mboost-dp1
Symantec corporation
Yes, lad os da også linke til koden her i newz. Altid godt.
Ved godt det kun er en søgning væk, men hvem her syntes Antisec er i deres ret til dette? Skal vi virkelig hjælpe dem på nogen måder?
Som jeg ser det, den eneste måde rigtigt at bekæmpe de f*ckhoveder på, er ikke at videregive den info som de har fremskaffet.
Ved godt det kun er en søgning væk, men hvem her syntes Antisec er i deres ret til dette? Skal vi virkelig hjælpe dem på nogen måder?
Som jeg ser det, den eneste måde rigtigt at bekæmpe de f*ckhoveder på, er ikke at videregive den info som de har fremskaffet.
At true med at offentliggøre kildekoden ville jeg godt kunne se det acceptable i, hvis formålet var at presse Symantec til at forbedre sikkerheden af produktet.
At give Symantec mulighed for at købe sig til mere tid, hvis de har brug for mere tid til at gennemgå koden, ser jeg heller ikke noget stort problem i.
At ville stoppe pengene i egen lomme får mig dog til at tro, at formålet nok ikke har været at forbedre sikkerheden for brugerne af produktet.
Havde de i stedet krævet at Symatec donerede 50000$ til f.eks. Røde Kors eller Kræftens Bekæmpelse, så ville jeg have haft respekt for dem. Selvom det måske ikke ville have været helt lovligt.
Hvordan har de egentlig fået fat på koden? Var der ikke noget med at den hændelse hvor koden blev kopieret lå mange år tilbage, og det stadig kun var en lille kreds af personer, som havde koden?
At give Symantec mulighed for at købe sig til mere tid, hvis de har brug for mere tid til at gennemgå koden, ser jeg heller ikke noget stort problem i.
At ville stoppe pengene i egen lomme får mig dog til at tro, at formålet nok ikke har været at forbedre sikkerheden for brugerne af produktet.
Havde de i stedet krævet at Symatec donerede 50000$ til f.eks. Røde Kors eller Kræftens Bekæmpelse, så ville jeg have haft respekt for dem. Selvom det måske ikke ville have været helt lovligt.
Hvordan har de egentlig fået fat på koden? Var der ikke noget med at den hændelse hvor koden blev kopieret lå mange år tilbage, og det stadig kun var en lille kreds af personer, som havde koden?
maasha (7) skrev:Mon ikke der kommer en pressemedelelse fra Symantec, hvori de skriver at det er noget meget gammel alpha kode, og den nye kodebaser er HELT anderledes og gemt sikkert vaerk....
http://newz.dk/stjaalen-symantec-kildekode-kommer-...
Silver Mane (1) skrev:Yes, lad os da også linke til koden her i newz. Altid godt.
Ved godt det kun er en søgning væk, men hvem her syntes Antisec er i deres ret til dette? Skal vi virkelig hjælpe dem på nogen måder?
Som jeg ser det, den eneste måde rigtigt at bekæmpe de f*ckhoveder på, er ikke at videregive den info som de har fremskaffet.
Må jeg så ikke anbefale dig at lære kinesisk, og begynde at læse dine nyheder på kinesiske hjemmesider? Jeg går ud fra det er hele idéen om censur du tænder på.
Har til gengæld ikke noget tilovers for AntiSec, email-tråden er jo decideret pengeafpresning - jeg undres over hvorfor de ikke involverer FBI, samt hvorfor det hele kører via en gmail konto. Ser lidt konstrueret ud i mine øjne
Det synes jeg så er at gå lidt for vidt. Til kode der kører i en sandkasse og som ikke har adgang til at gøre noget skadeligt er der ingen grund til at kræve at det skal være open source. Til kode hvor det har betydning for sikkerheden skal man have mulighed for at vælge open source. Alternative løsninger der er lukkede må gerne eksistere så længe deres eksistens ikke udgør en hindring for brugen af en open source løsning på samme problem.Mojo_69 (12) skrev:Alt bør være OpenSource imho
#11 Hvor kommer det ind at jeg er fortaller for censur?
Vi har her en gruppe, der i første omgang, så vidt jeg husker, påstod at de ville forbedre sikkerheden, også selvom det betød at de var nød til at tvinge folk til det. Greyhats, more or less.
