[Olpc-uruguay] Software malicioso en las XO...

Esteban Bordon ebordon en plan.ceibal.edu.uy
Lun Mayo 24 07:36:55 EDT 2010


Sólo quiero aclarar que no es un sistema de seguridad, es de control de
acceso a la red. Esto permitirá que a la red Ceibal ingresen sólo las
laptops pertenecientes a Ceibal (alumnos y maestros) mejorando la calidad de
conexión.

Saludos,
Esteban.

El 21 de mayo de 2010 18:31, Flavio Danesse <fdanesse en gmail.com> escribió:

> Me paree que el tema es bien interesante, pero no le compete al jam,
> nosotros no tenemos poder decisión alguno, ni siquiera de asesoramiento, es
> más, no se si saben de nuestra existencia.
>
> PD:
> Pasen por el portal ceibal, ahora el latu implemntó un nuevo sistema de
> seguridad.
> Esto confirma que no tienen ni la más pálida idea de lo que hacen, basta
> con ver el estado y uso de las xo a la fecha, este sistema nuevo entorpecerá
> mucho más el uso de las xo.
>
>
>
>
> El 21 de mayo de 2010 12:01, Fernando Da Rosa <fedaro en adinet.com.uy>escribió:
>
> Ahora en serio, no me pude contener pido disculpas, imagínate Pablo que el
>> software tiene una llamada al reloj y solo manda datos encriptados a partir
>> del año que viene. ¿Como haces para saber, sin tener el código fuente, que
>> no trasmite datos encriptados?. ¿Vas a estar monitorizando la máquina todo
>> el tiempo?. Lo anterior es solo un ejemplo de muchos.
>>
>> Saludos
>> Fernando
>>
>>
>> El 21 de mayo de 2010 11:58, Fernando Da Rosa <fedaro en adinet.com.uy>escribió:
>>
>> Bueno eso si que sería fabuloso, revisar tres items y asegurar que el SW
>>> no es malicioso.
>>>
>>> Que digo, en realidad se podría reducir a un solo item.
>>>
>>> Si se pudiera revisar la aplicación aunque el código estuviera cerrado y
>>> comprobar que no suceda lo siguiente:
>>>
>>> 1. Ejecución de código malicioso.
>>>
>>> Podríamos certificar que el SW no es malicioso.
>>>
>>> Saludos
>>> Fernando
>>>
>>>
>>> El 21 de mayo de 2010 11:03, Pablo Flores <pflores2 en gmail.com> escribió:
>>>
>>> Me pregunto si no será posible revisar en una aplicación para las XO,
>>>> aunque su código esté cerrado, que NO suceda alguna de estas situaciones:
>>>> 1. Que se acceda a la cámara o micrófono
>>>> 2. Que ejecute con permisos de Terminal (saltando Rainbow)
>>>> 3. Que se transmitan datos enciptados
>>>>
>>>> Si se pudiera comprobar esto sin abrir el SW, y haciendo una revisión
>>>> del tráfico a Internet que realiza la aplicación, se podría certificar que
>>>> el SW no es malicioso...
>>>>
>>>> Saludos,
>>>> Pablo Flores
>>>>
>>>>
>>>> 2010/5/21 Pablo Moleri <pmoleri en gmail.com>
>>>>
>>>> Esos avisos creo que sirven muy poco, salvo por algunos usuarios
>>>>> desconfiados.
>>>>>
>>>>> Lo que se podría hacer en la XO sería implementar una firma para dar
>>>>> acceso como el que tiene hoy la XO y que las aplicaciones no firmadas corran
>>>>> en un sandbox más riguroso, sin acceso a cámara, microfono e internet.
>>>>>
>>>>> Pero creo que esto entorpecería aún más los desarrollos. Parte de la
>>>>> genialidad del plan ceibal es que todos puedan acceder al mismo tipo de
>>>>> aplicaciones a las que accede cualquier ninó que tenga una PC en su casa,
>>>>> esto es lo que brinda igualdad y derriba la llamada brecha tecnológica, lo
>>>>> cual se estaría entorpeciendo si se agregaran más barreras.
