security


o Mozilla αρνείται αίτημα των HΠΑ για αφαίρεση add-on 2

Πριν από λίγες ημέρες ο φίλος Θοδωρής Λύτρας επικοινώνησε μαζί μου για να μου στείλει αυτή την είδηση, υπάλληλοι του mmigration and Customs Enforcement (γνωστό και ως ICE και λειτουργεί ως παράρτημα του Homeland Security Department) των ΗΠΑ ζήτησαν από την Mozilla Corporation, την απόσυρση του MAFIAA Fire, ενός πρόσθετου για τον Firefox. Γιατί όμως; Τι τρέχει με αυτό το add-on:

Το MAFIAAfire είναι ένα πρόσθετο που έχει σαν σκοπό να κάνει εύκολη την πρόσβαση σε εναλλακτικά domain (διευθύνσεις ας πούμε) site των οποίων τα domain στις ΗΠΑ έχουν κατασχεθεί από μετά από κινήσεις της ίδιας υπηρεσίας. Το όνομα του πρόσθετου προέρχεται από τo όνομα του site παρωδία MAFIAA.org (το οποίο φτιάχτηκε για να διακωμωδήσει τις πρακτικές της MPAA και RIAA, των οργανισμών συλλογικής διαχείρισης δικαιωμάτων ταινιών και μουσικής αντίστοιχα).

Οι υπάλληλοι της ICE όμως δεν φρόντισαν να έχουν ένταλμα απλά προχώρησαν στον να ζητήσουν από το Mozilla να καταργήσει το εν λόγω add-on, ως αποτέλεσμα η άρνηση του Mozilla Corporation να αποδεχθεί το εν λόγω αίτημα, μάλιστα σε μια ιδιαίτερα ενδιαφέρουσα δημοσίευση στο προσωπικό του blog ο Γενικός Σύμβουλος του Mozilla Harvey Anderson αναφέρει ότι η Mozilla Corporation έχει πρόθεση να συμμορφωθεί σε δικαστικά εντάλματα και οποιαδήποτε σύννομη απόφαση. Μάλιστα αναφέρει και μια σειρά από ερωτήσεις που έγιναν από μεριάς του Mozilla στο ICE χωρίς όμως να λάβει οποιαδήποτε απάντηση.

Συνοπτικά οι ερωτήσεις που έθεσε η Mozilla Corporation είναι οι ακόλουθες:

  • Υπάρχουν δικαστικές αποφάσεις που να κρίνουν ότι το πρόσθετο MAFIAAfire είναι με οποιοδήποτε τρόπο παράνομο; Αν ναι σε ποια βάση;
  • Είναι ο Mozilla νομικά υποχρεωμένος να απενεργοποιήσει το εν λόγω πρόσθετο ή το εν λόγω αίτημα βασίζεται σε άλλους λόγους; Αν ναι σε ποιους;
  • Μπορείτε να προσκομίστε αντίγραφο της σχετικής διαταγής κατάσχεσης με στην οποία βασίζεται το αίτημα διαγραφής του MAFIAAfire;

Μέχρι στιγμής ουδέν νεώτερο από τους ομοσπονδιακούς, παράλληλα πριν λίγες μέρες έγινε διαθέσιμη έκδοση του MAFIAAfire στο Chrome Store. Είμαι περίεργος να δω αν η Google σε αντιδράσει με παρόμοιο τρόπο σε ανάλογο αίτημα της ICE. Εσείς τι πιστεύετε;


Διανομή ασφαλούς Linux από το Υπουργείο Άμυνας τον ΗΠΑ 2

NCO Academy Teaches Leadership in Virtual EnvironmentTo Υπουργείο Άμυνας (Department of Defense ή DoD) των Ηνωμένων Πολιτειών όπως και το Υπουργεία Άμυνας όλων των υπερδυνάμεων, παλαιών και νέων δίνει ιδιαίτερη βάση στις δυνατότητες του για ασφάλεια των επικοινωνιών (αν και οφείλω να ομολογήσω ότι ορισμένες φορές ακόμη και τα πλέον ασφαλή δίκτυα έχουν ένα σημαντικό πρόβλημα ασφαλείας… τους χρήστες τους, βλέπε Cablegate και WikiLeaks).