Men nu afpresser de så et firma, og beviser dermed at det er pengene de er efter. For at gøre alvor af deres trussel smider de den stjålne vare ud hvor den er frit tilgængeligt. Ved at linke dertil, direkte, skaber det større interesse.
Fint nok at vi har en nyhed om at Antisec er nogle nar hoveder. Ellers blev der ikke skabt opmærksomhed omkring emnet. Men behøver vi hjælpe dem ved direkte at linke til siden?
Det er for mig, lidt det samme som hvis EB begyndte at linke til artikler om hvordan man laver rørbomber.
Udover dette, ville det IKKE være censur. Censur er når en gruppe forhindre dig i at sige sandheden. Ikke at tilbageholde info som kan være skadeligt, eller privat, eller bare ikke din ejendom.
Så lad venligst vær med at misbruge din ret til fritale med sådan en gang ævl.
Information bør være frit, ja. Men kildekode er mere end bare 'Information' og er ikke nødvendigvis gratis.
Med henhold til at det er konstrueret, så virker det ikke sandsynligt, og kilde koden skulle i så fald enten være ugyldig fordi den ikke bliver brugt, eller fordi den er falsk. Det vil så vise sig, hvis folk kigger den igennem, og prøver at bruge den.
Who knows, det kunne være en fælde.
Vi har her en gruppe, der i første omgang, så vidt jeg husker, påstod at de ville forbedre sikkerheden, også selvom det betød at de var nød til at tvinge folk til det. Greyhats, more or less.
Men nu afpresser de så et firma, og beviser dermed at det er pengene de er efter. For at gøre alvor af deres trussel smider de den stjålne vare ud hvor den er frit tilgængeligt. Ved at linke dertil, direkte, skaber det større interesse.
Fint nok at vi har en nyhed om at Antisec er nogle nar hoveder. Ellers blev der ikke skabt opmærksomhed omkring emnet. Men behøver vi hjælpe dem ved direkte at linke til siden?
Det er for mig, lidt det samme som hvis EB begyndte at linke til artikler om hvordan man laver rørbomber.
Udover dette, ville det IKKE være censur. Censur er når en gruppe forhindre dig i at sige sandheden. Ikke at tilbageholde info som kan være skadeligt, eller privat, eller bare ikke din ejendom.
Så lad venligst vær med at misbruge din ret til fritale med sådan en gang ævl.
Information bør være frit, ja. Men kildekode er mere end bare 'Information' og er ikke nødvendigvis gratis.
Med henhold til at det er konstrueret, så virker det ikke sandsynligt, og kilde koden skulle i så fald enten være ugyldig fordi den ikke bliver brugt, eller fordi den er falsk. Det vil så vise sig, hvis folk kigger den igennem, og prøver at bruge den.
Who knows, det kunne være en fælde.
50.000 dollars er sjovt nok cirka det samme beløb jeg ville kræve for at bruge et Symantec slow-PC-everywhere produkt .
Kildekode eller ej ..
Med tanke på at symantec er en af de HELT store spillere på 'sikkerheds-markedet' er det da helt rimeligt at frigive kildekoden.
Folk har ret til at vide hvad den kode der køre på deres maskiner
foretager sig, særligt når det drejer sig om såkaldte 'sikkerheds-programmer' .
Kildekode eller ej ..
Med tanke på at symantec er en af de HELT store spillere på 'sikkerheds-markedet' er det da helt rimeligt at frigive kildekoden.
Folk har ret til at vide hvad den kode der køre på deres maskiner
foretager sig, særligt når det drejer sig om såkaldte 'sikkerheds-programmer' .
#16 Det samme kan siges om Windows. Deres software er på mange flere maskiner.
Men Symantec tvinger ikke folk til at bruge deres produkt. Kan ikke se hvordan det kan være et rimeligt krav at det skal gøres frit tilgængeligt. Hvis folk ikke stoler på dem, må de finde et andet program. Og sådan bruger man det frie marked til at bestemme, med sin pengepung.
Hvis det blev lov at Symantec skulle installeres på alle maskiner, var det noget andet.