>>>>>
>>>>> Saludos,
>>>>> Pablo Moleri
>>>>>
>>>>> 2010/5/21 Fernando Da Rosa <fedaro en adinet.com.uy>
>>>>>
>>>>> Gabriel:
>>>>>>
>>>>>> Sin duda, comparto tu planteo. Yo no hablaba de restringir, sino de
>>>>>> dar pautas de seguridad en el caso de software privativo.
>>>>>>
>>>>>> Con relación a Windows, en las últimas versiones, vas a ver que
>>>>>> Microsoft bien que te avisa cuando vas a instalar algo que no cuenta con su
>>>>>> aprobación. Lo tuvieron que hacer, justamente, para evitar los problemas de
>>>>>> seguridad o al menos mitigarlos.
>>>>>>
>>>>>> Saludos
>>>>>> Fernando
>>>>>>
>>>>>> El 21 de mayo de 2010 08:41, Gabriel Eirea <geirea en gmail.com>escribió:
>>>>>>
>>>>>> Estimados:
>>>>>>>
>>>>>>> Interesante discusión. Creo que tenemos que ser muy cautelosos al
>>>>>>> plantear la existencia de una certificación centralizada de software
>>>>>>> porque ello inevitablemente se convertiría en un obstáculo para la
>>>>>>> difusión libre de aplicaciones creadas por la comunidad. Son ideas
>>>>>>> que
>>>>>>> mejor no caigan en manos de ciertos burócratas.
>>>>>>>
>>>>>>> El éxito de la arquitectura PC y de Windows radican, entre otras
>>>>>>> cosas, en constituirse de hecho en una plataforma estándard para el
>>>>>>> desarrollo de aplicaciones. Este estándard se construyó inicialmente
>>>>>>> como un estándard abierto y de hecho lo sigue siendo si uno está
>>>>>>> dispuesto a invertir en las herramientas de desarrollo adecuadas. Se
>>>>>>> disponía de la información y las herramientas para que cualquiera
>>>>>>> pudiera desarrollar tanto hardware como software que funcionara sobre
>>>>>>> esta plataforma.
>>>>>>>
>>>>>>> Con la XO tenemos la limitante del acceso a root, que ya nos da
>>>>>>> bastantes problemas, si bien simplifica la solución de algunos
>>>>>>> aspectos de seguridad. Es decir, Ceibal no tiene ningún inconveniente
>>>>>>> en tomar medidas que restrinjan la libertad del usuario (y violen la
>>>>>>> licencia GPL) en nombre de la seguridad. No pidamos más de eso.
>>>>>>>
>>>>>>> Además, no es necesario.
>>>>>>>
>>>>>>> El tan criticado Rainbow funciona muy bien para tal fin si estuviera
>>>>>>> bien implementado. Las aplicaciones que se pueden instalar en Sugar
>>>>>>> están todas sujetas a las restricciones de Rainbow, excepto dos o
>>>>>>> tres
>>>>>>> (journal, terminal y alguna otra). Este es el hueco por donde se
>>>>>>> metió
>>>>>>> Flavio con su actividad Terminal. Bastaría con exigir un control más
>>>>>>> estricto sobre esas actividades puntuales que tienen desactivado
>>>>>>> Rainbow.
>>>>>>>
>>>>>>> No es posible instalar actividades que corran solas en el fondo, como
>>>>>>> por ejemplo actividades que monitoreen la actividad de los niños (a
>>>>>>> menos que lo haga oficialmente Ceibal, por supuesto). Las actividades
>>>>>>> deben ser ejecutadas explícitamente por los niños para poder
>>>>>>> funcionar.
>>>>>>>
>>>>>>> También, en nombre de la seguridad, recordemos que el kernel de linux
>>>>>>> utilizado en la XO tiene algunos años y no le vendría nada mal una
>>>>>>> actualización. La dejo por ahí.
