Skrivet av Dr.Mabuse:
Jodå, frågan var helt ärligt ställd - i sitt kontex. Polemik blev det när du väljer att vantolka och sätta ord i min mun för att sedan hävda att jag själv skapat en myt som vilken snabb sökning som helst på internet hade kunnat bekräfta. Jag frågar vad andra menar om jag inte tycker att det framgår med all tydlighet. Hade du haft ett genuint intresse att faktisk diskutera ämnet i fråga hade du kunnat fråga mig vad jag menar i stället för att bygga en halmdocka. Orsak och verkan min herre, orsak och verkan...
Ok, jag frågar dig nu vad du menar? Det _finns_ onekligen säkerhetsfördelar med öppen källkod och säkerhet får aldrig förlita sig på hemlighållen kod. Detta är Kerchoffs princip, "the enemy knows the system". Däremot är det väl ingen som påstår att öppen kod blir säkrare när den kodas ner bara för att den är öppen? Det är så jag tolkar ditt påstående. Så, ja, vänligen förklara du.
Skrivet av Dr.Mabuse:
Allt är visserligen relativt, men mer än två år låter inte speciellt snabbt i mina öron för att hitta en bugg (Heartbleed). Hur statistiken ser ut för annan öppen källkod vet jag inte - och det är en del av problematiken för min del; ingen vet men ändå fortsätter argumenten hagla. Vet du?
Eftersom jag inte gjort några empiriska uttalanden här eller formulerat något påstående om några inneboende skillnader i tid så förstår jag inte riktigt relevansen? Det jag påstod är att öppna protokoll får mer granskning eftersom de är öppna. Det betyder INTE att samma metod inte hittar en bugg i stängd kod precis lika snabbt och jag har heller aldrig påstått det heller. Det jag talade var tiden mellan upptäckt, patchning och publicering, inte hur länge koden har legat och varit öppen. Precis som du har jag ingen stark uppfattning om vad som är en "lång" eller "kort" eller "normal" tid här.
Skrivet av Dr.Mabuse:
Under min tid som Operations Manager för en serverpark hängde jag mycket på en hemsida som listade alla uppdateringar för en rad olika OS (hittar inte länken nu tyvärr) för att se om vi behövde göra något. Flest uppdateringar, både bugg och säkerhetsfixar, kom från Microsoft. För mig är det ett bevis på att proprietär kod inte behöver vara sämre när det kommer till rättningar än öppen kod. Sedan kom en rad olika *nix-distributioner. Nu hävdar jag inte att färre rättningar betyder sämre reaktionsförmåga från respektive distributör, förklaringen kan mycket väl ligga i att *nix är ett mognare system. Apple kom sist (ni får dra era egna slutsattser).
Vem argumenterar du med? Vad argumenterar du emot? Vem har påstått att stängd kod av nödvändighet måste vara sämre när det kommer till att rätta kod? Jag talar enbart om vad man _kan_ uttala sig om mer säkert. Vi kan ha som "lemma" att stängd kod kommer patchas enligt Fpatch(öppen)/Fpatch(stängd) >= 1, alltså att stängd kod kan patchas i precis lika stor utsträckning, men troligtvis inte i högre utsträckning. Det senare är inte omöjligt, men däremot tämligen oplausibelt.
Skrivet av Dr.Mabuse:
Att det skulle krävas jurister för att få tillstånd rättelser av kod låter mer som undantaget som bekräftar regeln. En illusorisk korrelation baserad på ett mindre antal händelser som fått mindre smickrande uppmärksamhet i media kanske? Dessa händelser borde rimligen framstå som en fjärt i rymden i relation till alla de buggar som faktiskt rättas. För att ta Windows 7 som exempel så medför en installation idag hundratals av säkerhetsuppdateringar. Jag tror inte hundratals artiklar om trakasserier från utpekade företag hade undgått mig. Finns det då ett mörkertal? Ja, kanske men då saknar vi också underlag om dess omfattning.
Som sagt, din tes faller vid första motexempel. Och nej, det är ingen fjärt i rymden utan ett rent arbetsmiljöproblem.
