> >> lo bochaban, el aparato no podías venderlo.
>>> >>
>>> >> Yo no vería nada descabellado que en la pagina del CeibalJAM hubiese
>>> una
>>> >> sección que dijese "tal programa es confiable, en tal otro programa no
>>> >> confiamos".
>>> >>
>>> >> Otro ejemplo es la revista "Quattroruote" (una revista de autos) que
>>> en
>>> >> Italia es "palabra santa", especialemente hablando de los precios, sea
>>> de
>>> >> los nuevos que lso autos usados.  NO hay forma de vender un auto en
>>> italia
>>> >> si difiere del precio que está eescrito en esa revista, que es
>>> considerado
>>> >> "precio oficial", y punto, no hay discusión.
>>> >>
>>> >>
>>> >> Es más: los precios de dicha revista son tan "oficiales" que han
>>> tenido
>>> >> que cambiar la metodología con el pasar de los años, porque al
>>> principio en
>>> >> la revista ponían los precios de los usados siguiendo el mercado, pero
>>> desde
>>> >> hace muchos años es al revés: el mercado sigue a la revista.
>>> >> Por ejemplo: antiguamente el precio del auto usado en dicha revista
>>> decía:
>>> >> "entre tal y tal precio". Eso tuvieron que anularlo y poner un precio
>>> solo,
>>> >> porque resultaba que los concesionarios seguían tan al pie de la letra
>>> a la
>>> >> revista "quattroruote", que a fin de cuentas el precio más bajo era el
>>> >> precio de compra de un usado, y el precio mas alto era el precio de
>>> venta, y
>>> >> la diferencia era la ganancia del concesionario, resultando así que la
>>> >> revista también determinaba no solo los precios, sino también la
>>> ganancia de
>>> >> cada concesionario.
>>> >>
>>> >>
>>> >> Y eso algo que no lo hizo el Estado, ni el gobierno, es algo privado,
>>> así
>>> >> que no creo que se necesite al LATU que certifique nada, lo pueden
>>> hacer las
>>> >> personas normales y corrientes.
>>> >>
>>> >> --------------------------
>>> >>
>>> >> Ojalá en un futuro algún privado haga algo así con lo que estamos
>>> >> hablando, y certifique el software, , hasta que llegue un punto que si
>>> no
>>> >> tiene ese certificado, el software no lo compra ni lo usa nadie.
>>> >>
>>> >>
>>> >>
>>> >> Paolo Benini
>>> >>
>>> >>
>>> >>
>>> >> Paolo BEnini
>>> >>
>>> >> _______________________________________________
>>> >> Olpc-uruguay mailing list
>>> >> Olpc-uruguay at lists.laptop.org
>>> >> http://lists.laptop.org/listinfo/olpc-uruguay
>>> >>
>>> >
>>> >
>>> >
>>> > --
>>> > Fernando da Rosa
>>> > fernando.darosa at gmail.com
>>> > http://www.fedaro.info
>>> >
>>> > _______________________________________________
>>> > Olpc-uruguay mailing list
>>> > Olpc-uruguay at lists.laptop.org
>>> > http://lists.laptop.org/listinfo/olpc-uruguay
>>> >
>>> >
>>> _______________________________________________
>>> Olpc-uruguay mailing list
>>> Olpc-uruguay at lists.laptop.org
>>> http://lists.laptop.org/listinfo/olpc-uruguay
>>>
>>
>>
>>
>> --
>> Fernando da Rosa
>> fernando.darosa at gmail.com
>> http://www.fedaro.info
>>
>> _______________________________________________
>> Olpc-uruguay mailing list
>> Olpc-uruguay at lists.laptop.org
>> http://lists.laptop.org/listinfo/olpc-uruguay
>>
>>
>
> _______________________________________________
> Olpc-uruguay mailing list
> Olpc-uruguay at lists.laptop.org
> http://lists.laptop.org/listinfo/olpc-uruguay
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.laptop.org/pipermail/olpc-uruguay/attachments/20100521/0eb4bbed/attachment.htm 


More information about the Olpc-uruguay mailing list