Μια από τις πρωτοβουλίες του Υπουργείου άμυνας των ΗΠΑ είναι και η Software Protection Initiative (επίσης γνωστή και ως SPI). Στόχος της SPI είναι η προστασία του λογισμικού, του κώδικα και των δεδομένων που χρησιμοποιεί για αποκλειστική του χρήση το Υπουργείο Άμυνα των ΗΠΑ από απειλές τάξης μεγέθους ολόκληρων κρατών. Με άλλα λόγια οι άνθρωποι προσπαθούν να εξασφαλίσουν ότι κάποιο κράτος δεν θα μπορεί να χακέψει το λογισμικό τους.

Στα πλαίσια αυτής της πρωτοβουλίας το DoD και το Air Force Research Laboratory ή AFRL (Ερευνητικό Εργαστήριο της Πολεμικής Αεροπορίας) εξέλιξαν διάφορα προγράμματα που νομίζω ότι μπορείτε να βρείτε ενδιαφέροντα, αυτό όμως που μου έκανε μεγαλύτερη εντύπωση από όλα είναι ότι τα παλικάρια έχουν φτιάξει την δική τους Live διανομή Linux. Την Lightweight Portable Security (ή LPS).

Η LPS ουσιαστικά είναι (όπως λέει και το όνομα της) μια ελαφριά διανομή Linux που μπορείτε να την χρησιμοποιείστε από ένα USB ή CD. Έχει φτιαχτεί με την λογική ότι οι υπάλληλοι του DoD μπορούν να έχουν μαζί το LPS και όποτε θέλουν να έχουν πρόσβαση σε ευαίσθητα δεδομένα από έναν υπολογιστή που δεν θεωρούν ότι μπορεί να είναι ασφαλείς (πχ σε ένα Internet cafe, σε ένα ξενοδοχείο στον υπολογιστή του παιδιού τους γιατί ο δικός τους χάλασε κτλ) να boot-άρουν με την LPS και το μέγεθος του ISO είναι μόλις 131 ΜΒ (άρα χωράει και σε ένα πρακτικότατο Mini CD) ενώ η Deluxe έκδοση έχει και το OpenOffice.org και είναι 268MB.

Όταν κάποιος boot-άρει την LPS το πρώτο πράγμα που θα δει είναι τα λογότυπα του DoD, του AFRL και της SPI που ομολογώ ότι είναι πολύ ψαρωτικά.  Αφού boot-άρει το σύστημα (και με μπόλικα WiFi modules στον Kernel παρακαλώ) ανοίγει ένα λιτό, σχεδόν σπαρτιατικό περιβάλλον IceWM.

Από προγράμματα δεν έχει και πάρα πολλά, αλλά κάτι που μου έκανε εντύπωση είναι ότι η σχετικά πρόσφατη έκδοση του Firefox που διαθέτει υποστηρίζει ειδικές SmardCard που χρησιμοποιούν σε διάφορες κρατικές υπηρεσίες στις Ηνωμένες Πολιτείες για την ηλεκτρονική πρόσβαση των εργαζομένων τους. Το μόνο που χρειάζεται να κάνουν είναι να συνδέσουν το USB αναγνώστη καρτών τους στον υπολογιστή και θα τον αναγνωρίσει.

Αυτό που μου κάνει περισσότερο εντύπωση να πω την αλήθεια είναι το ότι όλο και περισσότερες κυβερνήσεις με τον ένα ή τον άλλο τρόπο χρησιμοποιούν το Linux για να έχουν ασφαλείς και οικονομικές λύσεις στις ανάγκες τους. Η ευελιξία του και το γεγονός ότι είναι ελεύθερο προσφέρει στην προκειμένη τουλάχιστον περίπτωση αυξημένη ασφάλεια με αρκετά πρακτικό τρόπο χωρίς εκτεταμένο οικονομικό κόστος. Ελπίζω ότι κάποια στιγμή η πρακτική στην χώρα μας θα είναι παρόμοια και πως θα δούμε κάποτε κάτι αντίστοιχο από το δικό μας Υπουργείο Άμυνας (και μετά ξύπνησα).


