Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: veiligheid Kort en openbare programmacode  (gelezen 5154 keer)

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
veiligheid Kort en openbare programmacode
« Gepost op: 2014/06/25, 22:39:31 »
Waarom Ubuntu veilig is (http://wiki.ubuntu-nl.org/VeiligheidKort)

Hier staat nu:
 * De openbare programmacode maakt het opsporen van beveiligingsfouten gemakkelijk.

Daar is een opmerking aan toegevoegd:
 *  Dit geldt voor programmatuur uit de officiële pakketbronnen. Software uit andere bronnen kan malware installeren.
Maar wat zijn dan “officiële” pakketbronnen? De bronnen van het Ubuntu Softwarecentrum? Nee.

Het Ubuntu Softwarecentrum bevat “officieel” ook niet-vrije software in de categorie “Te Koop” (Ubuntu Softwarecentrum → Alle software → Te koop). Van deze software is geen source code vrijgegeven. Ook van de software in de categorie “Partners van Canonical” is niet altijd de programmacode openbaar (niet van Skype bijvoorbeeld).

Volgens mij moet er van software in het Ubuntu Softwarecentrum in de categorie “Geleverd door Ubuntu” wel altijd openbare programmacode zijn die kan worden gecontroleerd (veel is gekopieerd uit Debian bronnen).

Kan de opmerking duidelijker, bijvoorbeeld:
 *  Dit geldt voor programmatuur uit de pakketbronnen die worden geleverd door Ubuntu. Software uit andere bronnen kan malware installeren.
Of:
 * Voor Ubuntu is ook software beschikbaar waarvan de programmacode niet openbaar is.

Of iets beters of kan de toegevoegde opmerking beter helemaal weg?

Verder kunnen er nog extra bronnen worden toegevoegd aan het Ubuntu Softwarecentrum (Bewerken → Softwarebronnen), met name PPA's.
Komen die van Launchpad, het “officiële” ontwikkelplatform van Canonical, is de programmacode mogelijk openbaar, van software uit andere toegevoegde bronnen is dat niet duidelijk.

Als laatste is het ook standaard om een zelf gedownload programma-archief (.deb) te installeren met Ubuntu Softwarecentrum. Dat is verre van “officieel” maar zal dat voor iedereen nu duidelijk zijn? Er wordt immers gebruik gemaakt van het (voor vele) vertrouwde Ubuntu Softwarecentrum.
« Laatst bewerkt op: 2014/06/26, 07:21:08 door testcees »
Klik links bovenin op Documentatie

Re: veiligheid Kort en openbare programmacode
« Reactie #1 Gepost op: 2014/06/26, 00:14:37 »
@testcees: Het is niet helemaal waar dat Te Koop alleen gesloten programma's bevat. Het Numix-thema bijv. is te koop in de Te Koop-sectie, maar is wel te vinden op GitHub. Zelfde geldt voor de weerapp StormCloud.

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
Re: veiligheid Kort en openbare programmacode
« Reactie #2 Gepost op: 2014/06/26, 22:39:09 »
Het is niet helemaal waar dat Te Koop alleen gesloten programma's bevat.
Je hebt gelijk. Er zijn (ook altijd) uitzonderingen. Wat me wel opvalt is dat voor (deze) programma's “Te Koop” updates van de leverancier worden verwacht. Niet van Canonical of de “Ubuntu-gemeenschap”.

Tekst op de wiki gewijzigd in:
* Openbare programmacode maakt het opsporen van beveiligingsfouten of ongewenste code gemakkelijk.
  <!> Niet van alle software voor Ubuntu is de programmacode openbaar!

Blijft de vraag wat de "gemiddelde lezer" van deze wiki pagina met deze opmerking kan. Dat “niet alle code openbaar is”?

Ook toegevoegd:
Pas op met het toevoegen van software uit extra pakketbronnen of downloads!

Ook hiervan vraag ik me af of dit duidelijk genoeg is. Hoezo oppassen? Betere suggesties zijn welkom.
Klik links bovenin op Documentatie

Offline Ron

  • Forumteam
    • r0n
    • Over Tholen
Re: veiligheid Kort en openbare programmacode
« Reactie #3 Gepost op: 2014/06/27, 00:09:10 »
Pas op met het toevoegen van software uit extra pakketbronnen of downloads!
Software van onbekende bron kan rommel/troep/virussen/malware/enz/  bevatten
Openstandaard Evangelist, OpenSource Promotor, OpenData voorstander.
Xubuntu gebruiker en voorstander
Er is ook nog een andere hobby.