Men Symantec tvinger ikke folk til at bruge deres produkt. Kan ikke se hvordan det kan være et rimeligt krav at det skal gøres frit tilgængeligt. Hvis folk ikke stoler på dem, må de finde et andet program. Og sådan bruger man det frie marked til at bestemme, med sin pengepung.
Hvis det blev lov at Symantec skulle installeres på alle maskiner, var det noget andet.
#14
Dit eksempel med rørbomben er jeg enig med dig i, den slags er nytteløst at linke til. Men det passer ikke til historien som vi har med at gøre her, der er ingen "opskrifter" på hackerangreb..
Det svarer nærmere til at linke til en side med en historie om en rørbombe som er sprunget. Skaden er sket og bare rolig, det bliver ikke værre. Hvis vi er heldige er der måske nogen som lærer noget af at kigge koden igennem.
Hvis jeg ved at noget findes på internettet, så vil jeg betragte det som censur(uden at slynge ordet omkring) hvis min nyhedsside ikke ville vise mig hvad det var, hvis de oven i købet bringer en nyhed om det. Skribenten bør ikke være ham som skelner hvad der er rigtigt og forkert, det bør være op til læseren selv. Er det en opskrift på en rørbombe, så er det et spørgsmål om etik, en helt anden sludder.
Selv mener jeg det er helt rigtigt, både at frigive koden og at linke til den. Som #16 påpeger bliver det spændene at se hvad der får programmerne fra Symantec til at virke så tunge at køre :)
Dit eksempel med rørbomben er jeg enig med dig i, den slags er nytteløst at linke til. Men det passer ikke til historien som vi har med at gøre her, der er ingen "opskrifter" på hackerangreb..
Det svarer nærmere til at linke til en side med en historie om en rørbombe som er sprunget. Skaden er sket og bare rolig, det bliver ikke værre. Hvis vi er heldige er der måske nogen som lærer noget af at kigge koden igennem.
Hvis jeg ved at noget findes på internettet, så vil jeg betragte det som censur(uden at slynge ordet omkring) hvis min nyhedsside ikke ville vise mig hvad det var, hvis de oven i købet bringer en nyhed om det. Skribenten bør ikke være ham som skelner hvad der er rigtigt og forkert, det bør være op til læseren selv. Er det en opskrift på en rørbombe, så er det et spørgsmål om etik, en helt anden sludder.
Selv mener jeg det er helt rigtigt, både at frigive koden og at linke til den. Som #16 påpeger bliver det spændene at se hvad der får programmerne fra Symantec til at virke så tunge at køre :)
RobertL (16) skrev:Folk har ret til at vide hvad den kode der køre på deres maskiner
foretager sig, særligt når det drejer sig om såkaldte 'sikkerheds-programmer' .
Gu har de da ej. Der er ingen der tvinger dig til at bruge Symantecs software. Hvis du ikke kan acceptere at kildekoden er hemmeligholdt, så lad være med at bruge softwaren!
MichaelB (18) skrev:
Hvis jeg ved at noget findes på internettet, så vil jeg betragte det som censur(uden at slynge ordet omkring) hvis min nyhedsside ikke ville vise mig hvad det var, hvis de oven i købet bringer en nyhed om det. Skribenten bør ikke være ham som skelner hvad der er rigtigt og forkert, det bør være op til læseren selv.
Interessant. Så, hvis nu nyheden handlede om børneporno, så skulle vi se billederne? Så kunne vi jo selv bedømme om de var krænkende? Eller gælder din tese kun i dette her specifikke spørgsmål?
Idiot! Hvis du bare havde citeret en linje mere i min kommentar så havde du selv prikket hul på den byld af lam kommentar du kommer med her. Det er et spørgsmål om etik!
Børneporno og lækkede kildekoder er usammenlignelige, især med dit skøre eksempel. Igen, der bliver IKKE linket til en opskrift på hacking, der bliver ikke linket til "køb din hacking billigt her". Hvis du synes det skal handle om børneporno så svarer det til at der skulle være linket til billeder af det stakkels barn, fuldt påklædt og i trygge rammer vel at mærke, fordi... SKADEN ER SKET!
