Episódio #128 – Entre o aberto e o fechado

Partindo do vazamento dos códigos fonte do Windows, falaremos sobre o paradigma da segurança entre código aberto e fechado.

Play

Resumo de Notícias em 15:33. Tema principal em 35:33.

Novo serviço oferecido pela Brownpipe – Verificação Básica de Vulnerabilidades

Shownotes

  • Resumo de Notícias com Fábio Assolini
    • Petya: mais um ataque global de ransomware se espalha pelo mundo (via TechNet)
    • Ataques do Wannacry ainda afetam empresas pelo mundo (via AutoEsporte, TripWire e NYTimes)
    • Empresa de hospedagem coreana paga resgate milionário em ataque de ransomware (via TecnoBlog e TrendMicro)
    • Mirai: vulnerabilidade no código possibilita persistência da praga (via BleepingComputer)
    • Vault7: Wikileaks continua publicando documentos vazados da CIA (via WikiLeaks)
    • Base de dados de eleitores americanos é exposta na internet (via UpGuard)
    • Quadrilha presa pela Policia roubou 1,5 milhões de reais em golpes bancários (via G1)
    • Alemanha autoriza que Whatsapp seja interceptado por autoridades (via DW)
  • Site do IRIS – Instituto de Referência em Internet e Sociedade
  • Site do FacilTech, projeto do ouvinte Carlos Eduardo Rabelo.
  • Livro “The Cathedral & the Bazaar: Musings on Linux and Open Source by an Accidental Revolutionary” (via Amazon)
  • Artigo “Why Information Security is Hard – An Economic Perspective” de Ross Anderson
  • Artigo “A Theory of Disclosure for Security and Competitive Reasons: Open Source, Proprietary Software, and Government Agencies” de Peter Swire
  • Livro “Security Engineering” de Ross Anderson
  • Site falando sobre o Dilema do Prisioneiro
  • Heaps of Windows 10 internal builds, private source code leak online (via The Register)
  • Microsoft confirms some Windows 10 source code has leaked (via TheVerge)

Ouvintes que mandaram mensagem: Davi Teofilo, Letícia, Carlos Eduardo Rabelo.

Imagem do Episódio “Attic, Pise, Old Attic, Tile, Light, Mystery, Door” por Kincse_j
Música da segunda parte do episódio – “Reflections Across The Sky” por Scott Holmes
Música final – “Bartok – Roumanian Folk Dances – Waistband Dance, Roumanian Polka, Maruntel” por Advent Chamber Orchestra
Share

13 comentários em “Episódio #128 – Entre o aberto e o fechado

  1. Pessoal, acabei de começar a ouvir o podcast e ouvi vocês falando que estão usando o Discord para gravar. Até o momento, a qualidade está muito boa. Assim que terminar de ouvir o episódio todo, volto aqui pra dar um feedback. Abraços.

  2. Desculpe repetir a mensagem, precisava de algumas correções.
    Prezados.. mais uma vez um excelente episódio, parabéns.
    Falando em código aberto e fechado, sobre o tema deste episódio a empresa Kaspersky “concordou” em mostrar código fonte ao governo dos EUA
    Seria interessante ouvir o que nosso amigo Assolini tem a dizer sobre o assunto, e tem muito a ver com este episódio do podcast.
    Aguardo a live, abraços.

    Fontes:
    https://www.tecmundo.com.br/seguranca/118641-kaspersky-concorda-mostrar-codigo-fonte-governo-eua.htm

    http://gizmodo.com/in-worrisome-move-kaspersky-agrees-to-turn-over-source-1796587120

    http://hosted.ap.org/dynamic/stories/E/EU_RUSSIA_KASPERSKY?SITE=KVUE&SECTION=HOME&TEMPLATE=DEFAULT

  3. Ola, Parabens pelo episório sobre o código fonte ser aberto e muitas vezes tornar o projeto inseguro, vejo que muitas vezes isso so favorece a segurança por obscuridade, um dos cases sobre código aberto e segurança que me lembro são: – p2p procotol ( https://tools.ietf.org/html/rfc5694 ) mesmo com o código aberto o protocolo p2p ou torrent, não foi exterminado, rss mesmo em ipv6. O projeto apollo11 tb mesmo sendo ultra secreto durante vários anos agora é Open source: http://googlecode.blogspot.com.br/2009/07/apollo-11-missions-40th-anniversary-one.html e recentemente está no github: https://github.com/chrislgarry/Apollo-11

    Um dos comentários sobre o custo com Segurança de informação, vejo num projeto de servidor de email nacional, onde é mantido pela empresa federal, ele é um fork de um projeto alemão, porém a forma de contribuir com o projeto é muito restrita( o termo de aceite pra entrar na comunidade é quase um intimação judicial ), na prática é bem complicado reportar erros e saber se eles foram corrigidos, fora o fato de algum 0-day. Então a comunidade pode fazer as correções mas a questão “o tempo” que isso pode levar.

