[Olpc-uruguay] Software malicioso en las XO...

Fernando Da Rosa fedaro en adinet.com.uy
Vie Mayo 21 11:01:24 EDT 2010 

Ahora en serio, no me pude contener pido disculpas, imagínate Pablo que el
software tiene una llamada al reloj y solo manda datos encriptados a partir
del año que viene. ¿Como haces para saber, sin tener el código fuente, que
no trasmite datos encriptados?. ¿Vas a estar monitorizando la máquina todo
el tiempo?. Lo anterior es solo un ejemplo de muchos.

Saludos
Fernando


El 21 de mayo de 2010 11:58, Fernando Da Rosa <fedaro at adinet.com.uy>escribió:

> Bueno eso si que sería fabuloso, revisar tres items y asegurar que el SW no
> es malicioso.
>
> Que digo, en realidad se podría reducir a un solo item.
>
> Si se pudiera revisar la aplicación aunque el código estuviera cerrado y
> comprobar que no suceda lo siguiente:
>
> 1. Ejecución de código malicioso.
>
> Podríamos certificar que el SW no es malicioso.
>
> Saludos
> Fernando
>
>
> El 21 de mayo de 2010 11:03, Pablo Flores <pflores2 at gmail.com> escribió:
>
> Me pregunto si no será posible revisar en una aplicación para las XO,
>> aunque su código esté cerrado, que NO suceda alguna de estas situaciones:
>> 1. Que se acceda a la cámara o micrófono
>> 2. Que ejecute con permisos de Terminal (saltando Rainbow)
>> 3. Que se transmitan datos enciptados
>>
>> Si se pudiera comprobar esto sin abrir el SW, y haciendo una revisión del
>> tráfico a Internet que realiza la aplicación, se podría certificar que el SW
>> no es malicioso...
>>
>> Saludos,
>> Pablo Flores
>>
>>
>> 2010/5/21 Pablo Moleri <pmoleri at gmail.com>
>>
>> Esos avisos creo que sirven muy poco, salvo por algunos usuarios
>>> desconfiados.
>>>
>>> Lo que se podría hacer en la XO sería implementar una firma para dar
>>> acceso como el que tiene hoy la XO y que las aplicaciones no firmadas corran
>>> en un sandbox más riguroso, sin acceso a cámara, microfono e internet.
>>>
>>> Pero creo que esto entorpecería aún más los desarrollos. Parte de la
>>> genialidad del plan ceibal es que todos puedan acceder al mismo tipo de
>>> aplicaciones a las que accede cualquier ninó que tenga una PC en su casa,
>>> esto es lo que brinda igualdad y derriba la llamada brecha tecnológica, lo
>>> cual se estaría entorpeciendo si se agregaran más barreras.
>>>
>>> Saludos,
>>> Pablo Moleri
>>>
>>> 2010/5/21 Fernando Da Rosa <fedaro at adinet.com.uy>
>>>
>>> Gabriel:
>>>>
>>>> Sin duda, comparto tu planteo. Yo no hablaba de restringir, sino de dar
>>>> pautas de seguridad en el caso de software privativo.
>>>>
>>>> Con relación a Windows, en las últimas versiones, vas a ver que
>>>> Microsoft bien que te avisa cuando vas a instalar algo que no cuenta con su
>>>> aprobación. Lo tuvieron que hacer, justamente, para evitar los problemas de
>>>> seguridad o al menos mitigarlos.
>>>>
>>>> Saludos
>>>> Fernando
>>>>
>>>> El 21 de mayo de 2010 08:41, Gabriel Eirea <geirea at gmail.com> escribió:
>>>>
>>>> Estimados:
>>>>>
>>>>> Interesante discusión. Creo que tenemos que ser muy cautelosos al
>>>>> plantear la existencia de una certificación centralizada de software
>>>>> porque ello inevitablemente se convertiría en un obstáculo para la
>>>>> difusión libre de aplicaciones creadas por la comunidad. Son ideas que
>>>>> mejor no caigan en manos de ciertos burócratas.
>>>>>
>>>>> El éxito de la arquitectura PC y de Windows radican, entre otras