Så ja min holdning er at der burde linkes, for det er det man gør når man bringer objektive nyheder.
Mit eksempel: Sagen om overgreb på børn i Thy-sagen, der er bragt billeder af samtlige forulempede(nu voksne) i den sag. Ingen af de billeder er nøgenbilleder, eller på nogen måde krænkende. Synes du så at de billeder skal fjernes når de trods alt er blevet filmet i den forbindelse?
Verden er ikke sort eller hvid, så derfor vil jeg sige at min påstand om etik gør sig gældende i samtlige spørgsmål du har at stille :)
Børneporno og lækkede kildekoder er usammenlignelige, især med dit skøre eksempel. Igen, der bliver IKKE linket til en opskrift på hacking, der bliver ikke linket til "køb din hacking billigt her". Hvis du synes det skal handle om børneporno så svarer det til at der skulle være linket til billeder af det stakkels barn, fuldt påklædt og i trygge rammer vel at mærke, fordi... SKADEN ER SKET!
Så ja min holdning er at der burde linkes, for det er det man gør når man bringer objektive nyheder.
Mit eksempel: Sagen om overgreb på børn i Thy-sagen, der er bragt billeder af samtlige forulempede(nu voksne) i den sag. Ingen af de billeder er nøgenbilleder, eller på nogen måde krænkende. Synes du så at de billeder skal fjernes når de trods alt er blevet filmet i den forbindelse?
Verden er ikke sort eller hvid, så derfor vil jeg sige at min påstand om etik gør sig gældende i samtlige spørgsmål du har at stille :)
MichaelB (21) skrev:Mit eksempel: Sagen om overgreb på børn i Thy-sagen, der er bragt billeder af samtlige forulempede(nu voksne) i den sag. Ingen af de billeder er nøgenbilleder, eller på nogen måde krænkende. Synes du så at de billeder skal fjernes når de trods alt er blevet filmet i den forbindelse?
Det var da en mindst lige så dårlig sammenligning som #20's :)
Det ville være rart hvis verden fungerede sådan, det gør den bare ikke altid.MichaelB (21) skrev:Det er et spørgsmål om etik!
#22
Det er også en sammenligning til hans sammenligning, så det var tiltænkt :) Min pointe er man sjældent kan skære over én kam, specielt hvad angår hvad der kan og ikke kan bringes i nyhedsmedier.
Og det er faktisk netop sådan verden fungerer. Etik er hvad der anses for værende accepteret at bringe. Hvad der er acceptabelt, det bestemmer du og jeg :) Etik handler om at sætte sig i andres sted og tage hensyn til deres grænser når man ytrer sig.
Det er også en sammenligning til hans sammenligning, så det var tiltænkt :) Min pointe er man sjældent kan skære over én kam, specielt hvad angår hvad der kan og ikke kan bringes i nyhedsmedier.
Og det er faktisk netop sådan verden fungerer. Etik er hvad der anses for værende accepteret at bringe. Hvad der er acceptabelt, det bestemmer du og jeg :) Etik handler om at sætte sig i andres sted og tage hensyn til deres grænser når man ytrer sig.
Hvad er det respektable ved at tvinge Symantec til at donere penge? Ville du have respekt for nogen, der ville afpresse dig til at donere lad os sige 50.000 kr. til et velgørende formål?kasperd (5) skrev:Havde de i stedet krævet at Symatec donerede 50000$ til f.eks. Røde Kors eller Kræftens Bekæmpelse, så ville jeg have haft respekt for dem. Selvom det måske ikke ville have været helt lovligt.
Hvis jeg havde så lidt tillid til et produkt jeg havde sendt ud til mine kunder at jeg ville advare dem imod at bruge det hvis kildekoden slap ud, så ville jeg fortjene den behandling.Brugernavn (24) skrev:Ville du have respekt for nogen, der ville afpresse dig til at donere lad os sige 50.000 kr. til et velgørende formål?
Men hvis jeg havde så lidt tillid til noget kode jeg havde skrevet, så ville jeg gøre noget ved det før jeg lod brugere bruge det.
kasperd (26) skrev:Hvis jeg havde så lidt tillid til et produkt jeg havde sendt ud til mine kunder at jeg ville advare dem imod at bruge det hvis kildekoden slap ud, så ville jeg fortjene den behandling.