>>>>>>>
>>>>>>> Existen soluciones sencillas a los potenciales problemas que presenta
>>>>>>> la instalación de software no controlado en la XO. En mi opinión la
>>>>>>> plataforma debe ser abierta para todo tipo de software.
>>>>>>>
>>>>>>> Saludos,
>>>>>>>
>>>>>>> Gabriel
>>>>>>>
>>>>>>>
>>>>>>> El día 21 de mayo de 2010 08:10, Fernando Da Rosa
>>>>>>> <fedaro en adinet.com.uy> escribió:
>>>>>>> > Estimado:
>>>>>>> >
>>>>>>> > El LATU certifica muchas cosas, es una de sus tareas.
>>>>>>> >
>>>>>>> > Por supuesto que CeibalJam puede certificar lo que quiera, pero hay
>>>>>>> una
>>>>>>> > diferencia, creo que es mucho más probable que un desarrollador de
>>>>>>> software
>>>>>>> > privativo entregue el código fuente al LATU que a CeibalJam, no
>>>>>>> solo por un
>>>>>>> > tema de fama, sino porque si no publica su código fuente es
>>>>>>> justamente
>>>>>>> > porque no quiere que lo tenga "la competencia", ¿se entiende?. Y el
>>>>>>> LATU
>>>>>>> > como organismo oficial, seguramente le de más garantías en cuanto a
>>>>>>> cumplir
>>>>>>> > con un contrato de no revelar el código fuente.
>>>>>>> >
>>>>>>> > En todo caso yo lo que quería era dejar planteado el tema,
>>>>>>> realmente me
>>>>>>> > preocupa el tema de instalar software a ciegas. Concuerdo en que el
>>>>>>> LATU
>>>>>>> > debería publicar el código pero también debemos entender que una
>>>>>>> cosa es el
>>>>>>> > LATU, que dio inicio a CEIBAL y esta muy interesado en que todo
>>>>>>> ande bien y
>>>>>>> > otra cosa es enfrentarse a un programa que algún desconocido podría
>>>>>>> subir a
>>>>>>> > un sitio web.
>>>>>>> >
>>>>>>> > Aclaro que no propongo ni defiendo que el LATU lo haga, ni se si le
>>>>>>> puede
>>>>>>> > interesar o querer, lo que hice fue dar un ejemplo, podría ser
>>>>>>> AGESIC u otro
>>>>>>> > organismo. Y sin duda que CeibalJam si lo desea puede hacer listas
>>>>>>> de
>>>>>>> > software de lo que guste. Lo que me parece difícil es, como decía
>>>>>>> antes, el
>>>>>>> > tema del acceso al código fuente.
>>>>>>> >
>>>>>>> > En el caso de programas que promocionan una determinada marca
>>>>>>> comercial, la
>>>>>>> > marca es la que pone la cara y debería (si fuera inteligente)
>>>>>>> exigir el
>>>>>>> > código fuente y auditarlo o liberarlo. Dado que si luego el
>>>>>>> programa hace
>>>>>>> > algo perjudicial para el usuario o el equipo, la más dañada va a
>>>>>>> ser la
>>>>>>> > imagen de la marca.  Eso es algo que tendrían que entender desde
>>>>>>> las
>>>>>>> > agencias de publicidad hasta los gerentes de las empresas.
>>>>>>> >
>>>>>>> > Saludos
>>>>>>> > Fernando
>>>>>>> >
>>>>>>> > El 21 de mayo de 2010 01:54, <nanonano en mediagala.com> escribió:
>>>>>>> >>
>>>>>>> >> >Flavio Danesse wrote:
>>>>>>> >> >... si queremos abrir todo el código que hay en nuestras xo
>>>>>>> tenemos que
>>>>>>> >> > empezar por el LATU.