>>>>> cosas, en constituirse de hecho en una plataforma estándard para el
>>>>> desarrollo de aplicaciones. Este estándard se construyó inicialmente
>>>>> como un estándard abierto y de hecho lo sigue siendo si uno está
>>>>> dispuesto a invertir en las herramientas de desarrollo adecuadas. Se
>>>>> disponía de la información y las herramientas para que cualquiera
>>>>> pudiera desarrollar tanto hardware como software que funcionara sobre
>>>>> esta plataforma.
>>>>>
>>>>> Con la XO tenemos la limitante del acceso a root, que ya nos da
>>>>> bastantes problemas, si bien simplifica la solución de algunos
>>>>> aspectos de seguridad. Es decir, Ceibal no tiene ningún inconveniente
>>>>> en tomar medidas que restrinjan la libertad del usuario (y violen la
>>>>> licencia GPL) en nombre de la seguridad. No pidamos más de eso.
>>>>>
>>>>> Además, no es necesario.
>>>>>
>>>>> El tan criticado Rainbow funciona muy bien para tal fin si estuviera
>>>>> bien implementado. Las aplicaciones que se pueden instalar en Sugar
>>>>> están todas sujetas a las restricciones de Rainbow, excepto dos o tres
>>>>> (journal, terminal y alguna otra). Este es el hueco por donde se metió
>>>>> Flavio con su actividad Terminal. Bastaría con exigir un control más
>>>>> estricto sobre esas actividades puntuales que tienen desactivado
>>>>> Rainbow.
>>>>>
>>>>> No es posible instalar actividades que corran solas en el fondo, como
>>>>> por ejemplo actividades que monitoreen la actividad de los niños (a
>>>>> menos que lo haga oficialmente Ceibal, por supuesto). Las actividades
>>>>> deben ser ejecutadas explícitamente por los niños para poder
>>>>> funcionar.
>>>>>
>>>>> También, en nombre de la seguridad, recordemos que el kernel de linux
>>>>> utilizado en la XO tiene algunos años y no le vendría nada mal una
>>>>> actualización. La dejo por ahí.
>>>>>
>>>>> Existen soluciones sencillas a los potenciales problemas que presenta
>>>>> la instalación de software no controlado en la XO. En mi opinión la
>>>>> plataforma debe ser abierta para todo tipo de software.
>>>>>
>>>>> Saludos,
>>>>>
>>>>> Gabriel
>>>>>
>>>>>
>>>>> El día 21 de mayo de 2010 08:10, Fernando Da Rosa
>>>>> <fedaro at adinet.com.uy> escribió:
>>>>> > Estimado:
>>>>> >
>>>>> > El LATU certifica muchas cosas, es una de sus tareas.
>>>>> >
>>>>> > Por supuesto que CeibalJam puede certificar lo que quiera, pero hay
>>>>> una
>>>>> > diferencia, creo que es mucho más probable que un desarrollador de
>>>>> software
>>>>> > privativo entregue el código fuente al LATU que a CeibalJam, no solo
>>>>> por un
>>>>> > tema de fama, sino porque si no publica su código fuente es
>>>>> justamente
>>>>> > porque no quiere que lo tenga "la competencia", ¿se entiende?. Y el
>>>>> LATU
>>>>> > como organismo oficial, seguramente le de más garantías en cuanto a
>>>>> cumplir
>>>>> > con un contrato de no revelar el código fuente.
>>>>> >
>>>>> > En todo caso yo lo que quería era dejar planteado el tema, realmente
>>>>> me
>>>>> > preocupa el tema de instalar software a ciegas. Concuerdo en que el
>>>>> LATU
>>>>> > debería publicar el código pero también debemos entender que una cosa
>>>>> es el
>>>>> > LATU, que dio inicio a CEIBAL y esta muy interesado en que todo ande
>>>>> bien y
>>>>> > otra cosa es enfrentarse a un programa que algún desconocido podría
>>>>> subir a
>>>>> > un sitio web.
