[Olpc-uruguay] Software malicioso en las XO...

Fernando Da Rosa fedaro en adinet.com.uy
Vie Mayo 21 10:58:08 EDT 2010 

Bueno eso si que sería fabuloso, revisar tres items y asegurar que el SW no
es malicioso.

Que digo, en realidad se podría reducir a un solo item.

Si se pudiera revisar la aplicación aunque el código estuviera cerrado y
comprobar que no suceda lo siguiente:

1. Ejecución de código malicioso.

Podríamos certificar que el SW no es malicioso.

Saludos
Fernando


El 21 de mayo de 2010 11:03, Pablo Flores <pflores2 at gmail.com> escribió:

> Me pregunto si no será posible revisar en una aplicación para las XO,
> aunque su código esté cerrado, que NO suceda alguna de estas situaciones:
> 1. Que se acceda a la cámara o micrófono
> 2. Que ejecute con permisos de Terminal (saltando Rainbow)
> 3. Que se transmitan datos enciptados
>
> Si se pudiera comprobar esto sin abrir el SW, y haciendo una revisión del
> tráfico a Internet que realiza la aplicación, se podría certificar que el SW
> no es malicioso...
>
> Saludos,
> Pablo Flores
>
>
> 2010/5/21 Pablo Moleri <pmoleri at gmail.com>
>
> Esos avisos creo que sirven muy poco, salvo por algunos usuarios
>> desconfiados.
>>
>> Lo que se podría hacer en la XO sería implementar una firma para dar
>> acceso como el que tiene hoy la XO y que las aplicaciones no firmadas corran
>> en un sandbox más riguroso, sin acceso a cámara, microfono e internet.
>>
>> Pero creo que esto entorpecería aún más los desarrollos. Parte de la
>> genialidad del plan ceibal es que todos puedan acceder al mismo tipo de
>> aplicaciones a las que accede cualquier ninó que tenga una PC en su casa,
>> esto es lo que brinda igualdad y derriba la llamada brecha tecnológica, lo
>> cual se estaría entorpeciendo si se agregaran más barreras.
>>
>> Saludos,
>> Pablo Moleri
>>
>> 2010/5/21 Fernando Da Rosa <fedaro at adinet.com.uy>
>>
>> Gabriel:
>>>
>>> Sin duda, comparto tu planteo. Yo no hablaba de restringir, sino de dar
>>> pautas de seguridad en el caso de software privativo.
>>>
>>> Con relación a Windows, en las últimas versiones, vas a ver que Microsoft
>>> bien que te avisa cuando vas a instalar algo que no cuenta con su
>>> aprobación. Lo tuvieron que hacer, justamente, para evitar los problemas de
>>> seguridad o al menos mitigarlos.
>>>
>>> Saludos
>>> Fernando
>>>
>>> El 21 de mayo de 2010 08:41, Gabriel Eirea <geirea at gmail.com> escribió:
>>>
>>> Estimados:
>>>>
>>>> Interesante discusión. Creo que tenemos que ser muy cautelosos al
>>>> plantear la existencia de una certificación centralizada de software
>>>> porque ello inevitablemente se convertiría en un obstáculo para la
>>>> difusión libre de aplicaciones creadas por la comunidad. Son ideas que
>>>> mejor no caigan en manos de ciertos burócratas.
>>>>
>>>> El éxito de la arquitectura PC y de Windows radican, entre otras
>>>> cosas, en constituirse de hecho en una plataforma estándard para el
>>>> desarrollo de aplicaciones. Este estándard se construyó inicialmente
>>>> como un estándard abierto y de hecho lo sigue siendo si uno está
>>>> dispuesto a invertir en las herramientas de desarrollo adecuadas. Se
>>>> disponía de la información y las herramientas para que cualquiera
>>>> pudiera desarrollar tanto hardware como software que funcionara sobre
>>>> esta plataforma.
>>>>
>>>> Con la XO tenemos la limitante del acceso a root, que ya nos da
>>>> bastantes problemas, si bien simplifica la solución de algunos
>>>> aspectos de seguridad. Es decir, Ceibal no tiene ningún inconveniente
>>>> en tomar medidas que restrinjan la libertad del usuario (y violen la
>>>> licencia GPL) en nombre de la seguridad. No pidamos más de eso.
>>>>
>>>> Además, no es necesario.
>>>>
>>>> El tan criticado Rainbow funciona muy bien para tal fin si estuviera
>>>> bien implementado. Las aplicaciones que se pueden instalar en Sugar
>>>> están todas sujetas a las restricciones de Rainbow, excepto dos o tres
>>>> (journal, terminal y alguna otra). Este es el hueco por donde se metió
>>>> Flavio con su actividad Terminal. Bastaría con exigir un control más
>>>> estricto sobre esas actividades puntuales que tienen desactivado
>>>> Rainbow.
>>>>