>>>>>>> >>
>>>>>>> >>
>>>>>>> -----------------------------------------------------------------------------------------------
>>>>>>> >>
>>>>>>> >>
>>>>>>> >> Concuerdo con Flavio, sería absurdo pedirle al LATU que certifique
>>>>>>> >> programas "buenos y amigables", cuando en realida los programas
>>>>>>> que instala
>>>>>>> >> el LATU no lo son, ya que para empezar violan las licencias del
>>>>>>> software
>>>>>>> >> libre (las licencias del software libre lo obligan a entragar
>>>>>>> software
>>>>>>> >> libre, sin clave alguna).
>>>>>>> >>
>>>>>>> >>
>>>>>>> >> Creo que tenemos que dejar de esperar que alguien de "más arriba",
>>>>>>> o el
>>>>>>> >> estaddo nos solucione tal o cual problema, creo que es mejor si
>>>>>>> uno mismo
>>>>>>> >> trata de agarrar la posta.
>>>>>>> >>
>>>>>>> >> Por ejemplo: ¿porqué tendría que ser el LATU el que certifique la
>>>>>>> "bondad"
>>>>>>> >> de un software?????
>>>>>>> >>
>>>>>>> >> ¿NO podría ser el Ceibal JAM el que lo haga???????
>>>>>>> >>   ¿porque siempre pensamos en un ente del estado para ese tipo de
>>>>>>> cosas,
>>>>>>> >> cuando lo puede hacer un ente o asociación privada?
>>>>>>> >>
>>>>>>> >> Sí, Sí, ya sé que el CeibalJAm no tiene la "FAMA" o el
>>>>>>> reconocimiento
>>>>>>> >> internacional que el LATU, pero les recuerdo que en Estados Unidos
>>>>>>> existe un
>>>>>>> >> ente privado (no recuerdo el nombre exacto) que al principio era
>>>>>>> una revista
>>>>>>> >> que probaba los electrodomésticos, para ver si eran confiables, y
>>>>>>> con el
>>>>>>> >> tiempo esa revista se convirtió en un estandard de facto, si en
>>>>>>> esa revista
>>>>>>> >> lo bochaban, el aparato no podías venderlo.
>>>>>>> >>
>>>>>>> >> Yo no vería nada descabellado que en la pagina del CeibalJAM
>>>>>>> hubiese una
>>>>>>> >> sección que dijese "tal programa es confiable, en tal otro
>>>>>>> programa no
>>>>>>> >> confiamos".
>>>>>>> >>
>>>>>>> >> Otro ejemplo es la revista "Quattroruote" (una revista de autos)
>>>>>>> que en
>>>>>>> >> Italia es "palabra santa", especialemente hablando de los precios,
>>>>>>> sea de
>>>>>>> >> los nuevos que lso autos usados.  NO hay forma de vender un auto
>>>>>>> en italia
>>>>>>> >> si difiere del precio que está eescrito en esa revista, que es
>>>>>>> considerado
>>>>>>> >> "precio oficial", y punto, no hay discusión.
>>>>>>> >>
>>>>>>> >>
>>>>>>> >> Es más: los precios de dicha revista son tan "oficiales" que han
>>>>>>> tenido
>>>>>>> >> que cambiar la metodología con el pasar de los años, porque al
>>>>>>> principio en
>>>>>>> >> la revista ponían los precios de los usados siguiendo el mercado,
>>>>>>> pero desde
>>>>>>> >> hace muchos años es al revés: el mercado sigue a la revista.
>>>>>>> >> Por ejemplo: antiguamente el precio del auto usado en dicha
>>>>>>> revista decía:
>>>>>>> >> "entre tal y tal precio". Eso tuvieron que anularlo y poner un
>>>>>>> precio solo,
>>>>>>> >> porque resultaba que los concesionarios seguían tan al pie de la
>>>>>>> letra a la
>>>>>>> >> revista "quattroruote", que a fin de cuentas el precio más bajo
>>>>>>> era el
>>>>>>> >> precio de compra de un usado, y el precio mas alto era el precio
>>>>>>> de venta, y
>>>>>>> >> la diferencia era la ganancia del concesionario, resultando así
>>>>>>> que la
>>>>>>> >> revista también determinaba no solo los precios, sino también la
>>>>>>> ganancia de
>>>>>>> >> cada concesionario.
>>>>>>> >>
>>>>>>> >>
>>>>>>> >> Y eso algo que no lo hizo el Estado, ni el gobierno, es algo
>>>>>>> privado, así
>>>>>>> >> que no creo que se necesite al LATU que certifique nada, lo pueden
>>>>>>> hacer las
>>>>>>> >> personas normales y corrientes.
>>>>>>> >>
>>>>>>> >> --------------------------
>>>>>>> >>
>>>>>>> >> Ojalá en un futuro algún privado haga algo así con lo que estamos
>>>>>>> >> hablando, y certifique el software, , hasta que llegue un punto
>>>>>>> que si no
>>>>>>> >> tiene ese certificado, el software no lo compra ni lo usa nadie.
>>>>>>> >>
>>>>>>> >>
>>>>>>> >>
>>>>>>> >> Paolo Benini
>>>>>>> >>
>>>>>>> >>
>>>>>>> >>
>>>>>>> >> Paolo BEnini
>>>>>>> >>
>>>>>>> >> _______________________________________________
>>>>>>> >> Olpc-uruguay mailing list
>>>>>>> >> Olpc-uruguay en lists.laptop.org
>>>>>>> >> http://lists.laptop.org/listinfo/olpc-uruguay
>>>>>>> >>
>>>>>>> >
>>>>>>> >
>>>>>>> >
>>>>>>> > --
>>>>>>> > Fernando da Rosa
>>>>>>> > fernando.darosa en gmail.com
>>>>>>> > http://www.fedaro.info
>>>>>>> >
>>>>>>> > _______________________________________________
>>>>>>> > Olpc-uruguay mailing list
>>>>>>> > Olpc-uruguay en lists.laptop.org
>>>>>>> > http://lists.laptop.org/listinfo/olpc-uruguay
>>>>>>> >
>>>>>>> >
>>>>>>> _______________________________________________
>>>>>>> Olpc-uruguay mailing list
>>>>>>> Olpc-uruguay en lists.laptop.org
>>>>>>> http://lists.laptop.org/listinfo/olpc-uruguay
>>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>> --
>>>>>> Fernando da Rosa
>>>>>> fernando.darosa en gmail.com
>>>>>> http://www.fedaro.info
>>>>>>
>>>>>> _______________________________________________
>>>>>> Olpc-uruguay mailing list
>>>>>> Olpc-uruguay en lists.laptop.org
>>>>>> http://lists.laptop.org/listinfo/olpc-uruguay
>>>>>>
>>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> Olpc-uruguay mailing list
>>>>> Olpc-uruguay en lists.laptop.org
>>>>> http://lists.laptop.org/listinfo/olpc-uruguay
>>>>>
>>>>>
>>>>
>>>> _______________________________________________
>>>> Olpc-uruguay mailing list
>>>> Olpc-uruguay en lists.laptop.org
>>>> http://lists.laptop.org/listinfo/olpc-uruguay
>>>>
>>>>
>>>
>>>
>>> --
>>> Fernando da Rosa
>>> fernando.darosa en gmail.com
>>> http://www.fedaro.info
>>>
>>
>>
>>
>> --
>> Fernando da Rosa
>> fernando.darosa en gmail.com
>> http://www.fedaro.info
>>
>> _______________________________________________
>> Olpc-uruguay mailing list
>> Olpc-uruguay en lists.laptop.org
>> http://lists.laptop.org/listinfo/olpc-uruguay
>>
>>
>
> _______________________________________________
> Olpc-uruguay mailing list
> Olpc-uruguay en lists.laptop.org
> http://lists.laptop.org/listinfo/olpc-uruguay
>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://lists.laptop.org/pipermail/olpc-uruguay/attachments/20100524/7b1173cf/attachment.html 


More information about the Olpc-uruguay mailing list