>>>>> >
>>>>> > Aclaro que no propongo ni defiendo que el LATU lo haga, ni se si le
>>>>> puede
>>>>> > interesar o querer, lo que hice fue dar un ejemplo, podría ser AGESIC
>>>>> u otro
>>>>> > organismo. Y sin duda que CeibalJam si lo desea puede hacer listas de
>>>>> > software de lo que guste. Lo que me parece difícil es, como decía
>>>>> antes, el
>>>>> > tema del acceso al código fuente.
>>>>> >
>>>>> > En el caso de programas que promocionan una determinada marca
>>>>> comercial, la
>>>>> > marca es la que pone la cara y debería (si fuera inteligente) exigir
>>>>> el
>>>>> > código fuente y auditarlo o liberarlo. Dado que si luego el programa
>>>>> hace
>>>>> > algo perjudicial para el usuario o el equipo, la más dañada va a ser
>>>>> la
>>>>> > imagen de la marca.  Eso es algo que tendrían que entender desde las
>>>>> > agencias de publicidad hasta los gerentes de las empresas.
>>>>> >
>>>>> > Saludos
>>>>> > Fernando
>>>>> >
>>>>> > El 21 de mayo de 2010 01:54, <nanonano at mediagala.com> escribió:
>>>>> >>
>>>>> >> >Flavio Danesse wrote:
>>>>> >> >... si queremos abrir todo el código que hay en nuestras xo tenemos
>>>>> que
>>>>> >> > empezar por el LATU.
>>>>> >>
>>>>> >>
>>>>> -----------------------------------------------------------------------------------------------
>>>>> >>
>>>>> >>
>>>>> >> Concuerdo con Flavio, sería absurdo pedirle al LATU que certifique
>>>>> >> programas "buenos y amigables", cuando en realida los programas que
>>>>> instala
>>>>> >> el LATU no lo son, ya que para empezar violan las licencias del
>>>>> software
>>>>> >> libre (las licencias del software libre lo obligan a entragar
>>>>> software
>>>>> >> libre, sin clave alguna).
>>>>> >>
>>>>> >>
>>>>> >> Creo que tenemos que dejar de esperar que alguien de "más arriba", o
>>>>> el
>>>>> >> estaddo nos solucione tal o cual problema, creo que es mejor si uno
>>>>> mismo
>>>>> >> trata de agarrar la posta.
>>>>> >>
>>>>> >> Por ejemplo: ¿porqué tendría que ser el LATU el que certifique la
>>>>> "bondad"
>>>>> >> de un software?????
>>>>> >>
>>>>> >> ¿NO podría ser el Ceibal JAM el que lo haga???????
>>>>> >>   ¿porque siempre pensamos en un ente del estado para ese tipo de
>>>>> cosas,
>>>>> >> cuando lo puede hacer un ente o asociación privada?
>>>>> >>
>>>>> >> Sí, Sí, ya sé que el CeibalJAm no tiene la "FAMA" o el
>>>>> reconocimiento
>>>>> >> internacional que el LATU, pero les recuerdo que en Estados Unidos
>>>>> existe un
>>>>> >> ente privado (no recuerdo el nombre exacto) que al principio era una
>>>>> revista
>>>>> >> que probaba los electrodomésticos, para ver si eran confiables, y
>>>>> con el
>>>>> >> tiempo esa revista se convirtió en un estandard de facto, si en esa
>>>>> revista
>>>>> >> lo bochaban, el aparato no podías venderlo.
>>>>> >>
>>>>> >> Yo no vería nada descabellado que en la pagina del CeibalJAM hubiese
>>>>> una
>>>>> >> sección que dijese "tal programa es confiable, en tal otro programa
>>>>> no
>>>>> >> confiamos".
>>>>> >>
>>>>> >> Otro ejemplo es la revista "Quattroruote" (una revista de autos) que
>>>>> en
>>>>> >> Italia es "palabra santa", especialemente hablando de los precios,
>>>>> sea de
>>>>> >> los nuevos que lso autos usados.  NO hay forma de vender un auto en
>>>>> italia
>>>>> >> si difiere del precio que está eescrito en esa revista, que es
>>>>> considerado
>>>>> >> "precio oficial", y punto, no hay discusión.
>>>>> >>
>>>>> >>
>>>>> >> Es más: los precios de dicha revista son tan "oficiales" que han
>>>>> tenido
>>>>> >> que cambiar la metodología con el pasar de los años, porque al
>>>>> principio en
>>>>> >> la revista ponían los precios de los usados siguiendo el mercado,
>>>>> pero desde
>>>>> >> hace muchos años es al revés: el mercado sigue a la revista.
>>>>> >> Por ejemplo: antiguamente el precio del auto usado en dicha revista
>>>>> decía:
>>>>> >> "entre tal y tal precio". Eso tuvieron que anularlo y poner un
>>>>> precio solo,
>>>>> >> porque resultaba que los concesionarios seguían tan al pie de la
>>>>> letra a la
>>>>> >> revista "quattroruote", que a fin de cuentas el precio más bajo era
>>>>> el
>>>>> >> precio de compra de un usado, y el precio mas alto era el precio de
>>>>> venta, y
>>>>> >> la diferencia era la ganancia del concesionario, resultando así que
>>>>> la
>>>>> >> revista también determinaba no solo los precios, sino también la
>>>>> ganancia de
>>>>> >> cada concesionario.
>>>>> >>
>>>>> >>
>>>>> >> Y eso algo que no lo hizo el Estado, ni el gobierno, es algo
>>>>> privado, así
>>>>> >> que no creo que se necesite al LATU que certifique nada, lo pueden
>>>>> hacer las
>>>>> >> personas normales y corrientes.
>>>>> >>
>>>>> >> --------------------------
>>>>> >>
>>>>> >> Ojalá en un futuro algún privado haga algo así con lo que estamos
>>>>> >> hablando, y certifique el software, , hasta que llegue un punto que
>>>>> si no
>>>>> >> tiene ese certificado, el software no lo compra ni lo usa nadie.
>>>>> >>
>>>>> >>
>>>>> >>
>>>>> >> Paolo Benini
>>>>> >>
>>>>> >>
>>>>> >>
>>>>> >> Paolo BEnini
>>>>> >>
>>>>> >> _______________________________________________
>>>>> >> Olpc-uruguay mailing list
>>>>> >> Olpc-uruguay at lists.laptop.org
>>>>> >> http://lists.laptop.org/listinfo/olpc-uruguay
>>>>> >>
>>>>> >
>>>>> >
>>>>> >
>>>>> > --
>>>>> > Fernando da Rosa
>>>>> > fernando.darosa at gmail.com
>>>>> > http://www.fedaro.info
>>>>> >
>>>>> > _______________________________________________
>>>>> > Olpc-uruguay mailing list
>>>>> > Olpc-uruguay at lists.laptop.org
>>>>> > http://lists.laptop.org/listinfo/olpc-uruguay
>>>>> >
>>>>> >
>>>>> _______________________________________________
>>>>> Olpc-uruguay mailing list
>>>>> Olpc-uruguay at lists.laptop.org
>>>>> http://lists.laptop.org/listinfo/olpc-uruguay
>>>>>
>>>>
>>>>
>>>>
>>>> --
>>>> Fernando da Rosa
>>>> fernando.darosa at gmail.com
>>>> http://www.fedaro.info
>>>>
>>>> _______________________________________________
>>>> Olpc-uruguay mailing list
>>>> Olpc-uruguay at lists.laptop.org
>>>> http://lists.laptop.org/listinfo/olpc-uruguay
>>>>
>>>>
>>>
>>> _______________________________________________
>>> Olpc-uruguay mailing list
>>> Olpc-uruguay at lists.laptop.org
>>> http://lists.laptop.org/listinfo/olpc-uruguay
>>>
>>>
>>
>> _______________________________________________
>> Olpc-uruguay mailing list
>> Olpc-uruguay at lists.laptop.org
>> http://lists.laptop.org/listinfo/olpc-uruguay
>>
>>
>
>
> --
> Fernando da Rosa
> fernando.darosa at gmail.com
> http://www.fedaro.info
>



-- 
Fernando da Rosa
fernando.darosa at gmail.com
http://www.fedaro.info
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.laptop.org/pipermail/olpc-uruguay/attachments/20100521/73862b69/attachment-0001.htm

More information about the Olpc-uruguay mailing list