Symantec: ? Slå av pcAnywhere nå

[Nilsen]

Hacktivistgruppe har fått tak i kildekoden fra sikkerhetsselskapet.

 

Symantec: ? Slå av pcAnywhere nå

[Occi]

Syns det er litt merkelig holdning i closed-software. De aksepterer rett og slett at det er bugs og sikkerhetshull, og om koden lekker så er det sett på som et stort sikkerhetshull. Derimot i fri programvare er alt tilgjengelig, og hvem som helst kan prøve å finne hull. Tydeligvis noen som ikke har like stor tro på sin egenutviklede software Burde jo kunne ta utgangspunkt i at selv om koden lekker, så burde den være sikker.

 

Klar over at jeg simplifiserer ting veldig, men det er en grei ting å ha i bakhodet når slike store selskaper sender ut varsel som dette som mer eller mindre innrømmer at koden deres i utgangspunktet ikke er sikker.

[Matsemann]

Uff, lei begrepet Anonymous nå. Både medienes idiotiske bruk av det, og feigingene som gjemmer seg bak det i alle mulige saker.

[Gjest Slettet-t8fn5F]

En større innrømmelse på at et program inneholder bakdører, skal man lete lenge etter.

[007CD]

Syns det er litt merkelig holdning i closed-software. De aksepterer rett og slett at det er bugs og sikkerhetshull, og om koden lekker så er det sett på som et stort sikkerhetshull. Derimot i fri programvare er alt tilgjengelig, og hvem som helst kan prøve å finne hull. Tydeligvis noen som ikke har like stor tro på sin egenutviklede software Burde jo kunne ta utgangspunkt i at selv om koden lekker, så burde den være sikker.

 

Klar over at jeg simplifiserer ting veldig, men det er en grei ting å ha i bakhodet når slike store selskaper sender ut varsel som dette som mer eller mindre innrømmer at koden deres i utgangspunktet ikke er sikker.

 

Du har ikke simplefisert i det hele tatt.

Dette er security through obscurity som ikke er sikkerhet, du bare stoler på at ingen er smartere enn deg og at de ikke vil prøve å bryte seg inn.

Og i racing miljøet finnes det ett utrykk som stemmer for alt ellers i verdenen: "Det spiller ingen rolle hvor rask du er... Det er alltid noen som er raskere" overført betydning er at samme hvor god du tror du er til å skjule ting, så vil alltid noen klare å grave det fram.

 

Dette er en nesten kriminell innrømmelse på at de ikke har tatt sikkerhet seriøst.

[tommyb]

Syns det er litt merkelig holdning i closed-software. De aksepterer rett og slett at det er bugs og sikkerhetshull, og om koden lekker så er det sett på som et stort sikkerhetshull. Derimot i fri programvare er alt tilgjengelig, og hvem som helst kan prøve å finne hull. (...) Klar over at jeg simplifiserer ting veldig, men det er en grei ting å ha i bakhodet når slike store selskaper sender ut varsel som dette som mer eller mindre innrømmer at koden deres i utgangspunktet ikke er sikker.

 

Nå er det forskjell på store og små firma, men man skal være rimelig arrogant før man tror at ens egen kildekode er uten sikkerhetshull som man bare ikke har oppdaget ennå. Det første eksemplet på programmering i minst en av programmeringsbøkene mine, hadde et alvorlig sikkerhetshull, og det var på nivå med Hello World. En tommelfingerregel er at sikkerhetshull eksisterer alltid. Da eksisterer det en race condition, og det gjelder å finne det først.

 

For store organisasjoner kan det være mye god hjelp i å la kildekoden være åpen slik at sikkerhetshullene kan lukes ut, helst før produksjonsmiljø. Den effekten vil ikke man som lite firma ikke få dersom man ikke har et OSS-miljø rundt seg. Ingen som gidder å bruke timer på å hjelpe meg å sikre koden/jobben min.

[mojojojo]

Uff, lei begrepet Anonymous nå. Både medienes idiotiske bruk av det, og feigingene som gjemmer seg bak det i alle mulige saker.

 

Det utsagnet er ganske urimelig.

 

Slik jeg forstår saken fikk noen tak i kildekoden i 2006, og når det så blir kjent for offentligheten nå 6 år senere så mener Symantec at det er så alvorlig at alle som har pcAnywhere bør la være å bruke det til de får fikset sikkerhetshull. De har altså vært klar over at dette kunne være tilfelle i 6 år uten å gjøre noe som helst! Det er helt riktig å lekke denne informasjonen.

 

Lurer på hvem som fikk tak i kildekoden og hvor mange datainnbrudd de har gjort på disse 6 årene. Nok en grunn til å styre unna Symantec.

[PacAnimal]

En større innrømmelse på at et program inneholder bakdører, skal man lete lenge etter.

 

Nå skal det vel sies at pcAnywhere ER en bakdør...

[sinnaelgen]

jeg skjønner det ikke helt når kildekoden til et program som burde ha hemmelig kilde kode er bilt kjent så er det en sikkerhetsrisiko , men når det koden til fri programvare er kjent er det ikke noen sikkerhetsrisiko.

 

I begge tilfeller kan jo hvem som helst programmerer lese programkoden og tilpasse sinne programmer etter dette enten der er for bruke systemet optimalt er det er for å unngå sikkerheten .

[Visjoner]

jeg skjønner det ikke helt når kildekoden til et program som burde ha hemmelig kilde kode er bilt kjent så er det en sikkerhetsrisiko , men når det koden til fri programvare er kjent er det ikke noen sikkerhetsrisiko.

