gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Inquérito aos utilizadores do Gildot
Contribuído por scorpio em 19-02-04 13:08
do departamento inquéritos
News Marco Santos escreve "Saudações a todos os utilizadores do Gildot. Publicamos amanhã (sexta) uma pequena notícia na página 22 do suplemento Bits & Bytes do JN/24horas sobre a leak de partes do código-fonte do Windows. Sabendo-se que o que veio cá para fora são cerca de 600 megas de código-fonte do SP1 do Windows 2000 (com muitas referências ao kernel), gostaria de saber a vossa opinião sobre as consequências desta leak para a Microsoft, a comunidade Open Source e a própria segurança na Internet.
A vossa opinião e os vossos depoimentos serão publicados na próxima edição, com a autorização dos autores. Quem não quiser autorizar a publicação da resposta, refira-o logo aqui, para não metermos água no artigo. Gostaríamos que se identificassem, porque não queremos fundamentar o trabalho com opiniões anónimas.

P.S. Muitos de vocês talvez não conheçam o Bits & Bytes; os que conhecem achá-lo-ão desinteressante e com demasiadas notícias sobre o Windows; isso é verdade, pelo menos em parte. Encaramos cada edição como um patch de correcção, um upgrade. Mas também temos feito a divulgação do software Open Source e do Linux, na medida das nossas possibilidades e da generosidade de alguns voluntários. Infelizmente na redacção somos todos uns nabos em Linux. Esta proposta de inquérito aos membros do Gildot é mais um passo na direcção certa. Obrigado e parabéns ao Gildot por ser uma referência até para aqueles que não utilizam Linux, como eu. "

[scorpio: Efectivamente, esta situação prova a fragilidade da filosofia "security through obscurity" patente nos projectos closed-source. Se é igualmente verdade que são descobertas regularmente problemas de segurança (e afins) em projectos de software aberto, é precisamente por estes serem abertos que se resolvem problemas rapidamente. E no que diz respeito a este código do 2000, quem me diz que não está pejado de problemas? A EULA nem me deixa tentar procurá-los, quanto mais resolvê-los... ]

Intel vai dar suporte a Linux! | Google AdSense para sites em Português  >

 

gildot Login
Login:

Password:

Referências
  • Linux
  • Marco Santos
  • Mais acerca News
  • Também por scorpio
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    My 2 cents (Pontos:4, Interessante)
    por Gamito em 19-02-04 14:21 GMT (#1)
    (Utilizador Info) http://www.startux.org/
    Antes de mais, em relação aos service packs dos Windows, a julgar pelo seu tamanho e quantidade de ficheiros que reinstala, eu diria que não estão muito longe de serem uma grossa parte do próprio sistema operativo. Quando até o Notepad vem incluído...

    Quanto aos utilizadores de sistemas Microsoft, diria que o maior perigo está nos crackers (por favor não escreva hackers) e script-kiddies que com o código na mão poderão mais facilmente explorar vulnerabilidades no sistemo operativo e vir por aí uma enchente de vírus e worms derivados deste facto.
    Isto a acontecer será muito mau para a Microsoft, pois seria a prova-provada que de facto o código do Windows é mau.

    Quanto ao Linux, penso que segue o seu caminho e não terá nada a ver com esta história.
    Eventualmente, alguns projectos que vivem de reverse-engineering podem beneficar de poder ver o código. Estou a lembrar-me por exemplo do Samba. Mas isto são só suposições.

    Resumindo, para a Microsoft pode ser mau. Para o software livre é indiferente. Não se guia por deadlines, por pressões de mercado, marketing, etc.
    Guia-se pelo it's ready when it's ready.

    Mário Gamito
    www.startux.org
    Re:My 2 cents (Pontos:2, Interessante)
    por lbruno em 19-02-04 14:28 GMT (#3)
    (Utilizador Info) http://republico.estv.ipv.pt/~lbruno/
    Estou a lembrar-me por exemplo do Samba.

    Podem sair prejudicados. O futuro reverse-engineering[0] não irá estar isento de acusações de que se aproveitaram deste leak.

    [0] BTW, reverse-engineering não é ilegal apenas por si. Lembrem-se do primeiro clone IBM-PC (pela Compaq, certo?).


    --
    Luís Bruno
    Re:My 2 cents (Pontos:1)
    por Perky_Goth em 20-02-04 5:05 GMT (#39)
    (Utilizador Info)
    sendo isso legal nos estados unidos pq a DMCA prevê o Reverse Engineering por motivos de compatibilidade.
    cá, não sei. não tou a ver isso a impedir ninguém, quanto mais pressão fizerem mais se arriscam à reviravolta...
    ---

    Que Bush vos abençoe.
    A segurança na internet (Pontos:2)
    por Gamito em 19-02-04 14:32 GMT (#4)
    (Utilizador Info) http://www.startux.org/
    Esqueci-me deste ponto.
    Aqui quem vai ser mais afectado se se verificar o pior cenário dos vírus e worms, serão obviamente os sistemas operativos Windows (desktop e servidor).

    Contudo, se começarem a surgir em catadupa coisas tipo MyDoom, obviamente que apesar de outros sistemas operativos do tipo UNIX, como o Linux não serem afectados do ponto de vista da segurança, serão concerteza sobrecarregados com tráfego, com os servidores de mail à cabeça.

    Enfim, quem usa Windows, fez a cama, agora tem que se deitar nela.
    É um bocadinho mauzinho de se dizer, mas é a verdade.

    Mário Gamito
    www.startux.org
    Re:A segurança na internet (Pontos:2)
    por Branc0 em 19-02-04 17:09 GMT (#14)
    (Utilizador Info) http://www.syners.org
    O principal problema com isto, na minha opinião, é que agora existe muita gente a olhar para o código da MS, e quando se olha muitas vezes acaba por se apanhar sempre qualquer coisa.

    Não sendo o Windows OpenSource, acabam por ser detectados os erros mas não há ninguém para os corrigir, continua a ter que ser a MS a desenvolver o patch sem que quem detecta o bug possa fornecer um patch.

    Isto é, para mim, ter as desvantagens do OpenSource (em questões de segurança) sem ter nenhuma das suas vantagens. Mas talvez no longo termo seja algo positivo para o Windows.

    Há ainda outras questões a serem respondidas, tal como a idade do source code e quais as alterações que já foram feitas posteriormente.


    "Se vi mais além do que outro, é porque estava nos ombros de gigantes."
    Sir Isaac Newton

    Re:My 2 cents (Pontos:1)
    por Init em 19-02-04 15:42 GMT (#8)
    (Utilizador Info)

    Qualquer acesso ao codigo sem autorização da m$ é uma violação do direito de autor é por isso que projectos como SAMBA, não podem tirar proveito...


    «They that give up liberty to obtain a little temporary safety, deserve neither liberty nor safety» Benjamim Franklin (1706-1790)
    Re:My 2 cents (Pontos:2)
    por Gamito em 19-02-04 15:46 GMT (#9)
    (Utilizador Info) http://www.startux.org/
    Claro, era em tese.

    Mário Gamito
    www.startux.org
    Clean room reverse-engineering (Pontos:4, Interessante)
    por CrLf em 19-02-04 17:03 GMT (#12)
    (Utilizador Info) http://crodrigues.webhop.net
    Qualquer acesso ao codigo sem autorização da m$ é uma violação do direito de autor é por isso que projectos como SAMBA, não podem tirar proveito...

    Isto não é bem verdade, como passo a explicar:

    Se alguém, que pode ou não manter-se anónimo, se dispuser a analisar o código e produzir especificações de protocolos como o SMB/CIFS ou da estrutura do NTFS, apenas ele ficará contaminado, podendo depois entregar essas especificações a terceiros para implementação. Esses terceiros não fariam uso do código, apenas tentariam implementar os protocolos constantes da especificação. Este acto não seria de todo ilegal pois seria considerado reverse-engineering para fins de interoperabilidade. Chama-se a isto "clean room reverse-engineering" e foi usado, por exemplo, pela Compaq para clonar a BIOS do IBM-PC.
    Poderiam, no entanto, surgir problemas se os protocolos estiverem eles próprios patenteados (onde tal for possível), o que não é o caso de protocolos como o CIFS ou o Active Directory (que é em grande parte baseado no LDAP).

    -- Carlos Rodrigues
    Re:Clean room reverse-engineering (Pontos:2)
    por Gamito em 19-02-04 22:59 GMT (#33)
    (Utilizador Info) http://www.startux.org/
    Esqueci-me de dizer que o Samba vive mais de packet sniffing do que de reverse engineering.

    Mário Gamito
    www.startux.org
    Re:Clean room reverse-engineering (Pontos:2)
    por CrLf em 19-02-04 23:50 GMT (#34)
    (Utilizador Info) http://crodrigues.webhop.net
    É claro que packet-sniffing também é reverse engineering... :)

    -- Carlos Rodrigues
    Re:Clean room reverse-engineering (Pontos:1)
    por Perky_Goth em 20-02-04 5:07 GMT (#40)
    (Utilizador Info)
    sendo que na europa felizmente ainda não há patentes de software...
    ---

    Que Bush vos abençoe.
    Re:Clean room reverse-engineering (Pontos:1)
    por Init em 20-02-04 10:41 GMT (#59)
    (Utilizador Info)

    Ainda dizes tu bem, porque acredita que o loby das patentes ainda não desistiu e essa guerra está muito longe do fim.


