gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Microsoft: Closed Source é mais seguro
Contribuído por AsHeS em 13-04-01 20:29
do departamento open-or-closed-source
Microsoft CrLf escreve "Steve Lipner, responsável pelo security response center da Microsoft diz que o software closed-source é mais seguro uma vez que o código é revisto em busca de falhas de segurança antes de ser lançado enquanto que ninguém revê o software open-source e assim os atacantes podem deixar falhas propositadamente escondidas à vista de todos, usando como justificação os contínuos anúncios de falhas no BIND, wu-ftpd, etc. Esquece-se é das falhas dos próprios produtos da Microsoft. Curioso é apresentar como justificação para a demora no lançamento de patches o facto destes também serem revistos (pensava que era melhor lançá-los rapidamente para evitar mais estragos).
A notícia pode ser lida no securityfocus. "

A História do Gildot | Novo Terràvista  >

 

gildot Login
Login:

Password:

Referências
  • CrLf
  • notícia
  • securityfocus
  • Mais acerca Microsoft
  • Também por AsHeS
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Revisão dos patches (Pontos:1)
    por Strange em 13-04-01 21:42 GMT (#1)
    (Utilizador Info)

    Há muita polémica em relação à revisão dos patches.

    Existem várias opiniões:

    • O dos administradores de sistema paranóicos, que querem ver os problemas de segurança corrigidos ASAP, mesmo que isso quebre alguma coisa.
    • Os administradores de sistema não paranóicos, que não querem perder dias a reinstalar as máquinas todas apenas porque um patch não se encontrava em condições de ser aplicado no hardware em questão.
    • Os integradores/fabricantes/distribuidores/whatever que têm a responsabilidade de criar os patches. Estes não podem apenas enviar patches sem os testar devidamente, pois têm que os testar devidamente em todas as combinações de hardware e software, pois um patch mal feito criará o caos nos seus serviços técnicos.

    A maior causa destes problemas é mesmo o facto do software ser closed source. Assim, temos o problema de que quem tem acesso ao código fonte não é a mesma pessoa que descobriu o problema ou que está interessada em resolver o problema. Temos também o problema de que o patch será distribuído apenas sob a forma binária, aumentando grandemente as hipóteses de incompatibilidade com algum software de terceiros (e até com software do próprio fabricante).

    Mas nada disto justifica a demora de bastantes meses (e até anos?) por parte da SUN para lançar alguns patches...

    No entanto, o software open source não resolve imediatamente estes problemas todos, pois não é raro patchs enviados para a bugtraq (ou outra mailing list da SecurityFocus (aquando da discussão da vulnerabilidade) serem corrigidos ou por não corrigirem o problema completamente, ou por quebrarem alguma coisa, ou até por abrirem novos problemas.

    Mas é claro que o software open source terá mais cabeças dedicadas a resolverem o problema, e o problema será resolvido mais rapidamente.

    Em relação à afirmação de o software closed source ser mais seguro, não posso senão rir às razões indicadas, pois deve ser uma piada. Em primeiro lugar, a afirmação que software open source não é revisto é ridícula, pois não é por ser open source que deixa de ser revisto, e além disso, depois de sair será revisto por todos os paranoicos no planeta (e até mesmo por apenas curiosos), coisa não possível no software closed source (ex de o software ser revisto: quem avisou da última vunerabilidade nos BIND ISC).

    Esta está a ser uma altura muito má para a Microsoft, como se pode deduzir dos últimos ataques ridículos por parte da Microsoft contra o movimento open source.

    hugs

    Strange

    QA (Pontos:2)
    por chbm em 13-04-01 21:45 GMT (#2)
    (Utilizador Info) http://chbm.nu/
    Comparando a quantidade, gravidade e qualidade:) de bugs *conhecidos* de por exemplo ... NT+IIS com todas as combinações Free (speech) Software que fazem a mesma função devo concluir que a equipa encarregada de rever o código deles e procurar problemas de segurança são 3 babuinos bebados equipados com uma marreta. Isto se existir claro.

    Ou isso ou o Steve Lipner é um sock puppet :)
    Especialistas (Pontos:1)
    por jmce em 14-04-01 0:39 GMT (#3)
    (Utilizador Info)

    Presentes na conferência encontravam-se também três conhecidos especialistas do Microsoft Security Response Center.

    Procurámos auscultar a opinião de cada um deles sobre as afirmações do director do grupo e sobre o controle de qualidade na MS. Um deles passou rapidamente pela nossa repórter de ouvidos tapados e não terá ouvido a questão. O conhecido Solomon Key escusou-se enfaticamente a responder, tapando a boca. Finalmente, interrogado sobre "trapdoors" no software da Microsoft, B.A. Boon reconheceu a existência de problemas em versões anteriores de certos produtos.

    Cobrindo os olhos com ar meditativo, o Sr. Boon acrescentou:

    -- Mas a expressão "trapdoors" não é a mais apropriada; preferimos chamar-lhes "cascas de banana".

    sem palavras... (Pontos:1)
    por jobezone em 15-04-01 19:01 GMT (#4)
    (Utilizador Info)
    AsHeS, acertaste mesmo, pois com o acesso do código fonte à vista de todos, "podem deixar falhas propositadamente escondidas à vista de todos".

     

     

    [ Topo | FAQ | Editores | Contacto ]