Wat? Fortjent afpresning? De har jo ikke engang fået en advarsel eller noget, blot betal ved kasse 1, eller vi frigiver kildekoden.
Jeg er godtnok helt uenig med dig, og jeg synes din holdning er bekymrende.
Hvis man baserer sin sikkerhed på at personer der forsøger at angribe systemet ikke har adgang til kildekoden, så risikerer man at stå med et problem når uvedkommende får adgang til kildekoden.Brugernavn (27) skrev:De har jo ikke engang fået en advarsel
Den advarsel er blevet fremsat så mange gange i offentlige fora at ingen virksomhed kan forsvare sig med at de ikke har hørt den advarsel.
kasperd (28) skrev:Hvis man baserer sin sikkerhed på at personer der forsøger at angribe systemet ikke har adgang til kildekoden, så risikerer man at stå med et problem når uvedkommende får adgang til kildekoden.
Det berettiger sgu da stadig ikke en tilfældig hackergruppe til at afpresse dem til noget som helst.
Det er da mindst lige så berettiget som når Symantec vælger at se gennem fingrene med deres kunders sikkerhed.Brugernavn (29) skrev:Det berettiger sgu da stadig ikke en tilfældig hackergruppe til at afpresse dem til noget som helst.
Hvis en virksomhed ikke vil gøre en rimelig indsats for deres kunders sikkerhed, så mener jeg enhver etisk hacker bør presse den virksomhed med alle lovlige midler.
Selvfølgelig kan grænsen for hvad der er lovligt og grænsen for hvad der er moralsk rigtigt ikke gå nøjagtigt samme sted. Loven er en approksimation af hvad der er moralsk rigtigt, love justeres når det står klart at de ikke rammer rigtigt. Og så er grænsen for hvad der er moralsk rigtigt ikke den samme for alle personer.
At nogen går lidt over grænsen for hvad der er lovligt i et forsøg på at presse en virksomhed som ikke gør hvad de burde gøre for sikkerheden kan ikke ophidse mig. Jeg ser ikke noget moralsk forkert i det. Men jeg synes det er dumt fordi man risikerer at blive stillet til ansvar.
Jeg bryder mig ikke om når en virksomhed der har haft en urimelig dårlig sikkerhed slipper fri, mens personen som er gået et skridt ud over lovens grænse for at demonstrere det ender med at blive straffet. Men når det sker kan jeg kun tænke at det er dumt og personerne der tager det skridt for langt burde have tænkt sig lidt bedre om.
I den konkrete historie er der selvfølgelig ikke tale om et enkelt skridt ud over grænsen for hvad der er lovligt. Der er tale om nogen som bevidst er startet på den forkerte side af loven og tilsyneladende gør hvad de kan for at sikre sig at de undgår at bruge lovlige midler. Og de er også gået ud over hvad jeg mener kan forsvares moralsk. Og set i sammenhæng med deres andre handlinger kan jeg ikke tro at de har reelle hensigter.
Men hvis vi tager deres handlinger i den konkrete sag og sammenligner med hvad der er fuldt ud lovligt og moralsk forsvarligt, så er der kun nuanceforskelle.
Lad os forestille os en hyppigt forekommende situationer. Nogen finder et sikkerhedshul i et stykke software eller et website. Sådan et hul kan nemt findes ved et tilfælde, og der er også mange lovlige metoder som kan bruges til at lede efter dem.
Hvis man rapporterer sådan et problem til virksomheden vil der i 85% af tilfældene ske det at virksomheden ignorerer henvendelsen. I nogle tilfælde er både en offentliggørelse og exploitkode nødvendigt for at virksomheden lukker hullet.
Hvis man har fundet hullet og rapporteret det burde det være virksomhedens ansvar at tage sig af resten. I praksis sker det sjældent. Personen som fandt hullet kan arbejde på exploitkode og grundig vurdering af hullets alvorlighed. Dette kræver en arbejdsindsats. Og personer som ganske gratis yder denne service for en virksomhed får sjældent en tak.