    «They that give up liberty to obtain a little temporary safety, deserve neither liberty nor safety» Benjamim Franklin (1706-1790)
    Re:Clean room reverse-engineering (Pontos:1)
    por Init em 20-02-04 10:39 GMT (#57)
    (Utilizador Info)

    Se alguém, que pode ou não manter-se anónimo, se dispuser a analisar o código e produzir especificações de protocolos como o SMB/CIFS ou da estrutura do NTFS, apenas ele ficará contaminado, podendo depois entregar essas especificações a terceiros para implementação.

    Se as coisas fossem assim tão simples, se eles soubessem que esse individuo violou a licença da m$, eles seriam cumplices, se não soubessem de certo que iriam estranhar os conhecimentos dele e duvidar da proveniencia e a validade desses conhecimentos, ou a legitimidade da sua proveniencia.


    «They that give up liberty to obtain a little temporary safety, deserve neither liberty nor safety» Benjamim Franklin (1706-1790)
    Não me parece (Pontos:2)
    por CrLf em 20-02-04 14:37 GMT (#67)
    (Utilizador Info) http://crodrigues.webhop.net
    Esse pormenor da cumplicidade é interessante. No entanto não sei bem de que crime poderiam ser acusados pois o sacrificado só gerou especificações e os programadores não copiaram código. O único "crime" aqui foi olhar para o código, não havendo nenhuma violação de propriedade intelectual.

    -- Carlos Rodrigues
    Re:Não me parece (Pontos:1)
    por Init em 21-02-04 3:33 GMT (#77)
    (Utilizador Info)

    De facto o termo cumplice é desadequado, mas decerto que qualquer juiz diria que aproveitar o fruto de uma violação da lei é também uma violação da lei. Por exemplo comprar ou aceitar de qualquer forma material roubado sem ser para entregár às autoridades ou ao seu legitimo proprietário é proibido, isto é uma situação que me parece analoga.


    «They that give up liberty to obtain a little temporary safety, deserve neither liberty nor safety» Benjamim Franklin (1706-1790)
    Re:Não me parece (Pontos:2)
    por CrLf em 21-02-04 4:04 GMT (#78)
    (Utilizador Info) http://crodrigues.webhop.net
    Sim, mas o que eu dizia é que é difícil dizer que crime é praticado nessa situação, vejamos:

    1. Quem publicou o código praticou uma violação ou crime qualquer pois das duas uma, ou teve acesso aos dados de forma ilegal ou violou um NDA;
    2. Quem obteve o código por download (e produziu a especificação) está a praticar que violação? Cópia ilegal? Provavelmente, mas não é um crime de roubo;
    3. Quem leu a especificação não pratica nenhum crime, e o facto de saber que foi produzida usando meios ilegais não é relevante. Pois isto não é considerado (pelo menos pela minha mente não jurídica) como receptação de material roubado (simplesmente porque a especificação não é o material). Quando muito poderia ter praticado o crime de incitação à prática criminosa caso o autor da especificação o tivesse feito induzido pelos receptores e não por sua própria autoria.


    -- Carlos Rodrigues
    Re:Não me parece (Pontos:1)
    por Init em 21-02-04 14:42 GMT (#86)
    (Utilizador Info)

    «Quem leu a especificação não pratica nenhum crime, e o facto de saber que foi produzida usando meios ilegais não é relevante.»
    Eu também não sou advogado, mas parece-me que pratica uma ilegalidade, pois sabe que está a aumentar o impacto negativo causado pelas violações da lei causadas por outros, se é crime ou não já é outra guerra (nem todas as violações da lei são crimes, podem ser contra-ordenações).

    Quando muito poderia ter praticado o crime de incitação à prática criminosa caso o autor da especificação o tivesse feito induzido pelos receptores e não por sua própria autoria.
    Também poderia ser alegado, se bem que é um terreno mais pantanoso e poderia mesmo não ter ocorrido.


    «They that give up liberty to obtain a little temporary safety, deserve neither liberty nor safety» Benjamim Franklin (1706-1790)
    Mas que raio... (Pontos:1)
    por tonidosimpostos em 19-02-04 17:44 GMT (#15)
    (Utilizador Info)
    Oh pah acabem lá com essa porcaria de definição. Hackers sao hackers, sejam pretos, brancos ou amarelos. Crackers (desde HA muito tempo), sao os gajos que andam entretidos a limpar protecções anti-copia e afins (vulgo CRACKING). Essa definição de crackers = hackers super evil, é a coisa mais ridicula que já alguma vez li (apenas superada pelas larvas daquele livro da FCA), e já nao sei qual foi o estupido jornalista/escritor que começou com isso.

    Mister ToniDosImpostos
    "O software é como as mulheres, se não sabes, não MEXAS !"
    (c) ME, 2004!
    Re:Mas que raio... (Pontos:1)
    por Perky_Goth em 20-02-04 5:11 GMT (#41)
    (Utilizador Info)
    LOL.

    nenhum escritor começou com isto, foram as próprias pessoas que se começaram a auto-entitular. Os primeiros hackers eram pessoas que gostavam de correr programas numa máquina de cartões, e os crackers... eram os phreaks, que roubavam chamadas de longa distância. tá-te a falhar um grande pedaço de história...
    hackers não são crackers, embora devido ao uso a distinção esteja a desaparecer. Eu não gosto de ser identificado com um bando de gajos que só faz asneiras... e os crackers não são super evil, os que tiram proteções nem sequer o são...

    geez, se não entendes não reclames...
    ---

    Que Bush vos abençoe.
    Re:Mas que raio... (Pontos:1)
    por Drune em 20-02-04 12:26 GMT (#64)
    (Utilizador Info)
    Não costumo comentar aqui muito aqui no gildot, mas sou leitor assíduo. À uns tempos para cá que me parece que tens o "dom da verdade"..ou não! Sinceramente e sobre este assunto acho que precisas dumas luzes. Se não estás devidamente informado, ou se não sabes, talvez seja melhor ficares só pela leitura em vez de comentares com coisas que sinceramente _me_ parece que não sabes. Mas cada um sabe de si..


    ..may the source be with you =)
    Seguranca na Internet (Pontos:1)
    por lbruno em 19-02-04 14:24 GMT (#2)
    (Utilizador Info) http://republico.estv.ipv.pt/~lbruno/
    A opinião que me parece ser mais comum é a de que mais olhos irão identificar os problemas existentes.

    Tenho dois contrapontos: aquela benesse seria obtida a longo prazo; creio que, entretanto, alguns irão usar o código-fonte de forma nefária. Além disso, são precisos olhos experientes para identificar problemas.

    Se eu tivesse olhos experientes, não iria sequer aproximar-me desse código-fonte obtido ilegalmente.
    --
    Luís Bruno
    Fins maliciosos (Pontos:3, Interessante)
    por CrLf em 19-02-04 16:20 GMT (#10)
    (Utilizador Info) http://crodrigues.webhop.net
    A opinião que me parece ser mais comum é a de que mais olhos irão identificar os problemas existentes.

    A questão importante é que esses olhos irão estar interessados em descobrir problemas com intuitos maliciosos e não com o intuito de os corrigir/reportar aos autores para correcção.

    Isto é uma questão fundamental, pois se é certo que a probabilidade de existir mais gente honesta com conhecimentos do que crackers maliciosos é grande, também é certo que só estes últimos terão interesse em analisar a fundo as sources que foram publicadas. O pessoal honesto não tem a mínima motivação para procurar e reportar problemas em software closed-source sem receber nada em troca... Especialmente quando este software é propriedade de uma corporação monopolista de grandes dimensões...

    -- Carlos Rodrigues
    Re:Fins maliciosos (Pontos:1)
    por Perky_Goth em 20-02-04 5:13 GMT (#42)
    (Utilizador Info)
    o problema é que as pessoas honestas não vão olhar para ele porque é criminoso tê-lo e porque estariam marcadas para certo tipo de desenvolvimento no mercado.
    ---

    Que Bush vos abençoe.
    re: yet another... (Pontos:3, Esclarecedor)
    por scorpio em 19-02-04 14:57 GMT (#5)
    (Utilizador Info) http://eurotux.com/
    A questão da fuga de código pode ser ainda mais preocupante, dado que quanto mais esse código for visto, mais argumentos a Microsoft terá futuramente para acusações de plágio...

    Tenho evitado deliberadamente olhar para o código - não estou a pensar em escrever um sistema operativo (ou parte dele) nos próximos anos... mas para quem desenvolve software aberto, pode ser um perigo olhar para este código. Esperemos que esta questão não venha influenciar futuras situações como, por exemplo, a que opõe a equipa do mplayer à KISS, onde a KISS admite que até pode ter sido a equipa do mplayer a copiar o código proprietário deles.