    O livro “O bazar e a catedral” foi publicado de forma Creative Commons:
    se voce procurar na internet pode achar um volume na faixa, para mais informações: https://en.wikipedia.org/wiki/The_Cathedral_and_the_Bazaar ( o próprio autor tem uma cópia com alguns extras na amazon ).

    Sobre o Efeito de ter mais gente procurando bugs do que corrigindo, como isso ser péssimo é muito simplório.
    temos que ver em relação ao contexto, muitas empresas odeiam quando você manda um email dizendo:
    – entao achei uma falha no seu software ( eu ja fiz isso e ja fui ameçado de morte, processos, dentre outras cosias ) como minha ética não permite que eu ganhe dinheiro sacaneando pessoas eu nao faço, mas em outras empresas como no caso da Netflix ( a política deles não beneficia quem acha bugs nas ferramentas ) eu ja achei um bug na cliente deles, quando fui reportar no site, o atendente via chat, disse que poderia reportar o erro mas política não permitia que eu ganhasse algo com isso.
    Então pare e pense, eu queria ajudar a empresa de forma ética ( reportando um bug mesmo que eu nao ganhasse nada com isso, eu uso o produto quero que ele seja melhor e seguro ) ai a empresa fecha a porta na tua cara, o que voce faz?
    E concordo com que foi abordado, as pessoas respondem a incentivos, se o incentivo maior for vender a falha para o mercado negro, as pessoas farão isso, se o incentivo for reportar e a empresa beneficiar quem fez isso, nem que seja com a internalização do problema, ou um misero email de “obrigado por se importar com a gente”.
    ja em muitos locais quando voce reporta um erro apontam uma arma na sua cabeça..

  4. Ola novamente, quanto a pessoas que apenas utilizando o código aberto e nao contribuem de volta, isso não é bem visto mas ao mesmo tempo não pode ser COMBATIDO como algo ruim, ja que as 4 liberdades de software não lhe obriga a contribuir com projetos se voce apenas utilizar.
    fonte: https://www.gnu.org/licenses/gpl-3.0.pt-br.html

    Faz algum tempo eu vi um reportagem no BR-linux falando que o governo no Brasil e a maioria das empresas so utilizam projetos Open Source, dificilmente retribuem a comunidade algo:
    reportagem completa em: http://www.networkworld.com/article/3114619/open-source-tools/which-countries-have-open-source-laws-on-the-books.html

    outro ponto interessante é que outros projetos viram que pedir para o código retorna a comunidade não é algo que seja seguido a risca, a licença GPL obriga isso mas quem liga né? se eu violar a Licença GPL irão me punir?? irão mesmo?? voltando vejo que o Exemplo do projeto Freebsd é mais assertivo.
    a licença BSD antiga MIT, a parte de Devolver o código é opcional, entao boa parte do código que pessoas utilizam com o freebsd ficam so com elas, o que muitas empresas fazem é doar grana para manter o projeto,
    a Microsoft é Doador Silver da FreebsdFoundation:
    https://www.freebsdfoundation.org/donors/
    o projeto OpenBSD tb adota essa iniciativa:
    http://www.openbsdfoundation.org/contributors.html
    e numa escala um pouco menor tb o projeto netBSD:
    https://www.netbsd.org/donations/

    outro ponto que dificulta muito é que certo projetos, tem sua forma de se comportar então o seu código ou sugestão pode ser melhor o que eles ja tem, porem não irao aceitar o que voce contribui por nao seguir o que eles chamam de código ético, veja esse exemplo para o projeto Debian: https://mako.cc/writing/foss_book_chapter_proposal-final.html
    eu amo esse projeto, mas mesmo bem motivo sei que a probabilidade de rejeitarem é bem alta.
    fora o fato que eu ja fui a um FISL e tentei contatar algumas pessoas da comunidade Debian que estavam no evento, fui ignorado completamente, enfim devem ta bem sem as minhas contribuições:
    https://www.debian.org/devel/wnpp/rfa_bypackage ( o link q voce viu não existe, eles nao precisam de nós )

    Outra coisa curiosa sobre retribuir ou não o código fonte, veja o caso do Projeto Freebsd, boa parte dos projetos forks dele são código fechado, favor verificar apenas os itens: “Commercial products”:
    fonte: https://en.wikipedia.org/wiki/List_of_products_based_on_FreeBSD

    então se analisarmos de forma apenas vendo quem contribui ou não com o código fonte os projetos BSD são anomalias, rss fora o fato de serem em sua maioria mãe e pais de sistemas de código fechado.
    porem se vermos de uma forma mais plural veremos que a licença mit ou BSD é a que mais da liberdade, pois ela inclusive prevê algo que os Gnus-chatos( lembranças ao hurd! ) não veem, como “abstenção”.

    ou seja forçar o usuário a tomar uma decisão por mais correta que ela seja nunca será ética, pois isso exige consciência da decisão tomada, impor isso em prol de um “bem maior” não passa de uma imposição qualquer… que não contribui com a liberdade do individuo.

    fonte sobre a licença MIT:
    https://opensource.org/licenses/MIT
    fonte sobre a licença BSD:
    http://www.linfo.org/bsdlicense.html

  5. Pessoas, primeiramente parabéns pelo belo trabalho no podcast.

    Segundo, desculpem a demora a comentar, estou com alguns episódios acumulados.

    Terceiro, vi que vocês entraram numa discussão sobre motivações que levam alguém a contribuir com projetos de Software Livre.

    Aos que interessarem, minha pesquisa de Mestrado (pelo CIn-UFPE, uma Revisão Sistemática da Literatura), entre outras coisas, apontou algumas destas motivações.

    Segue o link para o texto final, caso interessem nos dados coletados:
    https://goo.gl/sf2vpq

  6. Oi, pessoal. Eu terminei de escutar o cast e eu não consegui ter essa dúvida que vocês têm no final, não.

    Pra mim é simples: depende das suas restrições de negócio.
    Se vc precisa do computador com Windows pro seu filho pq ele quer ficar jogando, então vc precisa do SO e todo o resto original, antivirus instalado e tudo atualizado. Ai é rezar pro pirralho não foder a máquina pq clicou onde n devia.
    Se vc precisa de um host pra aplicações web, ai vc pega um RedHat da vida com o suporte deles e enche o saco pros caras te ensinarem o que vc precisa saber sobre segurança.
    Se vc for o Chuck Norris, pode usar Windows sem atualizar e tudo pirata q não dá nada.

    Ou seja, depende das suas limitações de cada cenário para vc definir qual é o conjunto de softwares mais seguros, não tem nada a ver se é opensource ou não.

  7. Olá pessoal, muito legal o episodio.

    Tenho dois artigos que li recentemente que podem ajudar um pouco mais o mundo Open Source:

    https://theintercept.com/2016/07/29/a-famed-hacker-is-grading-thousands-of-programs-and-may-revolutionize-software-in-the-process/

    TL;DR “Software companies should either make their products open source so buyers can see what they’re getting and tweak what they don’t like, or suffer the consequences if their software failed. He likened it to the ancient Code of Hammurabi, which says that if a builder poorly constructs a house and the house collapses and kills its owner, the builder should be put to death.”

    E outro co-relacionado:

    https://www.theatlantic.com/technology/archive/2017/09/saving-the-world-from-code/540393/

    TL;DR “The 911 outage, at the time the largest ever reported, was traced to software running on a server in Englewood, Colorado. Operated by a systems provider named Intrado, the server kept a running counter of how many calls it had routed to 911 dispatchers around the country. Intrado programmers had set a threshold for how high the counter could go. They picked a number in the millions.”

    Acho bem interessante a ideia do Código de Hamurabi para software, não com pena de morte claro, mas como punição para quem errar feio, errar rude.
    No meu trabalho atual, o maximo que pode acontecer é um site ficar fora do ar e quando se trata de saude e vidas?

    Obrigado e parabéns pelo trabalho

Deixe um comentário para san Cancelar resposta