|
Onder de titel "tijd om de informatie anarchie te stoppen" publiceerde Scott Culp van MS (Manager Security Respons) in oktober een artikel op hun website. Volgens hem is er een duidelijke relatie tussen de "informatie-anarchie" (lees het publiceren van gedetailleerde gegevens over beveiligingslekken), en de recente golf van wormen en virussen. Dat ze gebruik maakten van de zwakheden in systemen die beschreven werden, is voor hem het bewijs. Hij vindt dat gedetailleerde gegevens over de veiligheidslekken niet nodig zijn om een veiligheidslek te dichten, daarvoor moet je immers enkel ervoor zorgen alle "patches" toe te passen, en daarover moet informatie verspreid worden. Geheimhouding of openheid Bruce Schneier (Counterpane Internet Chief Technical Officer) is het daarmee niet eens. Als een programma een beveiligingslek heeft, en niemand weet het, is er geen probleem. Als iemand het ontdekt, maar er niets mee doet is er eigenlijk ook geen probleem. De kans is wel groot dat iemand anders het ook ontdekt. En kans dat hij het buiten brengt. In dat geval wordt het probleem publiek bekend, en kan er gewerkt worden aan oplossingen en maatregelen ter voorkomen van misbruik. Brengt hij het niet naar buiten, maar maakt hij er misbruik van voor eigen gebruik, kan het misbruik voortgaan zonder dat het gekend is en er aan een oplossing gewerkt wordt. Hoe is de huidige politiek ontstaan? In het begin nam een gebruiker of een onderzoeker als hij een zwakheid ontdekte in stilte contact op met de maker om het probleem te melden, die het dan in principe kan oplossen. In 1988 werd CERT opgericht (http://www.cert.org) en dat werd het meldpunt. CERT controleerde de meldingen, en gaf de verkopers de gecontroleerde gegevens door. Als er een oplossing gemaakt was, publiceerde CERT een uitgebreide beschrijving van zowel probleem als oplossing. Enige zwakheid hier is dat als de verkoper van de software niets doet om het probleem op te lossen, de informatie ook niet gepubliceerd wordt. Daardoor is de druk ook minder groot op de verkoper, want de problemen bleven "geheim", en het werd verleidelijk om de onderzoekers onder druk te zetten vooral maar te zwijgen als ze iets ontdekt hadden. En zo bleven op den duur veiligheidsgebreken jaren onderhuids bestaan. Als een onderzoeker beweert dat er een veiligheidsprobleem is kan de verkoper het ontkennen. Als de onderzoeker het probleem uitgebreid beschrijft kan de verkoper het als een "theoretisch probleem" afdoen (waar komt ons dat bekend van voor ...). Als de onderzoeker voorbeeldcode publiceert toont hij aan dat het een werkelijk bestaand probleem is. En als de verkoper een verbetering maakt is het ook de enige manier om die verbetering te testen. Er is weinig kans dat de problemen afnemen. Software wordt altijd complexer, en er lijkt dus steeds meer kans te zijn op gebreken. Als je systeem aangetast is door een virus of een worm, moet je weten welke, je hebt dus gedetailleerde informatie nodig. Je moet het onderscheid kunnen maken tussen verschillende varianten, om de juiste maatregelen te nemen. Zo worden soms trojaanse paarden binnengesmokkeld in je systeem, die later geactiveerd kunnen worden. Als je systemen wil evalueren en conclusies wil trekken voor de toekomst heb je ook informatie nodig om een juiste keuze te kunnen maken. Linux Professional Institute (http://www.lpi.org) In de rand van besturingssystemen ontstaat dikwijls een hele industrie van dienstverlening. Een tak daarvan is opleiding, dikwijls onder de vorm van een cursusreeks die leidt tot een certificaat, het zogenaamde "certified engineer", wat meestal dure cursussen inhoudt. Enkele bedrijven maakten Linux certificieringsprogramma's; LPI, Sair Linux, Red Hat, en CompTIA. LPI is een non-profit organisatie die een alternatief biedt voor de commerciele vormingsprogramma's. Zij proberen een systeem op te zetten dat aansluit bij de "open source" gedachtengang. Er is een publieke vraag geweest om het programma op te stellen; wat doelstellingen en vragen opleverde. De bedoeling is een Linux-distributie onafhankelijk programma op te stellen, dat bovendien betaalbaar blijft. Het programma valt momenteel uiteen in drie nivea's, en elk niveau is nog eens onderverdeeld in 2 delen, die elk een examen vormen. Elk examen duurt negentig minuten en momenteel wordt daarvoor 100 dollar gerekend. De organisatie krijgt van verschillende kanten financiele steun, en kan daardoor naast vrijwilligers ook een aantal vaste krachten in dienst hebben. Voorbereidende cursussen voor de examens zijn in boekvorm verkrijgbaar van de gespecialiseerde uitgevers. . |
De Recording Industrie Association of America oefende via zijn belangenorganisatie heel wat druk uit om online muziekverspreiders als Napster te sluiten. Muziekuitgeverijen spanden ook een rechtzaak in tegen Napster, dat uiteindelijk zo goed als verdween van de muziek-uitwissel-scene. Nu hebben echter een aantal artiesten hun beklag gedaan over de aanmatigende houding van de platenindustrie. Een heel deel van de rechten van de platenfirma's die Napster geschonden zou hebben, blijken helemaal niet in handen te zijn van de platenfirma's maar wel van de artiesten. Ze stelden tot hun verwondering vast dat titels van hun platen waren opgenomen in de claims van de platenindustrie tegen de Online-uitwisselsystemen. De platenfirma's voelen zich nu door hun eigen artiesten in de rug gestoken, zo lijkt het wel uit hun verwonderde reaktie. Maar sommige artiesten trokken eerder al partij voor online uitwisselsystemen, dat ze een veel democratischere manier van muziek verspreiden vinden omdat het niet meer de platenfirma's zijn die het succes van artiesten programmeren volgens hun eigen behoeften. Linux als printer Printserver is een van de mogelijke toepassingen van een computer met een Linux besturingssysteem. Nu lijkt Linux ook voet aan de grond te krijgen aan de andere kant van de datakabel; in de printer zelf. Complexe printers zoals laserkleurenprinters hebben bijna een volledige computer ingebouwd om het printprocess af te handelen en om een wachtrij van documenten te kunnen bewaren. Daarop draait natuurlijk een systeemsoftware, en Linux lijkt daar stilaan door te breken. Bij Minolta was al sprake van Linux in hun printers, en nu kondigde ook Samsung op de "Comdex Fall 2001" aan Linux als systeem in printers te gaan gebruiken. Transmeta kan niet volgen Sony verklaarde een nieuwe notebook later uit te brengen als oorspronkelijk gepland. De produktie van Transmeta processoren kan blijkbaar niet volgen. Ze zouden problemen hebben die eigen zijn aan massaproduktie van de Crusoe-chips. |