    Re: yet another... (Pontos:3, Interessante)
    por Gamito em 19-02-04 15:08 GMT (#6)
    (Utilizador Info) http://www.startux.org/
    A Microsoft está lentamente a ser entalada entre a espada e a parede.
    Concerteza que continuarão a ser por muitos anos a maior empresa de software do planeta, mas os utilizadores e os decision-makers estão a ficar cada vez mais fartos da falta de segurança dos seus softwares.

    Penso que a Microsoft está (como nunca a vi) um pouco à deriva, pricipalmente por causa do software livre, porque pura e simplesmente é um paradigma com o qual não conseguem lidar.
    Ao longo dos anos compraram empresas da concorrência e assim chegaram ao topo.
    O software livre, eles não conseguem comprar e ainda por cima quase todo é livre as in speech and as in beer.
    Eles simplesmente não sabem como lidar com este "inimigo".
    Que ainda por cima vem demonstrando cada vez mais ser uma verdadeira alternativa de um sistema operativo robusto, seguro e fiável e onde as pessoas podem abrir um e-mail sem medo que o conteúdo do seu disco rígido seja apagado de repente :P

    Mário Gamito
    www.startux.org
    Re: yet another... (Pontos:4, Interessante)
    por joaorf em 19-02-04 18:19 GMT (#18)
    (Utilizador Info)
    Isso faz-me lembrar o Drácula não poder olhar para um crucifixo....
    Sinceramente, olhar para o código não tem mal nenhum. Pode ser ilegal, mas não é imoral. E alguém minimamente inteligente para aproveitar alguma coisa interessante do código da Microsoft também será inteligente para fazer as adaptações necessárias para dissimular a cópia.

    A maioria das pessoas não sabe, mas os construtores de automóveis tem departamentos em que desmontam os carros da concorrência e analisam-nos ao pormenor. Mesmo a Microsoft e outras empresas de software proprietário inspiram-se e, muitas vezes, copiam textualmente código BSD e GPL. É ilegal segundo a licença, OK. Mas a espionagem industrial e a apropriação de conhecimentos e segredos alheios é tão antiga quanto a própria indústria.

    Se quiséssemos ser mesmo 100% legais, não liamos DVDs, nem Quicktime, nem Windows Media em Linux.

    Espero que muita gente leia o código do Windows. O Samba teria muito a lucrar se descobrisse como funciona o Active Directory. E também seria bom descobrir o codec do Windows Media 9. Só tenho pena que mais código Microsoft não venha a público.

    Re: yet another... (Pontos:1)
    por Perky_Goth em 20-02-04 5:17 GMT (#43)
    (Utilizador Info)
    olha que depois vão-te citar e dizer que os malucos do linux são anarcas..

    não se pode olhar para o código porque ele está protegido, não o podes copiar nem criar trabalhos derivados dele. ora, se olhaste e vais fazer uma coisa parecida tens que provar que não estás a fazer uma derivação, o que é impossível.
    e olhar para o código não é ilegal, fazer o download é que é. e em portugal se calhar só o upload... alguém clarifica?
    ---

    Que Bush vos abençoe.
    A minha opnião (Pontos:1, Esclarecedor)
    por Init em 19-02-04 15:36 GMT (#7)
    (Utilizador Info)

    «gostaria de saber a vossa opinião sobre as consequências desta leak para a Microsoft...»

    Para a microsoft?
    Não estou a ver o que possa vir de mal para a micosoft, para além de algum eventual embaraço.
    Este código é apenas uma parte de algo mais abrangente e até já tem alguma idade. Dificilmente se pode aproveitar este código para alguma coisa e não acredito que alguém o faça com a excepção de alguns indivíduos mal intencionados que tentem explorar algum problema nesse código.

    Consequências para as comunidades Open Source e Software Livre?
    Nenhumas.
    Não há qualquer forma de a comunidade poder aproveitar este código legalmente, também ninguém no seu perfeito juízo e que acredite mesmo nos ideais destas comunidades o vai fazer, isso seria uma violação grosseira do direito de autor. As batalhas que estas comunidades travam com os seus adversários são feitas dentro da lei, ao contrário do que alguns dos seus adversários e alguns media tentam passar.

    Consequências para a segurança na Internet?
    Isso depende de várias coisas, mas a segurança é algo complexo, é sobre tudo uma atitude de todos os envolvidos desde os fabricantes, passando pelos responsáveis pelas implementações e manutenções e não esquecendo nunca os utilizadores. É a atitude destes que vai ditar a segurança de um sistema ou de uma rede.
    Se analisarmos as atitudes típicas de cada uma destas partes envolvidas, vamos ver que não de forma nenhuma a melhor.
    A microsotf não tem uma boa atitude em relação à segurança pois apesár da campanha (que considero que não passa de atirar areia para a nossa vista) trustworth computing continua a por exemplo esconder problemas e a demorar muito tempo a resolve-los, como podemos ver pela recente noticia de a microsoft ter demorado 6 meses a resolver um problema de segurança que ela própria classificou como critico, deixando assim os seus clientes vulneráveis durante todo este tempo (http://theregister.co.uk/content/55/35480.html).
    A atitude de quem implementa e mantém os sistemas, também é algo problemática, algumas vezes por falta de competências técnicas, outras por deixarem-se levar pela vontade dos clientes em detrimento de fazer as coisas correctamente.
    Os utilizadores também têm responsabilidades, pois são eles que estão a utilizar o software e há muitas regras elementares de segurança que estes violam todos os dias. Os computadores são os electrodomésticos menos fiáveis ao dispor dos consumidores e estes simplesmente decidem ignorar isso.
    Com isto tudo pode-se concluir que se o codigo for mau e se alguem resolver perder tempo com fins maliciosos a olhar para o codigo, podemos esperar alguns problemas de segurança, os que não forem afectados directamente pelo software malicioso, vai ser pelos efeitos da carga nos serviços causada pela sua propagação e mais uma vês o computador do menos importante utilizador vai-se tornar numa arma de destroição massiça.

    Diogo Santos
    Tecnico de informática e estudante.
    © Copyright 2004 - Diogo Santos
    Cópia literal e distribuição deste artigo na íntegra são permitidas em qualquer meio, desde que este aviso seja preservado.


    «They that give up liberty to obtain a little temporary safety, deserve neither liberty nor safety» Benjamim Franklin (1706-1790)
    Re:A minha opnião (Pontos:1)
    por Perky_Goth em 20-02-04 5:19 GMT (#44)
    (Utilizador Info)
    como, "já é código antigo"? e? há muita empresa aí com o win2k, ainda no outro dia saiu um exploit para o IE 5.
    e porquê? precisamente por ser antigo e (supostamente) mais testado e mais estável.
    por outro lado, para muita gente vai ser uma desculpa para o upgrade...
    ---

    Que Bush vos abençoe.
    O que penso... (Pontos:3, Interessante)
    por Cyclops em 19-02-04 16:38 GMT (#11)
    (Utilizador Info)
    Consequências para a Microsoft: humilhação, essencialmente

    Consequências para a comunidade Open Source: ?

    Consequências para a comunidade de Software Livre: uma gargalhada, mas triste (porque agora é mais fácil para a Microsoft poder alegar cópias de código... o fantasma vai sempre existir... será que o programador X viu o código?)

    Consequências para a segurança na Internet: potencial aumento de ataques a vulnerabilidades
    ATENÇÃO: a informação necessária para descobrir os bugs de segurança está toda no binário, não é necessário o código fonte para as descobir, inclusive existindo ferramentas automáticas que facilitam a descoberta de vulnerabilidades. Mas sejamos conscientes de que dá mais trabalho. Assim sendo o ter acesso ao código o que provoca é um acesso mais simples às potenciais vulnerabilidades alargando o número possível de pessoas mal intencionadas que conseguem descobrir vulnerabilidades.

    As bem intencionadas não têm autorização legal para ver o código e se obtiverem uma cópia podem estar a incorrer num crime provavelmente de maior ofensa do que se cometessem um hack...
    Re:O que penso... (Pontos:2)
    por mlopes em 19-02-04 17:08 GMT (#13)
    (Utilizador Info)

    porque agora é mais fácil para a Microsoft poder alegar cópias de código... o fantasma vai sempre existir... será que o programador X viu o código?

    Mas qual será a utilidade de estar a copiar código da Microsoft quando provávelmente já existe uma versão opensource melhor e que funciona :)

    Desculpem lá, não resisti!!!

    "Absence is to love what wind is to fire. It extinguishes the small, it enkindles the great."

    Re:O que penso... (Pontos:2)
    por Cyclops em 19-02-04 18:58 GMT (#20)
    (Utilizador Info)
    Mas qual será a utilidade de estar a copiar código da Microsoft quando provávelmente já existe uma versão opensource melhor e que funciona :)
    Não falo por soluções "opensource" mas as soluções Livres mesmo não tendo olhado para o código não se livram de uma acusação (ainda que injusta). E se calhar que nalguma coisa é mesmo muito parecido há-que provar que nunca houve acesso ao código.