Vælger man derimod at offentliggøre det man har fundet opnår man langt mere omfattende resultater med en mindre indsats. Godt nok er der virksomheder som vil true med bål og brand i denne situation. Men som regel er der tale om huller fundet af personer som ikke har været omfattet med nogen NDA aftale med den pågældende virksomhed. Det afholder dog ikke virksomhederne fra at tro at de kan pålægge personer en NDA fordi det nu engang er i virksomhedens interesse.
Der er i mine øjne ingen tvivl om at offentliggørelse er det rigtige træk i denne situation, det eneste spørgsmål er hvor lang tid man bør vente. Der kan sagtens være situationer hvor virksomheden har en legitim grund til at ønske en længere periode til at rette hullet end der vil være normal kutyme. Men virksomheder får mulighed for at vælge frit hvor lang tid der går, så vil de blot skubbe opgaven foran sig uden legitim grund. Der er simpelthen brug for et økonomisk incitament til at få fejlen udbyderet i en fart. Et krav om at virksomheden donerer et rimeligt beløb til velgørenhed for at få en ekstra lang periode til at udbedre problemet er den bedste løsning som jeg kan komme i tanke om. Hvis den metode er ulovlig er det eneste alternativ set med mine øjne, at man offentliggør uden mulighed for udsættelse. Det burde ske efter en ensartet ventetid på f.eks. en måned.
Sammenligner vi med den konkrete situation er der nogle nuanceforskelle. At de har fået fat i kildekoden har nok involveret nogen ulovligheder. Dog er der ingen grund til at tro at de personer som har offentliggjort kildekoden har været de skyldige i de ulovligheder.
At offentliggøre hele kildekoden er nok en overtrædelse af ophavsretten. Havde man blot offentliggjort en beskrivelse af et sikkerhedshul ville dette ikke have været tilfældet.
At finde et konkret sikkerhedshul i koden ville kræve en arbejdsindsats. Det samme ville det at skrive exploitkoden. At de vælger at offentliggøre hele kildekoden i stedet så man selv kan lede efter huller er et nogenlunde forståeligt træk. Denne forskel er en forseelse på niveau med enhver anden form for brud på ophavsretten. En offentliggørelse af blot de brudstykker der skulle til for at beskrive et konkret sikkerhedshul ville nok falde ind under diverse fair-use regler.
Om de har gjort nok for at give Symantec mulighed for at udbedre fejl mener jeg ikke der er nogen grund til at diskutere. Havde der været tale om et konkret hul ville det være nye oplysninger som Symantec kunne have brug for tid til at reagere på. Men da der blot er tale om den komplette kildekode indeholder de offentliggjorte oplysninger intet nyt for Symantec. Symantec har jo netop haft kendskab til indholdet af denne kildekode i årevis. Og hvis Symantecs kendskab til indholdet af koden giver anledning til at der er fejl der bør rettes, så burde de have gjort det for længst. Givet Symantecs reaktion da de fandt ud af at kildekoden var lækket antyder at de har været klar over at denne kode er af dårlig kvalitet. De har nok haft kendskab til alvorlige huller i koden, som ikke er blevet udbedret. Eller også har de måske en begrundet mistanke om at der ligger flere huller i koden.
På det punkt må man sige at Symantec ligger som de har redt. Hvor lang tid burde Symantec have til at rette de huller, når de selv har valgt at ignorere dem i årevis? Kort sagt er min holdning at hvilken frist de har haft er underordnet.
De to punkter hvor jeg ser den største forskel på en fuldstændigt almindelig håndtering af et konkret sikkerhedshul og den konkrete sag er følgende. Deres ønske om at stikke 50000$ i egen lomme lugter meget af afpresning. Desuden kommer det fra personer som ikke har ry for at handle særligt etisk.
Uanset hvor ulovligt og uetisk man måtte synes deres handlinger er ændrer det dog ikke på at de udstiller Symantec som et firma der har set gennem fingre med deres kendskab til usikkerheden af deres eget produkt. For kunder hos Symantec kan det være lige meget om der skulle ulovlige handlinger til for at afsløre dette. Oplysningerne bør tages til efterretning. Og på den måde er det altså en tjeneste til disse kunder, uanset om det måtte være utilsigtet at man har ydet disse kunder en tjeneste.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund