Enllaços
Contingut actualitzat
Categories
Contingut antic
(ja no s'actualitza)
Versions anteriors
d'aquesta pàgina
Arxiu
|
|
 |
dissabte, 14 / febrer / 2004 |
 Si treballeu en un entorn on hi ha usuaris de Windows que no saben fer servir l'editor (VI) i han de fer tasques d'administració de sistemes *nix, segurament més d'una vegada us heu trobat que fan servir un editor de textos per Windows per modificar els fitxers de configuració.
Això produeix uns fitxers farcits del caràcter ^M al final de cada línia. De vegades això únicament es estètic, però si en lloc d'un fitxer de configuració és tracta d'un script és possible que l'existència d'aquesta brossa no permeti la seva execució.
Per eliminar aquests caràcters, que corresponen al Line Feed (LF), podeu utilitzar el filtre dos2unix, disponible a pràcticament tots els sistemes *nix.
Però hi ha una forma més simple de fer-ho. Amb el VI editeu el fitxer i executeu aquesta ordre:
:1,$ s/^v^m//
(^v^m vol dir prémer CONTROL-v i CONTROL-m, no pas escriure l'apòstrof seguit d'una v).
Amb això s'elimina aquesta brossa dels fitxers.
|
23:43 (# Enllaç permanent) ()
|
|
Durant molt de temps, Microsoft ha atacat la divulgació del codi font (el moviment de software lliure i de codi obert) dient que la seva disponibilitat permetia a un potencial atacant descobrir l'existència de possibles vulnerabilitats de seguretat.
Ara, en canvi, ja comencen a afirmar que la divulgació de part del codi font no serà un problema de seguretat i no tindria cap mena de conseqüència pels usuaris de Windows NT i Windows 2000, ja que el codi que produeix Microsoft, textualment, "está bien construido". Això, evidentment entra en contradicció amb allò que ha dit sempre Microsoft sobre la divulgació del codi font.
Almenys, com indico en el post anterior, la seguretat no depèn d'una característica tan simplista com és el disposar del codi font.
D'altra banda, jo sóc molt escèptic que aquesta mena de coses passin «per casualitat». No dic pas que la divulgació del codi no hagi estat un fet extern a Microsoft... però coneixent la seva manca d'ètica i l'historial en la utilització de tàctiques poc clares per a la promoció dels seus productes, hi ha una altra explicació que d'entrada em sembla igualment creïble.
El fet que el codi divulgat sigui tan antic (juliol 2000) i de versions antigues del producte, així com recordar l'èmfasi que Microsoft va posar fa un temps en afirmar que Windows 2003 havia estat totalment reescrit no pot treure'm del cap que aquest fet no sigui una altra cosa que una nova tàctica de Microsoft per tal de donar un nou i contundent argument de màrqueting per a justificar la migració de Windows NT i Windows 2000 (que ara seran insegurs per la divulgació del seu codi font) cap a Windows 2003 (que serà 'segur', doncs el seu codi font no ha estat vist per cap atacant).
Una altra possible tàctica es la «contaminació» de projectes de codi obert i software lliure amb el codi de Microsoft, el que donaria la possibilitat d'una nova demanda tipus SCO per infringir patents i propietat intel·lectual.
|
18:34 (# Enllaç permanent) ()
|
|
A través d'Slashdot, hi ha un interessant debat sobre si el codi obert és una garantia de seguretat o bé, al contrari, és una font de problemes. Aquest debat ha sorgit d'un article publicat a DevX.com (Open Source Is Fertile Ground for Foul Play) on, per exemple, es diu això:
The nature of open source makes security problems an inevitable concern. There are a handful of ways that malicious code can make its way into open source and avoid detection during security testing, making government adoption of open source particularly worrisome. En resposta a aquest article, es va publicar a O'Reilly l'article Is Open Source Secure? on es rebaten les debilitats al món del codi obert. És interessant la lectura de molts comentaris publicats tant a Slashdot com a O'Reilly.
Una de les persones que més ha estudiat aquest tema, la incidència de la disponibilitat del codi font, tant pels possibles atacants com per a la revisió per part dels propis usuaris, és Ross Anderson, de la universitat de Cambridge. Al juny del 2002 va presentar a una ponència anomenada "Security in Open Versus Closed Systems - The Dance of Boltzmann, Coase and Moore" (sobre el que vaig publicar un article) on es fa una anàlisi sistemàtica dels dos models en allò que fa referència a la seguretat:
Some members of the open-source and free software community argue that their code is more secure, because vulnerabilities are easier for users to find and fix. Meanwhile the proprietary vendor community maintains that access to source code rather makes things easier for the attackers. In this paper, I argue that this is the wrong way to approach the interaction between security and the openness of design. I show first that under quite reasonable assumptions the security assurance problem scales in such a way that making it either easier, or harder, to find attacks, will help attackers and defendants equally. This model may help us focus on and understand those cases where some asymmetry is introduced. Les conclusions d'aquest estudi són prou evidents (i lògiques). La disponibilitat del codi font no és, per se, un factor important en la seguretat dels programes. Ni en dóna més, ni en treu...
The debate about open versus closed systems started out in the nineteenth century when Auguste Kerckhoffs pointed out the wisdom of assuming that the enemy knew one's cipher system, so that security could only reside in the key. It has developed into a debate about whether access to the source code of a software product is of more help to the defence, because they can find and fix bugs more easily, or to attackers, because they can develop exploits with less effort.
This paper answers that question. In a perfect world, and for systems large and complex enough for statistical methods to apply, the attack and the defence are helped equally. Whether systems are open or closed makes no difference in the long run. The interesting questions lie in the circumstances in which this symmetry can be broken in practice.
This leads naturally to a second point. The interaction between security and the openness of systems is much more complex than just a matter of reliability. The heart of the matter is functionality - what should a secure system do? What does security mean to a platform vendor?
Seen in these terms, the answer is obvious. While security for the user might mean the repulse of 'evil hackers on the Internet', whoever they might be, security for the vendor means growing the market and crushing the competition.
|
14:55 (# Enllaç permanent) ()
|
|
[InformationWeek] Windows Source Code Security Breach Troubles Some Experts malgrat el que diu Microsoft, la divulgació de part del codi font de Windows pot tenir efectes catastròfics (si, com sembla, els comentaris que hi ha al mateix codi ja donen una idea dels possibles problemes existents al codi)
"We expect to see more vulnerabilities and exploits occur as a result of this serious breach," said Ken Dunham, director of malicious code research at security firm iDefense. "Even though it's a partial breach of source code, it's significant in the fact that attackers can now look at the code."
|
11:09 (# Enllaç permanent) ()
|
|
© Copyright 2003-2004 Xavier Caballe. 
|
|
|