Skrivet av Dr.Mabuse:
Innan vi kan uttala oss med säkerhet måste vi ha underlag, innan dess är det bara spekulationer. Ditt resonemang bygger på föreställningen att säkerhetsföretag avstår uppdrag som berör proprietär kod eftersom risken för bl.a. repressalier och andra påtryckningar skulle bli ett arbetsmiljöproblem. Åter igen är det omöjligt att uttala sig om hur stor problem verkligen är.
Jag för en tes som håller så längre problemet är större än noll. Du för ett resonemang som faller så fort problemet är större än noll. Hur kan du bara säga "vi vet inte hur stort problemet är"? Inser du inte att om problemet så är pyttelitet så _existerar_ problemet ändå, vilket är allt jag påstår. Och samma problem gäller inte öppen mjukvara. Däremot kan det finnas andra problem som bara drabbar öppen mjukvara, men jag har aldrig hört talas om något exempel eller övertygande argument här. Det enda man hör är påståenden av folk som aldrig har hört talas om Kerchoffs princip.
Skrivet av Dr.Mabuse:
En yrkeshacker demonstrerade för mig vid en pen-test hur han ganska enkelt kunde ta över kontrollen av både en Cisco PIX och en Firewall One. Buggen rapporterades sedan vidare till både Cisco och Check Point utan vare sig juridiska hot eller repressalier, tvärtom. Cisco tackade. CheckPoint dom.. tja, "kände redan till buggen" (eller hur!). Några betänkligheter att stressa ISA eller andra produkter gav han inte direkt uttryck för så jag betvivlar att det är något utbrett "arbetsmiljöproblem".
Varför tar du russinen ur kakan? Microsoft har en erkänt bra relation och respons till säkerhetsproblem. Men det är liksom inte relevant för mitt resonemang som rör _ditt_ resonemang om att man mer eller mindre kan sätta likhetstecken mellan öppen och stängd kod vad säkerhetspatchning beträffar. Det påståendet faller nämligen vid första bästa motexempel. Jag däremot kommer inte med induktiva teser av detta slag utan har bara försökt förklara varför historien hade kunnat se annorlunda ut med stängd kod. Det är inte så konstigt att en hel del företag som sysslar med proprietär kod hanterar buggar på ett snyggt sätt eftersom de inser att det ligger i deras intresse. Det finns dock företag som _inte_ begriper det, eller gärna _vill_ha_ hål i sina mjukvaror av auktoritativa skäl. Och din nästa anekdotiska bevisföring för din tes som kräver perfekt induktion är Cisco?
Well, en anekdot kan lätt besvaras med en annan: https://www.schneier.com/blog/archives/2005/07/cisco_harasses... och https://www.schneier.com/blog/archives/2005/08/more_lynncisco...
Här är ett annat exempel från hål i centrallåset i bilar: https://www.schneier.com/blog/archives/2013/08/scientists_ban...
Här är mer på samma tema, mycket från hästens mun så att säga:
http://www.darkreading.com/vulnerabilities---threats/more-ven...
https://www.schneier.com/blog/archives/2007/01/debating_full_...
https://www.schneier.com/crypto-gram-0111.html#1 <- Microsoft har inte alltid varit glatt inställda till buggrapportering
https://www.schneier.com/blog/archives/2011/12/recent_develop...
https://www.schneier.com/blog/archives/2011/06/open-source_so... <- Om att problemen med öppen källkod mer handlar om missförstånd och osäkerhet (där man tror att hemlig kod implicerar ett extra säkerhetslager)
https://www.schneier.com/blog/archives/2009/07/the_atm_vulner... <- Upptäckt en bugg i en bankomat? Ja, då ska du hålla truten!
https://www.schneier.com/blog/archives/2008/05/the_ethics_of_... <- Också intressant, handlar mer om etiken kring säkerhetsinform
atik och om vilka metoder av intrång, etc, som hederligt säkerhetsfolk ska ägna sig åt och hur upptäckter ska publiceras och i vilken ordning.
http://www.cerias.purdue.edu/site/blog/post/reporting-vulnera... <- Och här! En hel essä om varför man måste vara modig och vara beredd på en del juridisk (och annan) skit för att vara säkerhetsforskare.
https://www.schneier.com/blog/archives/2008/08/full_disclosur... - citat:
"The ethics of full disclosure are intimately familiar to those of us in the computer-security field. Before full disclosure became the norm, researchers would quietly disclose vulnerabilities to the vendors -- who would routinely ignore them. Sometimes vendors would even threaten researchers with legal action if they disclosed the vulnerabilities."