Ασφαλείς επικοινωνίες με το Liberté Linux 1

Watching You Watching MeTo Liberté Linux σχεδιάστηκε για τις ανάγκες ανθρώπων που θέλουν να έχουν ασφαλείς και ανώνυμες επικοινωνίες μέσω διαδικτύου σε περιβάλλοντα που είναι πιθανόν διαδικτυακή επικοινωνία τους να ελέγχεται από τους διαχειριστές ή από άλλες υπηρεσίες. Ιδιαίτερα χρήσιμο θα το βρουν άτομα που ζουν κάτω από καταπιεστικά καθεστώτα ή πιστεύουν ότι οι διαχειριστές του δικτύου τους τους κατασκοπεύουν (;!).

Το Liberté Linux ουσιαστικά είναι μια διανομή βασισμένη στο Gentoo φτιαγμένη για να λειτουργεί σε LiveUSB, στόχος του σύμφωνα με τους developers του είναι να παρέχει στον χρήστη μια αξιόπιστη, ελαφριά και πάνω από όλα ασφαλή διανομή. Η εγκατάσταση του είναι εξαιρετικά απλή καθώς χρειάζεται μόνο να εγκαταστήσετε το Liberté Linux ως ένα απλό φάκελο σε κάποιο USB και αφού το σετάρετε (μόνο σε ένα βήμα) θα μπορείτε να “boot-άρετε” από το USB. Αν υπάρχει διαθέσιμη σύνδεση στο διαδίκτυο το σύστημα θα φτιάξει ένα κύκλωμα ασφαλούς επικοινωνίας Tor.

Στις μελλοντικές εκδόσεις της θα δίνεται η δυνατότητα επικοινωνίας με άλλους χρήστες του Liberté Linux με ασφαλή τρόπο καθώς η διανομή κατά την πρώτη φορά που την αρχίζετε δημιουργεί ένα μοναδικό email ID βασισμένο μεταξύ άλλων και στο κρυφό κλειδί που λαμβάνετε από το Tor.

Πέρα από τα εκτενέστατα και εντυπωσιακά χαρακτηριστικά ασφαλείας της η Liberté Linux έχει και αρκετά πολύ χρήσιμα χαρακτηριστικά που αξίζει να αναφέρουμε (έστω και επιγραμματικά).

Αστείες απαιτήσεις από πλευράς hardware:

  • pentiumpro ή καλύτερο (μιλάμε έχω δει να χαρίζουν τέτοια μηχανήματα)
  • 128 ΜΒ μνήμη RAM (πλάκα κάνουμε;)
  • 240ΜΒ χώρο στο USB μέσο (πραγματικά το μόνο εύκολο)
  • Αλλά και διευκολύνσεις για τον υλικό σας
  • δυνατότητες ελέγχου των ρυθμίσεων κατανάλωσης σε πολλά μοντέλα λάπτοπ μέσω των laptop mode tools με τους σκληρούς σε λειτουργία χαμηλού θορύβου και άλλα τέτοια κόλπα
  • ενσωματωμένη υποστήριξη σύνδεσης με πολλές συσκευές ενσύρματης ή ασύρματης δικτύωσης
  • αυτόματη ρύθμιση πολλών επιλογών (συμπεριλαμβανομένων και του X server)
  • εύκολη ρύθμιση συνδέσεων στο διαδίκτυο με το NetworkManager
  • τα μέσα αποθήκευσης (βλ σκληροί δίσκοι και USB) του υπολογιστή είναι προσβάσιμα

Σε επίπεδο λογισμικού επίσης δεν πάει πίσω καθώς έχει εγκατεστημένα:

  • Εγκατεστημένο το γραφικό περιβάλλων LXDE σε συνδυασμό με το Openbox που είναι ότι πολύ ελαφρύ αλλά αρκετά βολικό.
  • Υποστήριξη ξένων γλωσσών μέσω του SCIM (είναι ότι πρέπει ειδικά αν χρησιμοποιείτε το σύστημα σας για να γράψετε Κινέζικα, Ιαπωνέζικα, Malayalam, Ρώσικα… ακόμη και Ελληνικά).
  • Επίσης υπάρχει εγκατεστημένο virtual keyboard (γιατί ποτέ δεν ξέρεις αν μπορείς να εμπιστευθείς το ίδιο σου το πληκτρολόγιο)
  • Εφαρμογές για ανάγνωση (Evince και ePDFView)  και επεξεργασία κειμένου (geditAbiWord, και Gnumeric).
  • Για browsing το πολύ ελαφρύ Midori και το για email το επίσης πολύ ελαφρύ Claws Mail
  • Μπόλικα (ελαφρά) προγράμματα για multimedia.
  • Πρόγραμμα εγγραφής CD (X-CD-Roast)
  • To GNU Privacy Assistant για την διαχείριση των PGP κλειδιών σας και άλλα

Γενικά πιστεύω ότι αν και είναι μια κάπως εξειδικευμένη λύση αποτελεί μια πολύ χρήσιμη προσθήκη στο USB stick που πάντα κουβαλάω μαζί μου.


5 δικαιολογίες κατασκευαστών που δεν ανοίγουν τους drivers τους 3

George! That´s a Gas!5 συνήθεις δικαιολογίες κατασκευαστών που δεν ανοίγουν τους driver των συσκευών που φτιάχνουν και 5 αντεπιχειρήματα
Αδειοδότηση: Ο κώδικας των οδηγών μας βασίζεται σε αδειοδοτημένο κώδικα και από άλλες εταιρείες πέραν της δικιάς μας, δεν έχουμε το νομικό δικαίωμα να δημοσιεύσουμε τον κώδικα τους ούτε έχουμε τρόπο να τις πείσουμε για αυτό.

Σεβαστή η εμπορική συμφωνία που έχετε κάνει με οποιαδήποτε άλλη εταιρεία. Φυσικά η εξάρτηση σας σε αυτό το επίπεδο σαν κάνει να εξαρτάστε από την εταιρεία που με την οποία έχετε κάνει την εν λόγω συμφωνία. Ίσως μπορείτε να δημοσιεύστε τον υπόλοιπο κώδικα που έχετε στην διάθεση σας. Επίσης δώστε την τεχνική περιγραφή των αλγορίθμων που καλύπτονται από το κώδικα της άλλης εταιρείας. Είναι πιθανό μέσω αυτής της πρακτικής να είναι δυνατόν να γραφτεί κώδικας ακόμη και για το κομμάτι για το οποίο έχετε κάνει την εν λόγω συμφωνία ώστε πλέον να μην είστε εξαρτημένοι από την άλλη εταιρεία από της οποίας χρησιμοποιείτε κώδικα.

Ανταγωνιστικό πλεονέκτημα: Έχουμε πολλούς ανταγωνιστές και τα χαρακτηριστικά που το τμήμα marketing δημοσιεύει μπορεί να είναι “αισιόδοξα” υπό κάποιες συνθήκες. Αν ανοίγαμε τον κώδικα μας οι ανταγωνιστές μας θα μπορούσαν πολύ εύκολα να το αποδείξουν αυτό σε πιθανούς πελάτες μας.

Εδώ μιλάμε για ξεκάθαρη απάτη αλλά ακόμη και έτσι θα μπορούσατε να είστε ειλικρινείς όσο αφορά τις επιδόσεις των προϊόντων σας και ίσως πολύ πιο δύσκολα αλλά θα μπορούσατε να κάνετε έρευνες ώστε να εντοπίσετε τα σενάρια εκείνα που το τα προϊόντα των ανταγωνιστών σας δεν προσφέρουν όσα υπόσχονται με αποτέλεσμα ενώ ταυτόχρονα εσείς θα μπορείτε να εγγυηθείτε για την ακρίβεια των χαρακτηριστικών των προϊόντων σας ακριβώς γιατί εσείς θα χρησιμοποιείτε ανοιχτού κώδικα drivers

Υποστήριξη: Αν τελικά δημοσιεύσουμε τον κώδικα μας θα πρέπει να απαντάμε σε ερωτήσεις από κάθε λογής κόσμο για κάθε χαρακτηριστικό και λειτουργία του προϊόντος μας. Ακόμη και επιλέξουμε απλά να τις αγνοήσουμε θα χάσουμε πολλές εργατοώρες. Αν μάλιστα πουλάμε τα προϊόντα μας και σε OEM κατασκευαστές για μερικά δολάρια το κομμάτι τότε δεν υπάρχει περιθώριο για υποστήριξη των πελατών.

Καταρχάς αν ο κώδικας σας είναι αρκετά καλός δεν θα είναι ιδιαίτερα δύσκολο για την κοινότητα να παρέχει υποστήριξη για την λειτουργία του προϊόντος σας πχ σε μια διανομή. Όσο για εσάς θα μπορείτε με πολύ ευκολότερο τρόπο να ελέγξετε το κώδικα σας και να έχετε την συνδρομή της κοινότητας για βελτιώσεις. Μάλιστα η μείωση του κόστους ανάπτυξης νεότερων εκδόσεων του κώδικα σας θα μπορούσε να ισοσκελίσει την μικρή αύξηση στις απαιτήσεις υποστήριξης των οδηγών σας όσο αφορά το κόστος.

Ασφάλεια: Πείτε ότι θέλετε για το μοντέλο “security through obscurity” αλλά οι θιασώτες του είναι πολλοί στον επιχειρηματικό κόσμο. Η δημοσίευσή όλου του κώδικα σου μπορεί να αφήσει τεράστια κενά ασφαλείας σε οποιοδήποτε έχει σκοπό να τα εκμεταλεύτει.

Πέραν από το ότι το γεγονός είναι ότι το μοντέλο “security through obscurity” (όπως η περίπτωση τον Windows μας έχει αποδείξει περίτρανα) είναι και αυτό με την σειρά του αρκετά ποιο “τρύπιο” από ότι φαίνεται με την πρώτη ματιά. Το γεγονός ότι μέσα σε λίγες ώρες τις περισσότερες φορές το οποιοδήποτε κενό ασφαλείας διορθώνεται από την κοινότητα ίσως δίνει συγκριτικό πλεονέκτημα σε σχέση με τον ανταγωνισμό. Από την άλλη αν ακόμη και η αρχική ανάπτυξη των driver γίνεται στο πνεύμα του ανοιχτού κώδικα τότε το τελικό αποτέλεσμα είναι πιθανότατα ακόμη πιο ασφαλές.

Οικονομικό: Δεν υπάρχει κάποιο σενάριο που θα μπορούσε σε οικονομικό επίπεδο να δικαιολογήσει την διάθεσή κλειστών πληροφοριών.Αν δεν πρόκειται να βγάλω χρήματα από κάτι γιατί να ξοδέψω χρόνο και εργατοώρες για να το κάνω ανοιχτού κώδικα, και πιθανότατα να διαθέσω πληροφορίες που θα μπορούσε να χρησιμοποιήσει ο ανταγωνιστής μου.

Όχι υπάρχει, κατ’αρχάς εάν μειωθεί το κόστος ανάπτυξης των νέων εκδόσεων ενός driver ήδη εξοικονομούνται χρήματα. Από την άλλη ακριβώς διότι οι driver σας θα είναι ανοιχτού κώδικα είναι πολύ πιο πιθανό το hardware σας να χρησιμοποιηθεί σε ανοιχτού κώδικα projects. Η χρήση του από αυτά πέραν του ότι θα σας δώσει πρόσβαση σε ένα κομμάτι της αγοράς είναι πιθανών να προσφέρει και νέες δυνατότητες κάνοντας το ακόμη ανταγωνιστικότερο. (βλέπε mesh projects βασισμένα στα WiFi chip της Atheros). Επίσης καθώς το hardware σας μπορεί να χρησιμοποιηθεί σε πλειάδα ανοιχτού κώδικα project είναι πιθανόν να έχετε δωρεάν προβολή σε μια εποχή που ο μέσος χρήστης έχει αναπτύξει αρκετές “άμυνες” στην παραδοσιακή διαφήμιση.

Αυτά αν έχετε να εμπλουτίστε το “διάλογο” αυτό μην διστάσετε να αφήστε σχόλιο και θα ενημερώσω αν χρειάζεται την δημοσίευσή.


οι Έλληνες (και όχι μόνο) του Google Summer Of Code για το 2010

Όπως και πέρσι έτσι και φέτος το Google Summer Of Code, ένα πρόγραμμα για την οικονομική ενίσχυση φοιτητών που συμβάλλουν στην ανάπτυξη προγραμμάτων ανοιχτού κώδικα, έχει πολλές συμμετοχές και αυτή την φορά υπήρχαν πολλές συμμετοχές και από Έλληνες, Ελληνίδες αλλά και Κύπριους συμμετέχοντες.