>>>> No es posible instalar actividades que corran solas en el fondo, como
>>>> por ejemplo actividades que monitoreen la actividad de los niños (a
>>>> menos que lo haga oficialmente Ceibal, por supuesto). Las actividades
>>>> deben ser ejecutadas explícitamente por los niños para poder
>>>> funcionar.
>>>>
>>>> También, en nombre de la seguridad, recordemos que el kernel de linux
>>>> utilizado en la XO tiene algunos años y no le vendría nada mal una
>>>> actualización. La dejo por ahí.
>>>>
>>>> Existen soluciones sencillas a los potenciales problemas que presenta
>>>> la instalación de software no controlado en la XO. En mi opinión la
>>>> plataforma debe ser abierta para todo tipo de software.
>>>>
>>>> Saludos,
>>>>
>>>> Gabriel
>>>>
>>>>
>>>> El día 21 de mayo de 2010 08:10, Fernando Da Rosa
>>>> <fedaro at adinet.com.uy> escribió:
>>>> > Estimado:
>>>> >
>>>> > El LATU certifica muchas cosas, es una de sus tareas.
>>>> >
>>>> > Por supuesto que CeibalJam puede certificar lo que quiera, pero hay
>>>> una
>>>> > diferencia, creo que es mucho más probable que un desarrollador de
>>>> software
>>>> > privativo entregue el código fuente al LATU que a CeibalJam, no solo
>>>> por un
>>>> > tema de fama, sino porque si no publica su código fuente es justamente
>>>> > porque no quiere que lo tenga "la competencia", ¿se entiende?. Y el
>>>> LATU
>>>> > como organismo oficial, seguramente le de más garantías en cuanto a
>>>> cumplir
>>>> > con un contrato de no revelar el código fuente.
>>>> >
>>>> > En todo caso yo lo que quería era dejar planteado el tema, realmente
>>>> me
>>>> > preocupa el tema de instalar software a ciegas. Concuerdo en que el
>>>> LATU
>>>> > debería publicar el código pero también debemos entender que una cosa
>>>> es el
>>>> > LATU, que dio inicio a CEIBAL y esta muy interesado en que todo ande
>>>> bien y
>>>> > otra cosa es enfrentarse a un programa que algún desconocido podría
>>>> subir a
>>>> > un sitio web.
>>>> >
>>>> > Aclaro que no propongo ni defiendo que el LATU lo haga, ni se si le
>>>> puede
>>>> > interesar o querer, lo que hice fue dar un ejemplo, podría ser AGESIC
>>>> u otro
>>>> > organismo. Y sin duda que CeibalJam si lo desea puede hacer listas de
>>>> > software de lo que guste. Lo que me parece difícil es, como decía
>>>> antes, el
>>>> > tema del acceso al código fuente.
>>>> >
>>>> > En el caso de programas que promocionan una determinada marca
>>>> comercial, la
>>>> > marca es la que pone la cara y debería (si fuera inteligente) exigir
>>>> el
>>>> > código fuente y auditarlo o liberarlo. Dado que si luego el programa
>>>> hace
>>>> > algo perjudicial para el usuario o el equipo, la más dañada va a ser
>>>> la
>>>> > imagen de la marca.  Eso es algo que tendrían que entender desde las
>>>> > agencias de publicidad hasta los gerentes de las empresas.
>>>> >
>>>> > Saludos
>>>> > Fernando
>>>> >
>>>> > El 21 de mayo de 2010 01:54, <nanonano at mediagala.com> escribió:
>>>> >>
>>>> >> >Flavio Danesse wrote:
>>>> >> >... si queremos abrir todo el código que hay en nuestras xo tenemos
>>>> que
>>>> >> > empezar por el LATU.
>>>> >>
>>>> >>
>>>> -----------------------------------------------------------------------------------------------
>>>> >>
>>>> >>
>>>> >> Concuerdo con Flavio, sería absurdo pedirle al LATU que certifique
>>>> >> programas "buenos y amigables", cuando en realida los programas que
>>>> instala
>>>> >> el LATU no lo son, ya que para empezar violan las licencias del
>>>> software
>>>> >> libre (las licencias del software libre lo obligan a entragar
>>>> software
>>>> >> libre, sin clave alguna).
>>>> >>
>>>> >>
>>>> >> Creo que tenemos que dejar de esperar que alguien de "más arriba", o
>>>> el
>>>> >> estaddo nos solucione tal o cual problema, creo que es mejor si uno
>>>> mismo
>>>> >> trata de agarrar la posta.
>>>> >>
>>>> >> Por ejemplo: ¿porqué tendría que ser el LATU el que certifique la
>>>> "bondad"
>>>> >> de un software?????
>>>> >>
>>>> >> ¿NO podría ser el Ceibal JAM el que lo haga???????
>>>> >>   ¿porque siempre pensamos en un ente del estado para ese tipo de
>>>> cosas,
>>>> >> cuando lo puede hacer un ente o asociación privada?
>>>> >>
>>>> >> Sí, Sí, ya sé que el CeibalJAm no tiene la "FAMA" o el reconocimiento