Faktum är att det talas om lagstiftning - så stort är problemet - som tvingar företagen och organisationerna att rapportera såväl säkerhetshål såväl som intrång.
Som sagt, för säkerhetsfolk kan detta vara ett verkligt problem och i slutändan blir det därför allas vårt problem. Om det anses för dyrt att patcha så kan man försöka tysta upptäckaren med advokater.
Säkerhetsinformatik är vetenskap och vi kan inte bara dra slutsatser baserade på anekdoter och allmänt tyckande. Säkerhet kan evidensbaseras. Av vad man kan säga i nuläget, det förefaller som öppen källkod är säkrare än stängd. Av en rad olika skäl. Som en generell tumregel, inte som en alltid gällande lag. Men det går att dra generella slutsatser baserade på akademisk analys och det finns gott om exempel om man vill gotta sig i det. Här är ett fall: https://www.schneier.com/blog/archives/2014/02/the_insecurity...
Förlåt, men det är liksom ingen idé att försöka påstå att stängd kod nominellt sett lika säker som öppen kod och dessutom använda personliga anekdoter för detta. Vi kan naturligtvis inte veta om ett enskilt fall om det hade sett annorlunda ut, lika lite som att vi kan påstå att en specifik man är längre än en specifik kvinna baserad på det statistiska faktumet att män är längre än kvinnor. Så vi kan inte säkert veta om buggen i OpenSSL hade upptäckts tidigare eller senare, ptachats tidigare eller senare (eller ö.h.t.) eller om vi normala användare någonsin hade fått informationen eller inte, om det hade varit stängd kod. Det är ingen mening med att spekulera kontrafaktiskt. Det jag talar om är mer det allmänna fallet: öppen källkod har inte en hel del säkerhetsproblem som exklusivt gäller stängd kod och mig veterligen finns det inga exklusiva säkerhetsproblem för just öppen kod. Det är egentligen hela min poäng. Av detta kan man dra slutsatsen att ja, det hade troligtvis sett annorlunda ut om OpenSSL hade varit proprietärt. Och inte bara det, det finns absolut noll som talar för att buggen hade hanterats bättre om koden hade varit stängd. Nominellt kan vi säga att det hade hanterats likadant eller sämre, men förmodligen inte bättre. Ingenting talar för det. Det enda dina anekdoter visar är att _ibland_ hanterar företag och organisationer bakom stängd kod säkerhetsproblem på ett bra sätt.
Skrivet av Dr.Mabuse:
Att utvecklare vill ha tid att rätta buggar och skydda sina kunder under tiden är knappast konstigt.
Vilket ju var precis därför jag just berättade för dig att det inte var konstigt? Varför låtsas du som att det är din replik? Jo, för att göra ytterligare en tankevurpa lite längre ner:
Skrivet av Dr.Mabuse:
Att media och obstinata hackare gärna utmålar utvecklare av proprietär kod som ovilliga och inkompetenta är såklart lätt när man sitter på läktaren och inte behöver avhjälpa felet själv. Det utesluter självklart inte att kritik mycket väl kan vara befogat och att ansvariga bör ställas mot väggen. Men varför är det inte samma klang i skällan när det gäller öppen kod? Nej, då är det av "etiska och praktisk skäl". Tillåt mig småle.
...och här blir du direkt ohederlig och försöker missrepresentera vad jag skrev. Vad är det du småler åt? Det var JAG som påpekade att det är helt i sin ordning att säkerhetsexpertisen går till företaget eller organisationen först och media sedan. Det är så det bör vara, för annars kan en myriad av nya hot uppkomma innan patchen är ute. Detta gäller naturligtvis för både öppen och stängd kod! Ohederligt av dig att försöka påskina att jag skulle mena något annat än vad jag faktiskt skriver. Det är vad som händer _sedan_ som är intressant. Kommer företaget att försöka belägga upptäckaren med yppandeförbud eller kommer buggen till den allmänna kännedom som man kan kräva? Det är -här- det skiljer sig åt, samt _tiden_ innan patchar kommer.