Αρχίζω με τον Αυγουστίνο Καδή (από την Κύπρο) που συμμετέχει στο έργο HTML5 support for XHP για το ΧHP του Facebook.

O Ευστράτιος Καρατζάς που συμμετέχει με το Audit Kernel Events για το Free BSD project.

Η Χριστίνα Μπούμπουκα συμμετέχει με το Enhance the operation of GNOME Shell LookingGlass για το GNOME.

O Ευάγγελος Κατσίκαρος που συμμετέχει με το Spatiotemporal indexing for Inkscape για το Inkscape (φυσικά).

Ο Βασίλειος Γεωργιτζίκης που συμμετέχει με το MacPorts GUI Improvement για το MacPorts.

O Ευστάθιος Καμπέρης που συμμετείχε και πέρσι εφέτος συμμετέχει με το Audit, unit testing and improvements of the NetBSD math library για το NetBSD.

Ο Φώτης Χατζής συμμετέχει με το Ncrack – Extension and Improvement for Nmap Security Scanner για το NMAP όπως και πέρσι.

Ο Γιάννης Μπελιάς συμμετέχει με το API stabilization for Oyranos Colour Management System για το OpenICC στο όποιο είχε συνδράμει και πέρσι.

O Γιώργος Μπουτσιούκης συμμετέχει με το Speeding up 2to3 pattern matching για την Python.

Η Παρασκεύη Νικολαΐδου συμμετέχει με το MSNP2P refactoring for aMSN για το TCL/Tk στο οποίο είχε συμμετοχή και στο GSoC του 2009.

Αυτή την φορά δεν κατάφερα να εντοπίσω κάποιον mentor του Google Summer of Code (πλην του Ελληνικής καταγωγής Καναδού Evan Prodromou ιδρυτή της Ιntenti.ca και του status.net. Αν έχετε υπ’όψιν σας κάποια παράλειψη ή διόρθωση στο άθρο αυτό μην διστάστε να αφήστε το σχόλιο σας παρακάτω.


O Παράξενος Καθεδρικός 49

paracath49

Επίσης μπορείτε να βρείτε Παράξενο Καθεδρικό στα Αγγλικά και εδώ και λίγο καιρό έχει αρχίσει μετάφραση και στα Τσέχικα.

Επίσης για τις δικές σας εκδώσεις μπορείτε να χρησιμοποιήστε τον Πολύ Παράξενο Καθεδρικό.


O Παράξενος Καθεδρικός 48 1

paracath48

Και φυσικά εδώ θα βρείτε την αγγλική έκδοση.

Αυτή την φορά θα λέω να προχωρήσω κάτι που σκεφτόμουν εδώ και καιρό, στον Πολύ Παράξενο Καθεδρικό χρησιμοποιήστε τη αγαπημένη σας εφαρμογή επεξεργασίας εικόνας (εγώ προσωπικά χρησιμοποιώ το Gimp για αυτή την δουλειά) για να προσθέστε το δικό σας κείμενο. Αν θέλετε μπορείτε να το στείλτε και στο e-mail μου για να το αναρτήσω και εγώ εδώ.

Επίσης μπορείτε να γράψτε τους διαλόγους ως σχόλια παρακάτω και να ετοιμάσω εγώ (όταν βρω χρόνο) το δικό σας Πολύ Παράξενο Καθεδρικό.

Επίσης να τονίσω ότι το Copyright του Παράξενου Καθεδρικού και του Ryan Cartwright είναι κάτω από την άδεια Creative Commons:By-NC-SA (δηλαδή, μπορείτε να κάνετε ότι αλλαγές θέλετε αλλά δεν μπορείτε να το χρησιμοποιήστε για εμπορικό σκοπό και πρέπει να το μοιράζεστε πάντα με αυτή την άδεια)

Επίσης θα ήθελα αν σας είναι εύκολο να απαντήστε στην σχετική ψηφοφορία!

Ο Πολύ Παράξενος Καθεδρικός (η κοινοτική έκδοση του Παράξενου Καθεδρικού)

View Results

Loading ... Loading ...