    Coisa fazível, mas pouco interessante a um developer ou a um projecto qualquer...
    Consequências ???? (Pontos:2, Interessante)
    por Esqueleto em 19-02-04 17:59 GMT (#16)
    (Utilizador Info) http://www.tusofona.com
    Viva

    Penso que não vai haver nenhumas conseguências para nenhuma das partes potencialmente envolvidas.

    Antes demais, penso que esta aparente falha de segurança pode ter sido perfeitamente ter tido origem na própria Microsoft.
    Nos últimos tempos, temos vindo a assistir a um crescimentos da indignação ao "Close-Source" devido á pouca flexibilidade que tem para sistemas criticos de grandes empresas, coorporações e até mesmo paises.

    A M$ tem vindo a perder claramente esta guerra para a comunidade OpenSource e com isso tem lançado diversas medidas com vista a minorar essa mesma tendência, como por exemplo, lançar uma licença onde os clientes tem acesso ao Código Fonte de partes do SO.
    Esta medida foi lançada depois de a M$ ter perdido o contrato milionário para a SuSe da camara de Munique depois de ter baixado a sua proposta para perto de metade da proposta inicial.

    Este problema aliado a outro referente ao crescimentos anormal dos últimos tempos de utilizadores Linux, pois, já começam a ter um SO estável e cada vez mais virado para o End-User, pode ter levado a M$ a ter querido verificar o que aconteceria se o seu código fosse lançado no domínio publico:
          - Alguém podia o usar para desenvolver um SO próprio;
          - Alguém podia ler cuidadosamente o código e tentar explorar os pontos fracos;
          - Alguém podia ler cuidadosamente o código e ao detectar pontos fracos avisar a propria M$

    Com este cenário ainda favorável à M$, a empresa pode perfeitamente ter decidido em colocar praticamente todo o Código Fonte de um dos seus SO prestes a ficar completamente obsoleto e ver o que a comunidade faz com eles.

    Convenhamos que o código fonte disponível não é crítico para o funcionamento do Windows, claro que tem algum nível de importância, mas, não o mais crítico.

    Claro que a M$ não vai dizer claramente ao público em geral que foi ela a responsável por esta manobra, mas, que eles vão tirar conclusões importantes sobre o que vai acontecer ... não tenho a menor dúvida.

    Com esta manobra (da M$ ou não) podemos ainda dizer que ficou claro para a comunidade openSOURCE que o código do Windows não é "roubado" de outros SO, nomeadamente de sistemas openSOURCE.

    Caso esta ideia seja verdadeira, quem tem a ganhar é o publico em geral que podemos ter mais certezas sobre o que o código do Windows faz ou não faz. Se por acaso verifica o que está nos nossos discos e depois via WEB, envia para um grande servidor que os trata e controla tudo o que fazemos.
    Ou ainda que as actas de altas reuniões governamentais (que devem ser feitas com ajuda do M$Word) não são replicadas para alguma entidade que tira partido dessa informação previligiada.

    Por outras palavras, penso que esta manobra faz com que haja mais transparência no uso de computadores, e espero que a M$ mude a sua política de closeSOURCE.

    (())
    Esqueleto
    © Copyright 2004 - Paulo Aboim Pinto
    Cópia literal e distribuição deste artigo na íntegra são permitidas em qualquer meio, desde que este aviso seja preservado.
    1 opinião... (Pontos:5, Interessante)
    por mvalente em 19-02-04 18:09 GMT (#17)
    (Utilizador Info) http://www.ruido-visual.pt/
    gostaria de saber a vossa opinião sobre as consequências desta leak para a Microsoft, a comunidade Open Source e a própria segurança na Internet.

    A Microsoft, no longo prazo (que o Bill Gates não se preocupa muito com o curto), só vai tirar benefícios.

    Embora no curto prazo possa sofrer alguns ataques que exploram o código divulgado, e portanto algum "prejuizo", no longo prazo só tem a ganhar:

    • começa por tirar as vantagens do open source (i.e. um peer review do código por centenas de milhares de cérebros q nem a MS poderia pagar), mas sem apoiar o open source
    • com isso acaba eventualmente por a) receber sugestões de correcções e melhorias e b) identificar excelentes talentos com c) a consequente melhoria de produtos futuros da MS
    • "demonstra" ao governo dos EUA que o conhecimento do código leva à abertura de problemas de segurança e ataques; isto de facto acontece apenas no curto prazo, sendo corrigido no longo; mas os governos estão lá apenas durante 4 anos... FUD (Fear, Uncertainty & Doubt): a MS sabe explorar bem esta táctica. Com um governo convencido será mais fácil levar avante leis e regulações que impeçam a produção de software open source (p.ex. com a história do fornecedor do mesmo ter de prestar garantias sobre o seu funcionamento; coisa q a M$ podem bem suportar e um grupo virtual de programadores não)
    • ficam dúvidas lançadas sobre quem fez o leak do código do Windows; essas dúvidas somadas aos ataques aos servidores da SCO criam um véu de suspeição sobre os participantes no fenómeno open source como sendo uns "talibans fanáticos e terroristas"; por acusa de casos individuais extremistas, esta suspeição não deixa de ser expectável...
    • depois dos problemas iniciais de curto prazo, a MS fica com "boa cara": "apesar de termos sido sujeitos a uma baixaria, corrigimos todos os problemas em X tempo; somos os maiores, defendemos o consumidor, aprendemos com os erros, bla bla bla".

    Conclusão: a MS e a Internet sofre algumas consequências negativas no curto prazo; no longo prazo o fenómeno open source sai prejudicado e a MS largamente beneficiada.

    Ocorre perguntar sobre quem terá sido o originador do leak... Se um "nefasto terrorista que perseguiremos to the full extent of the law"... ou se a própria Microsoft...

    Cumprimentos

    Mario Valente

    Re:1 opinião... (Pontos:2)
    por mlopes em 19-02-04 18:51 GMT (#19)
    (Utilizador Info)

    Ocorre perguntar sobre quem terá sido o originador do leak... Se um "nefasto terrorista que perseguiremos to the full extent of the law"... ou se a própria Microsoft...

    Não sei porquê, mas desde a primeira vez que ouvi falar disto fiquei um pouco desconfiado disso mesmo.

    "Absence is to love what wind is to fire. It extinguishes the small, it enkindles the great."

    Re:1 opinião... (Pontos:2)
    por mvalente em 19-02-04 19:55 GMT (#21)
    (Utilizador Info) http://www.ruido-visual.pt/
    Se a MS já percebeu bem o tipo de "guerra" que tem pela frente com o open source, então de certeza já leu a biblia do Mao Tse Tung sobre o assunto e necessariamente não vai partir para uma "guerra" tradicional (q sabe q não poderá ganhar), usando outras técnicas de counter-guerrilla.

    "There have been many approaches to fighting guerrilla war, often dependent on the peculiar set of conditions that exist at the time and place the warfare is conducted. [...] However, most soldiers who have engaged in counter-guerrilla warfare believe that an effective strategy cannot be based merely on defensive measures but rather must be tied to an aggressive offensive approach, taking the war to the guerrilla, denying them sanctuary and interdicting their support, stopping their ability to assemble and plan, and taking away their capability to act. This requires exceptional training, invasive presence, insightful intelligence, and an uncommon resolve on the part of established authority to meet the great demands that an offensive strategy embodies. The countering force in successful counter-guerrilla campaigns have been more agile than their guerrilla opponents, utilizing the best of their technologies and tools, and specifically targeting and rapidly acting against the guerrillas and their supporting infrastructure.

    Mas isto, é claro, só pode ocorrer a mentes paranoicas e a conspiracionistas... unless they're *really* out to get you..

    Cumprimentos

    Mario Valente

    Re:1 opinião... (Pontos:1)
    por tonidosimpostos em 19-02-04 19:57 GMT (#22)
    (Utilizador Info)
    Só duas coisinhas:
    Há dias surgiu um post muito engraçado, em que a pessoa falava acerca do timing entre a leak e a divulgação do ASN.1. O buraco do ASN.1 parece ser tao grande, mas a "manobra" de diversao provocada pela leak do código parece ter afastado muita gente do ASN.1. O parece é muito relativo... O timing realmente foi bastante preciso... Depende se acreditamos em coincidências ou nao ;)

    A outra... Como dizia o Keynes, no longo prazo, estamos todos mortos. Mas é óbvio que a M$ assumiu uma estratégia de longo prazo, desde que se tomaram conta do flop de nao assumirem a Internet como o futuro. Perdem batalhas, mas a guerra ainda parece estar do lado deles.

    Mister ToniDosImpostos
    "O software é como as mulheres, se não sabes, não MEXAS !"
    (c) ME, 2004!

    Re:1 opinião... (Pontos:1)
    por Perky_Goth em 20-02-04 5:24 GMT (#46)
    (Utilizador Info)
    tirando o mercado dos servidores, diria que graças à pirataria o mercado ainda é deles.
    ---

    Que Bush vos abençoe.
    Re:1 opinião... (Pontos:1)
    por nbk em 20-02-04 8:02 GMT (#50)
    (Utilizador Info) http://www.mrnbk.com/
    Boas.

    De facto é de suspeitar do timing do ASN.1.

    A Microsoft (a ver pela lista de upcoming vulnerabilities em http://www.eeye.com/html/Research/Upcoming/) deverá estar mesmo a fazer a gestão dos bugs.

    Também podemos estar perante um general que depois de lhe terem cortado os dois braços e uma perna, marcha triunfante, acreditando poder ganhar a guerra. Às vezes a calma é apenas aparente, uma ilusão.

    @376, Nbk

    Re:1 opinião... (Pontos:2)
    por Gamito em 19-02-04 20:12 GMT (#23)
    (Utilizador Info) http://www.startux.org/
    Mário, como sempre apreciei muito a tua opinião, mas tenho que te dizer que se a tua teoria for correcta, então a longo-longo prazo, como diz o povo, cá se fazem, cá se pagam.

    Eles podem brincar com os clientes durante muito tempo, mas não podem brincar com clientes o tempo todo.

    Ou fazem uma U turn aos seus produtos e os tornam seguros, ou não estou a ver a Microsoft daqui a 10 anos, ter a posição que tem agora.

    Até nem é muito difícil. Basta olhar para o que os vizinhos da Apple fizeram com o OS X: kernel FreeBSD e uma camadazinha de janelas proprietárias, todas gay a esconder o UNIX uglyness por baixo.
    Não tem nada que saber: é só andar com um pé no ar e outro no chão a bater.

    Eu só não percebo a aura de visionário que o Bill Gates tem.

    Mário Gamito
    www.startux.org
    Re:1 opinião... (Pontos:1)
    por tonidosimpostos em 19-02-04 20:35 GMT (#24)
    (Utilizador Info)
    Nao percebi essa coisa da Apple. Meterem o Unix por baixo, e aquilo já tem uma camada de problemas de segurança (e algum we don't care por parte da Apple pelo que li algumas vezes). Em que medida é que isso é um exemplo para a Microsoft ?

    Outra coisa curiosa a explorar, seria saber em que medida é que toda esta "porrada" que a MS anda a levar, nao lhe vai dar um dominio ainda mais forte no futuro ? Porquê ? Porque estao a tornar os seus produtos potencialmente (ler bem POTENCIALMENTE) mais seguros e quem sabe, a ganhar uma vantagem competitiva em termos de código seguro.



    Mister ToniDosImpostos
    "O software é como as mulheres, se não sabes, não MEXAS !"
    (c) ME, 2004!

    Re:1 opinião... (Pontos:1)
    por Perky_Goth em 20-02-04 5:26 GMT (#47)
    (Utilizador Info)
    os únicos problemas que ouvi são a nivel do GUI...
    quanto ao código mais seguro, sim, parece que o 2k3 está muito mais seguro. Mesmo assim, há problemas de arquitectura... e de venderem o OS como point and click...
    ---

    Que Bush vos abençoe.
    Re:1 opinião... (Pontos:1)
    por nbk em 20-02-04 8:06 GMT (#52)
    (Utilizador Info) http://www.mrnbk.com/
    Boas.

    "Mesmo assim, há problemas de arquitectura..."

    Such as?

    @382, Nbk

    Re:1 opinião... (Pontos:1)
    por mrmv em 20-02-04 10:46 GMT (#60)
    (Utilizador Info)
    Sim já agora partilha lá os problemas de arquitectura...


    "The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown
    Re:1 opinião... (Pontos:1)
    por Perky_Goth em 21-02-04 5:33 GMT (#81)
    (Utilizador Info)
    é o que eu leio, configurar e fechar o win é uma arte negra que involve muitos conhecimentos não oficiais.
    se isso é de arquitectura ou não, é a minha opinião.
    ---

    Que Bush vos abençoe.
    Re:1 opinião... (Pontos:3, Interessante)
    por mvalente em 19-02-04 20:38 GMT (#25)
    (Utilizador Info) http://www.ruido-visual.pt/
    Eles podem brincar com os clientes durante muito tempo, mas não podem brincar com clientes o tempo todo.

    Ai podem podem!. Por 2 razoes: 1) os clientes vao mudando; 2) os clientes têm a memória curta.

    Ou fazem uma U turn aos seus produtos e os tornam seguros, ou não estou a ver a Microsoft daqui a 10 anos, ter a posição que tem agora.

    Até nem é muito difícil. Basta olhar para o que os vizinhos da Apple fizeram com o OS X:

    Precisamente. Há anos, ainda antes do MacOSX, q digo q a MS era mto mais inteligente se pegasse num core Unix e disponibilizasse as MS Apps (i.e. Office p.ex.). O que até já fez com o Solaris.

    A grande capacidade da MS é a de fazer U turns. Como fez em 95 ao "abandonar" a MSN proprietária e virar-se para a Internet. E é precisamente por essa capacidade q daqui a 10 anos poderá continuar a ter a posição q tem hoje.

    Digo mais: não me admirava q num prazo de 5 anos a MS fizesse um U turn e pespegasse com um "embrace and extend" no Linux, à lá MacOSX c/ Mach/BSD. Mas fará isso nos seus timings e qd achar adequado.

    Eu só não percebo a aura de visionário que o Bill Gates tem

    Vamos lá ver se nos entendemos: eu não disse q o Bill Gates era um visionário. Como sabes não morro de amores pela MS; mas o facto é que, se os sistemas operativos são uma bela merda, as aplicações (como o Office) são excelentes. O resto é conversa...

    Agora: embora eu não tenha dito que o Bill Gates era um visionário, o facto é que ele É. Não é um visionário tecnológico; mas tem uma enorme visão estratégica. É como os mestres de xadrez: não são gajos mto criativos, mas percebem do jogo pra burro...

    Cumprimentos

    Mario Valente

    Re:1 opinião... (Pontos:2)
    por Gamito em 19-02-04 21:02 GMT (#27)
    (Utilizador Info) http://www.startux.org/
    Só uma correcção: eu não disse que foste tu que disseste :-) que o Bill Gates é um visionário.

    Fui eu que disse que ele não é.
    A menos que a definição de visionário passe pela eliminação da concorrência... comprando-a :P

    Mário Gamito
    www.startux.org
    Re:1 opinião... (Pontos:2)
    por Gamito em 19-02-04 21:19 GMT (#28)
    (Utilizador Info) http://www.startux.org/
    Claro, ninguém é completamente negativo.

    • O Excel foi a melhor invenção depois do pão cortado às fatias;


    • O sistema de permissões do NTFS é muito superior ao "tudo ou nada" do UNIX;


    • O IIS é *conceptualmente* superior ao Apache em parte devido ao ponto anterior;
    O problema são os bugs de segurança e os de BSOD (Blue Screen Of Death).

    Mário Gamito
    www.startux.org
    Re:1 opinião... (Pontos:3, Esclarecedor)
    por mpinho em 19-02-04 22:40 GMT (#29)
    (Utilizador Info)
    "O Excel foi a melhor invenção depois do pão cortado às fatias;"

    O Excel para min nada mais é do que uma planilha, cujo conceito não foi inventado pela M$. Me lembro muito bem dos tempos de sucesso do Lotus 123.

    "O sistema de permissões do NTFS é muito superior ao "tudo ou nada" do UNIX;"

    O NTFS é o único filesystem sério que o NT tem. O linux já tem muitos, como o xfs, jfs e reiser.

    ACLs também podem ser usadas no linux e em vários Unices comerciais; veja

    http://acl.bestbits.at/

    "O IIS é *conceptualmente* superior ao Apache em parte devido ao ponto anterior;"

    Não vejo essa ligação. Eu diria que um Apache em um Linux/*BSD/Unix com ACLs seria mais rápido, seguro e padronizado.
    Re:1 opinião... (Pontos:2)
    por Gamito em 19-02-04 22:47 GMT (#30)
    (Utilizador Info) http://www.startux.org/
    "O Excel para min nada mais é do que uma planilha, cujo conceito não foi inventado pela M$."
    Pois, mas o Excel é superior à concorrência.

    "O NTFS é o único filesystem sério que o NT tem. O linux já tem muitos, como o xfs, jfs e reiser.
    ACLs também podem ser usadas no linux e em vários Unices comerciais;"

    Eu sei disso meu caro. Eu próprio só uso XFS em servidores, mas com algum kungfu à mistura e desde que aplicações importantes como o Samba suportem tudo direitinho.

    "Não vejo essa ligação. Eu diria que um Apache em um Linux/*BSD/Unix com ACLs seria mais rápido, seguro e padronizado."
    Read my lips: conceptualmente.

    Mário Gamito
    www.startux.org
    Re:1 opinião... (Pontos:2)
    por higuita em 19-02-04 22:48 GMT (#31)
    (Utilizador Info)
    * O Excel foi a melhor inveno depois do po cortado s fatias;

    bem, o 123 lotus foi a 1º folha de calculo comercial (ou pelo menos com sucesso), o excel nao era mais que uma copia... mas acabou por benificiar da pirataria e da interface grafica 8)

    * O sistema de permisses do NTFS muito superior ao "tudo ou nada" do UNIX;

    tens acl no 2.6 para varios filesystems
    alem de que o ntfs decide ficar doido... muito poucas vezes, mas acontece...

    * O IIS *conceptualmente* superior ao Apache em parte devido ao ponto anterior;

    .htaccess?

    8)

    sim, estou-te a provocar ;)

    Higuita
    Re:1 opinião... (Pontos:2)
    por Gamito em 20-02-04 0:06 GMT (#35)
    (Utilizador Info) http://www.startux.org/
    "sim, estou-te a provocar ;)"
    Não vale a pena.
    Eu uso Apache e Zope em Linux e FreeBSD em servidores de produção :-)

    "tens acl no 2.6 para varios filesystems"
    Deixa o 2.6 marinar. Ainda não está pronto para servidores de produção.

    Mário Gamito
    www.startux.org
    Re:1 opinião... (Pontos:2)
    por higuita em 20-02-04 21:04 GMT (#71)
    (Utilizador Info)
    "sim, estou-te a provocar ;)"
    No vale a pena.
    Eu uso Apache e Zope em Linux e FreeBSD em servidores de produo :-)


    8)

    "tens acl no 2.6 para varios filesystems"
    Deixa o 2.6 marinar. Ainda no esta pronto para servidores de producao


    e' o que estou a fazer, em casa 2.6, nos servidores, o 2.4.
    estou muito curioso para experimentar o reiserfs4 tambem, espero que seja incluido ainda no 2.6, poupava trabalho 8)


    Higuita
    Re:1 opinião... (Pontos:1)
    por mrmv em 20-02-04 10:50 GMT (#61)
    (Utilizador Info)
    "alem de que o ntfs decide ficar doido... muito poucas vezes, mas acontece..."

    Tens a certeza que é o NTSF?


    "The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown
    Re:1 opinião... (Pontos:1)
    por mrmv em 20-02-04 10:51 GMT (#62)
    (Utilizador Info)
    Obviamente NTFS
    "The difference between 'involvement' and 'commitment' is like an eggs-and-ham breakfast: the chicken was 'involved' - the pig was 'committed'." - unknown
    Re:1 opinião... (Pontos:2)
    por higuita em 20-02-04 20:42 GMT (#68)
    (Utilizador Info)
    ja' me aconteceu 2 vezes, felizmente em workstations sem muita importancia
    em ambas o disco C: (ou melhor, o de sistema) ficou marado, dava erros no windows e reinciando o sistema nao arrancava
    correr o chkdsk /f do CD de instalacao corrigiu um dos casos, o outro nem assim, deixava aceder a uns ficheiros, mas outros ficava marado (aceder obviamente com o knoppix, ja' que o windows nao arrancava 8)

    alem destes 2 casos, tenho 4 computadores de formacao (logo cheios de lixo) que o defrag nao funciona, diz que e' necessario o chkdsk /f... tentando fazer ele diz que nao consegue acesso exclusivo ao disco (mesmo arrancando do CD de instalacao!!)
    como sao para formatar no fim da formacao, nao quero saber muito

    e sim, sao NTFS... acho que para a proxima vou meter fat32 nestes computadores...

    Higuita
    Re:1 opinião... (Pontos:2)
    por nbk em 22-02-04 2:48 GMT (#88)
    (Utilizador Info) http://www.mrnbk.com/
    Boas

    "O sistema de permissões do NTFS é muito superior ao "tudo ou nada" do UNIX;"

    Em teoria sim.

    Na prática é uma bela merda. Tu alguma vez tentaste descobrir um problema de permissões num windows? Demora horas... num unix/linux o find é mais ... amigo!. :-)

    E aplicar e manter uma política de permissões? Outch!

    @155, Nbk

    Re:1 opinião... (Pontos:1)
    por Perky_Goth em 20-02-04 5:29 GMT (#48)
    (Utilizador Info)
    ora explica lá como se faz um embrace & extend à GPL... depois de se distanciarem PUBLICAMENTE de tudo o que é open source?
    nem o Luís de Matos...
    ---

    Que Bush vos abençoe.
    Re:1 opinião... (Pontos:2)
    por mvalente em 20-02-04 10:40 GMT (#58)
    (Utilizador Info) http://www.ruido-visual.pt/
    Da mm maneira q a Apple: fazem o embrace do Linux (ou de um *nix qq), tiram só as partes q querem (e essas colocam publicas), mas depois fazem o extend, aproveitando p.ex a historia da ultima licença do Xfree e lançando um desktop e um UI proprietários. Com as respectivas apps em cima em menos de 1 ano deixa de interessar o q está por baixo (p.ex. quem é q se interessa pelo Darwin) e passa a ser importante é a API e as aplicações.

    Cumprimentos

    Mario Valente

    Re:1 opinião... (Pontos:1)
    por Perky_Goth em 21-02-04 5:36 GMT (#82)
    (Utilizador Info)
    sim, mas depois de dizerem que o open source coloca a segurança nacional em risco, que é muito mais caro, blah blah... porquê continuar com a microsoft que não percebe nada daquilo e não ir para quem fornece serviço e desenvolve aos anos?
    há demasiadas empresas que estão presas ao win só pq sim...
    ---

    Que Bush vos abençoe.
    Re:1 opinião... (Pontos:1)
    por nbk em 20-02-04 8:12 GMT (#53)
    (Utilizador Info) http://www.mrnbk.com/
    Boas.

    "as aplicações (como o Office) são excelentes."

    O problema é que já não é só o Office. É uma lista imensa de apps que se tornaram indispensáveis.

    @383, Nbk

    Re:1 opinião... (Pontos:2)
    por grumpy bulgarian em 22-02-04 11:19 GMT (#91)
    (Utilizador Info) http://10.10.11.2
    olha por exemplo o que seria da industria dos virus e dos antivirus se nao fosse o Outlook.hihihihihi


    Grumpy B)

    Re:1 opinião... (Pontos:1)
    por nbk em 20-02-04 8:06 GMT (#51)
    (Utilizador Info) http://www.mrnbk.com/
    Boas.

    "Ou fazem uma U turn aos seus produtos e os tornam seguros"

    A "segurança" é um alvo em constante movimento, muito dificil de acompanhar. Não acredito que a Microsoft escolha pagar o preço da "segurança".

    ( sim, a segurança tem um preço ).

    @381, Nbk

    Re:1 opinião... (Pontos:1)
    por Perky_Goth em 21-02-04 5:37 GMT (#83)
    (Utilizador Info)
    o problema tb é que os clientes sempre preferiram outro tipo de vantagens.
    o que é completamente o contrário de quem quer um servidor 24/7/356...
    ---

    Que Bush vos abençoe.
    Re:1 opinião... (Pontos:1)
    por Perky_Goth em 20-02-04 5:23 GMT (#45)
    (Utilizador Info)
    Subsequent investigation has shown this was not the result of any breach of Microsoft's corporate network or internal security, nor is it related to Microsoft's Shared Source Initiative or its Government Security Program, which enable our customers and partners, as well as governments, to legally access Microsoft source code. Microsoft reaffirms its support for both the Shared Source Initiative and the Government Security Program.


    Conclusão, não foi nenhuma falha da Microsoft, foi magia...
    ---

    Que Bush vos abençoe.
    Re:1 opinião... (Pontos:2, Interessante)
    por Init em 20-02-04 10:57 GMT (#63)
    (Utilizador Info)

    com isso acaba eventualmente por a) receber sugestões de correcções e melhorias

    Conheço o caso de alguem que tentou fazer um bug report à m$ portuguesa, e durante todo o tempo que durou o telefone,a, não houve interesse nenhum por parte do funcionário da m$ em saber qual era o bug, so queria saber se a instituição em causa tinha as licenças em dia. Ora tendo isto em conta e o facto de que aceder ao codigo fonte do window$ é uma violação do direito de autor, qual é mesmo o insentivo em ajudar a m$ a acabar com os problemas?
    Será que é ser perseguido judicialmente?

    c) a consequente melhoria de produtos futuros da MS

    Isso aconteceria de uma forma significativa nos produtos que permanecessem imutaveis ao longo do tempo, pois em relação a produtos que sofressem mudanças significativas isso já não seria tão linear.


    «They that give up liberty to obtain a little temporary safety, deserve neither liberty nor safety» Benjamim Franklin (1706-1790)
    Achas mesmo que a MS dá garantias pelo software? (Pontos:2)
    por fhc em 22-02-04 23:38 GMT (#92)
    (Utilizador Info)

    Lê a EULA. Não difere da GPL nesse ponto.

    Agora pensa: o meu Windows XP Pro (pago e devidamente licenciado) bloqueia-me pelo menos uma vez por dia, reinicializando sem razão aparente. Talvez seja-me alérgico, digo eu, mas se é assim, um reboot custa-me trabalho e valorizo cada reboot a cinquenta euros. Cara Microsoft, deve-me o sustento de uma vida, vou para as Caraíbas à custa do Bill.

    P. S.: só uso XP no meu escritório enquanto o meu fornecedor de aplicação de gestão não tiver compilado tudo em Linux. Mas eles são inerentemente lentos, disto já eu soube.

    Mas se a MS der garantias ao Windows e se chegar com a cheta à frente, então poderei usar Windows com regularidade. Até lá, palavras, leva-as o vento.

    É verdade, e aquele centro de liderança da Microsoft no Porto, desvaneceu-se assim que a lei de software livre foi chumbada e deixou de ser um problema. Sinceramente, tenho uma coisa a perguntar dos nossos políticos: somos de certeza o povo mais messiânico do Mundo. Ainda acreditamos que o Sebastião Gates vai chegar numa manhã de nevoeiro e expulsar as tropas do Junot Crise. Por isso vaticino: o Leitão vai ser PR.

    Francisco Colaço


    Se calhar... (Pontos:2)
    por bracaman em 19-02-04 20:44 GMT (#26)
    (Utilizador Info)

    ... a SCO agora vai mover um processo contra a Microsoft porque o Windows usa código copiado do UNIX deles...

    Mais a sério: acho que o pior vão ser os ataques que vão surgir... é muito natural vermos, nos próximos tempos, worms e virus e exploits em massa para as plataformas em questão...



    --
    "Muda, que quando a gente muda, o Mundo muda com a gente" -- Gabriel, o Pensador
    rootkits (Pontos:2)
    por higuita em 19-02-04 22:53 GMT (#32)
    (Utilizador Info)
    algo que muitos nao se lembraram e' o perigo de aparecerem rootkits para o windows...

    eles teem la' a source, quem os impede de adicionar umas backdoors e colar-se ao proximo virus...

    controlando o sistema pelas suas bases nao havera' antivirus, sistemas de verificacao, etc que os possam detectar, a nao ser arrancar com outro sistema limpo ou outro sistema operativo...

    um rootkit que altere o explorer ja' toma controlo de muito do sistema, com algum jeito consegue-se misturar a source com patchs e services packs recentes de forma a nao se perder funcionalidades

    Higuita
    Re:rootkits (Pontos:1)
    por tonidosimpostos em 20-02-04 0:09 GMT (#36)
    (Utilizador Info)
    Perigo de ? Em que mundo é que vives ? Ha CARRADAS de rootkits para Windows, coisas muito bonitas. O pessoal esquece-se, que a scene de Windows está muito mais desenvolvida no que respeita a protecção de binários/criptografia/polimorfismo, etc etc etc !
    O grande problema, é que os rootkits para Windows nao tem a mesma atencao que os de Linux (infelizmente!!!!).
    E isso que tu referes, acontece exactamente no Linux ! Tens um rootkit que saiu numa Phrack tao bonito, que so o apanhas se arrancares de um cd, ou entao verificares directamente o que esta escrito no disco e com os resultados do ls (o ls esta trojanado é claro).
    Um rootkit em Windows ou em Linux, é a mesma coisa !

    Mister ToniDosImpostos
    "O software é como as mulheres, se não sabes, não MEXAS !"
    (c) ME, 2004!
    Re:rootkits (Pontos:2)
    por mpinho em 20-02-04 0:26 GMT (#37)
    (Utilizador Info)
    A maioria dos rootkits no linux podem ser evitados com compilações totalmente monolíticas do kernel. Já com o Windows não dá para fazer isso nem com essa parte do código vazada na internet...
    Re:rootkits (Pontos:1)
    por tonidosimpostos em 20-02-04 2:39 GMT (#38)
    (Utilizador Info)
    Os rootkits de modulos podem ser ;) Mas nao existem so rootkits de modulos :)))) O problema é exactamente o mesmo. Se tens root ou equivalente, a maquina nao é de confiar, seja qual o sistema operativo. Se acreditas que sim, entao é porque acreditas no Pai Natal.

    Mister ToniDosImpostos
    "O software é como as mulheres, se não sabes, não MEXAS !"
    (c) ME, 2004!
    Re:rootkits (Pontos:2)
    por higuita em 20-02-04 21:02 GMT (#70)
    (Utilizador Info)
    geralmente a questao nos linux nao e' ter a maquina com o rootkit, e' descobrir que se a tem...

    se se consegue detectar antes da instalacao, entao ja' se sabe que a maquina foi comprometida e deve ser vigiada de fora ou desligada e corrigida (reinstalada, verificada, corrigidos os problemas)

    depois de uma maquina comprometida, nao se deve confiar mais nos dados de la', a nao se que se tenha os md5 _todos_ num CD e se proceda a uma limpeza a fundo

    Higuita
    Re:rootkits (Pontos:1)
    por Perky_Goth em 20-02-04 5:34 GMT (#49)
    (Utilizador Info)
    por outro lado, corre tudo como root. ;) não tenho conhecimentos sobre essa área, há links?

    quanto ao rootkit por boot por cd... em linux ou win, é igual... mas é capaz de ser bastante mais díficil de conseguires por outro tipo de rootkit, a menos que costumes trabalhar como admin/root...
    ---

    Que Bush vos abençoe.
    Re:rootkits (Pontos:1)
    por nbk em 20-02-04 8:23 GMT (#54)
    (Utilizador Info) http://www.mrnbk.com/
    Boas.

    "Tens um rootkit que saiu numa Phrack tao bonito"

    Em qual? Que me lembre até esse do ls ( ou o mais comun, o do ps ) já é apanhado pelos anti-rootkits que andam por aí.

    Não existe nada como não acreditar na PATH e meter os binários um fs read-only. :-)

    @392, Nbk

    Re:rootkits (Pontos:1)
    por tonidosimpostos em 20-02-04 23:19 GMT (#73)
    (Utilizador Info)
    Um rootkit que é memory resident e patcha on the fly :) Tenho que procurar a phrack que tem esse código! Sei disto, porque andei entretido a apanha-lo, sem me lembrar que ele existia. O chkrootkit refilava que qq coisa batia mal no checkproc, mas nao vias nada ao nivel do filesystem, nem mesmo com um kernel novinho em folha. Usei um util que verifica o output dos sectores contra o output do ls e amigos, e lá apanhei o gajo num instante. Depois andei entretido à procura do rootkit e descobri-o na phrack.
    Ver se encontro o número em que isso saíu!

    Mister ToniDosImpostos
    "O software é como as mulheres, se não sabes, não MEXAS !"
    (c) ME, 2004!
    Re:rootkits (Pontos:2)
    por nbk em 22-02-04 9:58 GMT (#89)
    (Utilizador Info) http://www.mrnbk.com/
    Boas.

    "O chkrootkit refilava que qq coisa batia mal no checkproc"

    versão 0.43, ver mailing list do chrootkit.

    @459, Nbk

    Re:rootkits (Pontos:2)
    por nbk em 24-02-04 1:09 GMT (#93)
    (Utilizador Info) http://www.mrnbk.com/
    Boas.

    Tb podem ser "zombies".

    @092, Nbk

    Re:rootkits (Pontos:2)
    por higuita em 20-02-04 20:58 GMT (#69)
    (Utilizador Info)
    se existe ja' rootkits assim tao avancados no windows, realmente desconheco, tento gastar o minimo tempo possivel com os windows e andar a perder tempo com todos os problemas de seguranca do windows acaba por ser uma perda de tempo...

    Tens um rootkit que saiu numa Phrack tao bonito, que so o apanhas se arrancares

    mas devido ao perigo, hoje em dia muita gente ja' corre verificadores de sistema varios e scanners de cracks/rootkits, algo que no windows ainda nao existem consciencia
    o simples facto de nao ser facil arrancar com outro sistema para verificar o 1º ja' e' um problema... ter de andar a meter discos novos, unhide de particoes, etc e' muito muito mais complicado que meter um CD, monta-lo e correr algo ou arrancar um linux de CD e verificar o sistema

    resultados do ls (o ls esta trojanado claro)
    ja' tentaste usar o echo *
    ou um ls estatico algures noutro local do disco (ate' com nome diferente ou entao num CD montado?)

    o lsof tambem faz maravilhas...
    mas melhor e' apanhar o pessoal antes de conseguir instalar os rootkits, com os verificadores de sistema, tipo o samhain

    Um rootkit em Windows ou em Linux, a mesma coisa !
    sim, e' a mesma coisa, mas no linux ja' ha' uma certa consciencia para eles, e o simples facto de ser flexivel faz com que seja mais simples detectar-los que no windows

    Higuita
    Re:rootkits (Pontos:1)
    por tonidosimpostos em 20-02-04 23:22 GMT (#74)
    (Utilizador Info)
    resultados do ls (o ls esta trojanado claro) ja' tentaste usar o echo * ou um ls estatico algures noutro local do disco (ate' com nome diferente ou entao num CD montado?) Os resultados sao patched on the fly se nao me engano (ou entao ja ando a confundir as minhas ideias com aquilo que faço, o que nao é anormal de todo).
    Nao existiam portas abertas de rootkit. Tava escondido de outra maneira. Tanto detectas no windows como no linux, é tudo uma questao de experiencia e de right tools. O problema, é que as protecções aos binários estão muito mais desenvolvidas no windows, o que podem tornar a coisa muito mais interessante e mais dispendiosa em termos de tempo.