>>>> >> internacional que el LATU, pero les recuerdo que en Estados Unidos
>>>> existe un
>>>> >> ente privado (no recuerdo el nombre exacto) que al principio era una
>>>> revista
>>>> >> que probaba los electrodomésticos, para ver si eran confiables, y con
>>>> el
>>>> >> tiempo esa revista se convirtió en un estandard de facto, si en esa
>>>> revista
>>>> >> lo bochaban, el aparato no podías venderlo.
>>>> >>
>>>> >> Yo no vería nada descabellado que en la pagina del CeibalJAM hubiese
>>>> una
>>>> >> sección que dijese "tal programa es confiable, en tal otro programa
>>>> no
>>>> >> confiamos".
>>>> >>
>>>> >> Otro ejemplo es la revista "Quattroruote" (una revista de autos) que
>>>> en
>>>> >> Italia es "palabra santa", especialemente hablando de los precios,
>>>> sea de
>>>> >> los nuevos que lso autos usados.  NO hay forma de vender un auto en
>>>> italia
>>>> >> si difiere del precio que está eescrito en esa revista, que es
>>>> considerado
>>>> >> "precio oficial", y punto, no hay discusión.
>>>> >>
>>>> >>
>>>> >> Es más: los precios de dicha revista son tan "oficiales" que han
>>>> tenido
>>>> >> que cambiar la metodología con el pasar de los años, porque al
>>>> principio en
>>>> >> la revista ponían los precios de los usados siguiendo el mercado,
>>>> pero desde
>>>> >> hace muchos años es al revés: el mercado sigue a la revista.
>>>> >> Por ejemplo: antiguamente el precio del auto usado en dicha revista
>>>> decía:
>>>> >> "entre tal y tal precio". Eso tuvieron que anularlo y poner un precio
>>>> solo,
>>>> >> porque resultaba que los concesionarios seguían tan al pie de la
>>>> letra a la
>>>> >> revista "quattroruote", que a fin de cuentas el precio más bajo era
>>>> el
>>>> >> precio de compra de un usado, y el precio mas alto era el precio de
>>>> venta, y
>>>> >> la diferencia era la ganancia del concesionario, resultando así que
>>>> la
>>>> >> revista también determinaba no solo los precios, sino también la
>>>> ganancia de
>>>> >> cada concesionario.
>>>> >>
>>>> >>
>>>> >> Y eso algo que no lo hizo el Estado, ni el gobierno, es algo privado,
>>>> así
>>>> >> que no creo que se necesite al LATU que certifique nada, lo pueden
>>>> hacer las
>>>> >> personas normales y corrientes.
>>>> >>
>>>> >> --------------------------
>>>> >>
>>>> >> Ojalá en un futuro algún privado haga algo así con lo que estamos
>>>> >> hablando, y certifique el software, , hasta que llegue un punto que
>>>> si no
>>>> >> tiene ese certificado, el software no lo compra ni lo usa nadie.
>>>> >>
>>>> >>
>>>> >>
>>>> >> Paolo Benini
>>>> >>
>>>> >>
>>>> >>
>>>> >> Paolo BEnini
>>>> >>
>>>> >> _______________________________________________
>>>> >> Olpc-uruguay mailing list
>>>> >> Olpc-uruguay at lists.laptop.org
>>>> >> http://lists.laptop.org/listinfo/olpc-uruguay
>>>> >>
>>>> >
>>>> >
>>>> >
>>>> > --
>>>> > Fernando da Rosa
>>>> > fernando.darosa at gmail.com
>>>> > http://www.fedaro.info
>>>> >
>>>> > _______________________________________________
>>>> > Olpc-uruguay mailing list
>>>> > Olpc-uruguay at lists.laptop.org
>>>> > http://lists.laptop.org/listinfo/olpc-uruguay
>>>> >
>>>> >
>>>> _______________________________________________
>>>> Olpc-uruguay mailing list
>>>> Olpc-uruguay at lists.laptop.org
>>>> http://lists.laptop.org/listinfo/olpc-uruguay
>>>>
>>>
>>>
>>>
>>> --
>>> Fernando da Rosa
>>> fernando.darosa at gmail.com
>>> http://www.fedaro.info
>>>
>>> _______________________________________________
>>> Olpc-uruguay mailing list
>>> Olpc-uruguay at lists.laptop.org
>>> http://lists.laptop.org/listinfo/olpc-uruguay
>>>
>>>
>>
>> _______________________________________________
>> Olpc-uruguay mailing list
>> Olpc-uruguay at lists.laptop.org
>> http://lists.laptop.org/listinfo/olpc-uruguay
>>
>>
>
> _______________________________________________
> Olpc-uruguay mailing list
> Olpc-uruguay at lists.laptop.org
> http://lists.laptop.org/listinfo/olpc-uruguay
>
>


-- 
Fernando da Rosa
fernando.darosa at gmail.com
http://www.fedaro.info
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.laptop.org/pipermail/olpc-uruguay/attachments/20100521/9df1367e/attachment-0001.htm

More information about the Olpc-uruguay mailing list