Jeg tror påstanden her er at programvare med fri kildekode har færre sikkerhetshull, nettopp fordi den kan finkjemmes av hvem som helst. Det høres jo ut som en rimelig påstand.

[sinnaelgen]

jeg skjønner det ikke helt når kildekoden til et program som burde ha hemmelig kilde kode er bilt kjent så er det en sikkerhetsrisiko , men når det koden til fri programvare er kjent er det ikke noen sikkerhetsrisiko.

Jeg tror påstanden her er at programvare med fri kildekode har færre sikkerhetshull, nettopp fordi den kan finkjemmes av hvem som helst. Det høres jo ut som en rimelig påstand.

 

Den har jeg hørt ,

Men når alle kjenner koden i detalj så kan de også unngå en del av funksjonene i et program , gjerne men å legge inn falske innlegginger hvis slikt kreves

[nomore]

Eg har forståelse for at enkelte selskaper vil beskytte kildekoden sin fordi de ikke ønsker å dele noe de har brukt tid og penger på å utvikle. Men når de vil beskytte kildekoden fordi de er redd for at noen finner bakdører, bugs eller hull så viser det en utviklerkultur som de burde skamme seg over.

 

Hadde de kun vært redd for de intelektuelle rettighetene til koden, så hadde de godtatt innbruddet for det det var, og betrygget kundene sine med at programvaren er så trygg som de har klart å få den, og at de vil fortsette å gjøre koden bedre og sikrere fremover.

 

I stede så anbefaler de kundene sine å avinstallere programvaren? Det kaller eg tillit til eget produkt

[Gjest Slettet-t8fn5F]

En større innrømmelse på at et program inneholder bakdører, skal man lete lenge etter.

 

Nå skal det vel sies at pcAnywhere ER en bakdør...

Ikke helt. Bakdøren er et brukernavn og passord som man ikke vet om..

[tommyb]

Jeg tror påstanden her er at programvare med fri kildekode har færre sikkerhetshull, nettopp fordi den kan finkjemmes av hvem som helst. Det høres jo ut som en rimelig påstand.

 

Det blir ikke færre sikkerhetshull fordi kode KAN finkjemmes av hvem som helst.

 

Det blir færre sikkerhetshull må noen faktisk GJØR det. Så et stort miljø rundt produktet gir en god effekt, mangler miljøet er det ingen sikkerhetseffekt.

[lkjelsberg]

Anonymous<3 LOL elsker de gutta...nå kan ACTA og all that shit tenke seg om to ganger!

[ovrebekk]

Uff, lei begrepet Anonymous nå. Både medienes idiotiske bruk av det, og feigingene som gjemmer seg bak det i alle mulige saker.

Feigingene?

Jeg skulle likt å se deg hacke sidene til FBI, og stå frem med fullt navn etterpå.

[Simen1]

jeg skjønner det ikke helt når kildekoden til et program som burde ha hemmelig kilde kode er bilt kjent så er det en sikkerhetsrisiko , men når det koden til fri programvare er kjent er det ikke noen sikkerhetsrisiko.

Det blir litt langt å skulle forklare det her, dessuten finnes det allerede bedre forklaringer på nett enn det jeg klarer å skrive. Du kan lese mer om de to måtene på wikipedia:

 

Åpen kildekode: Secure by design

Lukket kildekode: Security through obscurity

 

Det er litt mye å lese, spesielt på sistnevnte, men hvis du er interessert så finner du nok grundig svar på det du lurer på der.

[Matsemann]

Uff, lei begrepet Anonymous nå. Både medienes idiotiske bruk av det, og feigingene som gjemmer seg bak det i alle mulige saker.

Feigingene?

Jeg skulle likt å se deg hacke sidene til FBI, og stå frem med fullt navn etterpå.

Hvorfor skal man trenge å stå frem? Skryte litt, føle seg kul?

 

Når man står opp mot stater som forgriper seg, skjønner jeg man vil være anonym. Da gjør man også noe samfunnsnyttig. Men mange som gjemmer seg bak anonymousmaskene er ikke annet enn kriminelle som utfører herværk.

[Gjest Slettet-t8fn5F]

 

Det blir litt langt å skulle forklare det her, dessuten finnes det allerede bedre forklaringer på nett enn det jeg klarer å skrive. Du kan lese mer om de to måtene på wikipedia:

 

Åpen kildekode: Secure by design

Lukket kildekode: Security through obscurity

 

Det er litt mye å lese, spesielt på sistnevnte, men hvis du er interessert så finner du nok grundig svar på det du lurer på der.

Windows er secure by design and default og i høyeste grad lukket kildekode.

Det du presenterer i de to linkene er prinsipper, og ikke fakta på åpen kildekode er det ene, og lukket kildekode det andre. That's just BS.

http://msdn.microsoft.com/en-us/library/ms995349.aspx

[sinnaelgen]

Nå har jeg skummet gjennom begge linkene men er forsatt ikke sikker på om jeg kom noen vei.

Siden jeg selv på hobbybasis programmerer så vet jeg også at sikkerhet går på at tilgang til systemer.

 

Så hvis man kjenner koden fult ut så spiller det liten rolle om den er luket eller fri kode .

Man kan manipulere kilde koden.

Man kan også lurer systemet til å tro at de er en bruker som logger seg på med riktig innlogging.

hvis man derimot ikke kjenner hele kildekoden blir det langt verre.