    Mister ToniDosImpostos
    "O software é como as mulheres, se não sabes, não MEXAS !"
    (c) ME, 2004!
    Re:rootkits (Pontos:2)
    por CrLf em 21-02-04 5:04 GMT (#79)
    (Utilizador Info) http://crodrigues.webhop.net
    Eu realmente esboço sempre um sorriso quando leio a palavra "scene" num texto. Não sei porquê... :)

    -- Carlos Rodrigues
    bits e bytaites.... (Pontos:2)
    por drdude em 20-02-04 9:31 GMT (#55)
    (Utilizador Info) http://slashdot.org/~DrDude/
    wow, a comunidade open-source, ou open-bitaite aqui do gildot chega ao mainstream! ;)
    Re:bits e bytaites.... (Pontos:2)
    por mlopes em 20-02-04 10:37 GMT (#56)
    (Utilizador Info)
    O pessoal do Gildot é o Marcelo Rebelo de Sousa da técnologia, têem sempre uma opinião sobre tudo e aproveita-se a deixa e aconselha-se juntamente um livro de cozinha!

    (a ambiguidade entre sigular e plural nesta frase é intencional).

    "Absence is to love what wind is to fire. It extinguishes the small, it enkindles the great."

    Re:bits e bytaites.... (Pontos:2)
    por Gimp em 20-02-04 13:20 GMT (#65)
    (Utilizador Info)
    E há aqueles que opinam sobre as opiniões, e aproveito a deixa para aconselhar a escrita na imprensa dita "cor-de-rosa" :-).


    "No comments"

    Re:bits e bytaites.... (Pontos:2)
    por CrLf em 21-02-04 5:08 GMT (#80)
    (Utilizador Info) http://crodrigues.webhop.net
    Se o pessoal do Gildot fosse o Marcelo Rebelo de Sousa da tecnologia, teriam de estar sempre a branquear as atitudes do Governo (Microsoft) e a afirmar que a oposição (a comunidade open-source) não tem ideias e não opõe.

    Hmmmm, realmente há aqui pessoal desse... I see your point... :)

    -- Carlos Rodrigues
    Re:bits e bytaites.... (Pontos:2)
    por mvalente em 21-02-04 9:12 GMT (#85)
    (Utilizador Info) http://www.ruido-visual.pt/
    Isso é a falácia mais estupida e demagógica q eu alguma vez ouvi.

    Mas, mais uma vez, trata-se da pretensa, errada e perniciosa associação do fenómeno open source a um pretenso colectivismo/socialismo e esquerdismo. O open source é um exemplo claro da possibilidade de funcionamento do individualismo e do liberalismo.

    Se o pessoal do Gildot fosse o Fernando Rosas, teria de estar sempre a branquear as atitudes dos Governos totalitarios da Uniao Sovietica, Cuba ou Coreia do Norte (Microsoft) e a afirmar que os opositores e defensores da liberdade e da multiplicidade de ideias (a comunidade open source) não tinha razao nenhuma.

    Hmmmm.... realmente [adicionar conclusão cretina]...

    Cumprimentos

    Mario Valente

    Re:bits e bytaites.... (Pontos:2)
    por CrLf em 21-02-04 15:54 GMT (#87)
    (Utilizador Info) http://crodrigues.webhop.net
    Mas, mais uma vez, trata-se da pretensa, errada e perniciosa associação do fenómeno open source a um pretenso colectivismo/socialismo e esquerdismo.

    Hã? Desculpa? Onde é que eu escrevi isso? Não estarás a ler aquilo que queres ler para poderes debitar as tuas convicções politicas?

    Eu simplesmente observei aquilo que qualquer pessoa com o mínimo de inteligência (não parece ser o caso dos espectadores da TVI) observa, que os comentários de Domingo do Prof. Marcelo Rebelo de Sousa não são, na maioria das vezes, mais do que um comício onde ele branqueia as atitudes do partido/governo da sua cor. O homem pode ser um tipo inteligente e tudo mais (tal como também me parece ser o Fernando Rosas), mas não é imparcial...

    Na verdade não me identifico com a cor política do Prof. Marcelo e talvez no teu mundo a preto e branco isso queira dizer que me identifico com a cor do Fernando Rosas, it ain't so.

    -- Carlos Rodrigues
    Another one... (Pontos:2, Interessante)
    por QuickZero em 20-02-04 13:27 GMT (#66)
    (Utilizador Info)
    Cá vai a minha opinião sobre o que se passou e o que se vai passar:

    Consequências para a Microsoft:

    Contrariamente ao que se tem dito por aqui, a Microsoft não vai apenas ficar com o embaraço... Mas vai ganhar muitas dores de cabeça, por exemplo, foi encontrado o seguinte comentário no source do Windows 2000 "// Ensure the caller has read access. // BUGBUG : Is this necessary?" Como é que a Microsoft explica isto? A meter prepositadamente bugs nos sources dos seus SO's? Isto vai ser uma grande machadada no imperio de Bill Gates, para já não falar dos comentários a citar o Netscape e Unix (será que a SCO também vai processar a Microsoft?).

    Consequências para a comunidade Open-Source:

    Graças a este incidente e aos lindos comentários e ao lindo codigo que os programadores da Microsoft fizeram, acho que muita boa gente vai finalmente perceber o que a Microsoft vale na verdade, e vai passar para o "lado de cá". A comunidade Open-Source só teve a ganhar com este leak!

    Consequência para a segurança:

    É claro que o acesso ao codigo fonte facilita muito a vida aos crackers (se sem acesso ao source era o que era agora imaginemos o que será com acesso...). Devem aparecer uma tonelada de novos worms, e um milhar de novos exploits para a felicidade de muitos kiddies! Esperemos é que a Microsoft não demore 4 meses para corrigir as eventuais falhas encontradas...

    Bem... É tudo... Só acho ironico é que quem anda de volta do source a procura de bugs metidos pela propria MS seja ele responsabilizado... Mas enfim... Vamos a ver no que é que isto vai dar...

    Não percam os próximos episodios porque nós também não!

    post scriptum (Pontos:2)
    por BlueNote em 20-02-04 22:29 GMT (#72)
    (Utilizador Info)
    é só para dizer que vi o tal suplemento e *nenhuma* das opiniões assinadas, etc de acordo com o pedido do post aparece citada no dito artigo.
    Ora lê lá bem o artigo (Pontos:2)
    por Gamito em 20-02-04 23:33 GMT (#75)
    (Utilizador Info) http://www.startux.org/
    "A vossa opinião e os vossos depoimentos serão publicados na próxima edição, com a autorização dos autores."

    Mário Gamito
    www.startux.org
    Re:post scriptum (Pontos:2, Informativo)
    por Marco Santos em 20-02-04 23:48 GMT (#76)
    (Utilizador Info) http://www.euronet.nl/users/frankvw/IhateMS.html
    Os comentários do Gildot serão incorporados no próximo número. Não no que saiu hoje. As minhas desculpas por não ter sido mais claro. Tecnicamente teria sido impossível fazê-lo, uma vez que fechamos à quarta.
    Aproveito para agradecer a vossa disponibilidade e comentários.
    Uma cópia em formato pdf do artigo com os vossos depoimentos será disponibilizada ao Gildot na quarta-feira, para que ninguém tenha de comprar o jornal. Cabe aos administradores decidir se é ou não possível fazer o hosting do ficheiro. Caso contrário, tentarei encontrar outra solução.
    Abraços.

    Re:post scriptum (Pontos:1)
    por Perky_Goth em 21-02-04 5:42 GMT (#84)
    (Utilizador Info)
    ah, tb achei estranho, mas disseste próxima edição :)
    por acaso vi o suplemento no café e pareceu-me razoável. Pelo menos mais informado que a opinião publicada habitual...
    ---

    Que Bush vos abençoe.
    Re:post scriptum (Pontos:2)
    por nbk em 22-02-04 10:05 GMT (#90)
    (Utilizador Info) http://www.mrnbk.com/
    Boas.

    Aqui no gildot somos um 24/7, apenas fechamos para obras, pequenas manutenções programadas do /dev/null e ddos brasileiros. Rotfl.

    @464, Nbk

    P.s. - Backups, eu? Nunca!

    Obrigado (Pontos:1)
    por Marco Santos em 25-02-04 0:10 GMT (#94)
    (Utilizador Info) http://www.euronet.nl/users/frankvw/IhateMS.html
    Terminámos agora (meia-noite) a recolha de depoimentos. Ao todo, com a recapitulação da história deste "leak" e as opiniões recolhidas, a coisa chegou aos 15 mil caracteres.
    Quer isto dizer que vão ser três páginas de rajada. Como o suplemento tem 24 e esta semana está infestado de publicidade (arghhh), podem ter uma ideia de como tudo isto foi feito à séria e sem concessões.
    Obrigado a todos. Serão páginas interessantes, graças à vossa cooperação e generosidade. As asneiras(se as houver) são nossas.

     

     

    [ Topo | FAQ | Editores | Contacto ]