Offline markba

  • Lid
    • http://markbaaijens.nl/
Re: veiligheid Kort en openbare programmacode
« Reactie #4 Gepost op: 2014/06/27, 07:32:47 »
Ook toegevoegd:
Pas op met het toevoegen van software uit extra pakketbronnen of downloads!
Ook hiervan vraag ik me af of dit duidelijk genoeg is. Hoezo oppassen? Betere suggesties zijn welkom.
De reden daarvoor staat niet gegeven. Dat kan dan weer tot vragen leiden.

Pas op met het toevoegen van software uit extra pakketbronnen of downloads! Het kan uw systeem onveilig en/of instabiel maken.
De nuance wat betreft het on veilig maken: ook de code van zowat alle PPA's is openbaar, dus de kans dat er bewust malware wordt geïnjecteerd is bijzonder klein: is in de praktijk naar mijn weten ook nog nooit voorgekomen.

Wat wel kan (maar weet ook niet of dit in de praktijk voorkomt) is dat als een bepaald systeemonderdeel wordt vervangen via een PPA (dus niet: toegevoegd), en de updates (patches) daarop worden niet toegepast in de versie die in de PPA zit, zit je dus met een onveilige versie opgeschept.

Nogmaals, beide mogelijkheden lijken me zwaar theoretisch; als dit al genoemd zou moeten worden, zou dat ook zo gekwalificeerd moeten worden (= nuance aanbrengen dat het idd theoretisch is). In de korte versie over veiligheid in Ubuntu heeft deze nuance wellicht geen plaats, maar mss wel in de uitgebreide versie.

Wat wel speelt, is dat het toevoegen van een PPA het systeem instabiel kan maken. Maar dit heeft dan weer niets met de veiligheid te maken. Dus hoeft dat mss niet hier toegevoegd te worden (maar wel op een andere plaats).


« Laatst bewerkt op: 2014/06/27, 07:34:42 door markba »

Re: veiligheid Kort en openbare programmacode
« Reactie #5 Gepost op: 2014/06/27, 11:47:52 »
"ook de code van zowat alle PPA's is openbaar, dus de kans dat er bewust malware wordt geïnjecteerd is bijzonder klein"

Maar dus niet onmogelijk. Xorg is ook open source, maar er worden constant lekken gevonden van tig jaren oud... Om maar even een voorbeeld te noemen. Waarmee ik dus wil aangeven: ja, klein is de kans, maar als de code niet door iemand gereviewd wordt, Xorg of PPA's, dan weten we niet wat er veilig is.

Offline markba

  • Lid
    • http://markbaaijens.nl/
Re: veiligheid Kort en openbare programmacode
« Reactie #6 Gepost op: 2014/06/27, 11:54:06 »
"ook de code van zowat alle PPA's is openbaar, dus de kans dat er bewust malware wordt geïnjecteerd is bijzonder klein"

Maar dus niet onmogelijk.
Dit is weer de bekende discussie (zwart-wit). Want als we zo beginnen, is Ubuntu/Linux/vrije software helemáál niet veilger dan bv gesloten systemen.

Zullen we de titel van deze wiki-pagina "Waarom Ubuntu veilig is" ook maar meteen wijzigen?

Zonder gekheid: in de nuance zit de oplossing. Zonder nuance is alles even slecht (of goed) en zijn er geen verschillen.

Re: veiligheid Kort en openbare programmacode
« Reactie #7 Gepost op: 2014/06/27, 12:02:26 »
Niet zo overdrijven... Ubuntu wordt constant nagekeken door de mensen van Canonical en Linux wordt ook zeer regelmatig nagekeken door o.a. bedrijven en gespecialiseerde mensen. Maar hoe vaak worden PPA's nagekeken? Dat is wat ik mij afvraag. Je weet dondersgoed dat ik niks tegen PPA's heb, beste markba (je kent me toch wel langer dan vandaag ;)). Maar in het kader van dit topic stel ik me vraagtekens bij hoe vaak code van een PPA wordt nagekeken.

Offline markba

  • Lid
    • http://markbaaijens.nl/
Re: veiligheid Kort en openbare programmacode
« Reactie #8 Gepost op: 2014/06/27, 12:06:57 »
Maar hoe vaak worden PPA's nagekeken?
Dat weet ik ook niet. Maar aangezien van zo ongeveer elke PPA de broncode openbaar is (bestaan er wel PPA's met gesloten code?), heb je iig de mogelijkheid. En als anderen het niet doen (dat nakijken), dan kun je het nog altijd zelf doen, niets houdt je tegen.....

Offline markba

  • Lid
    • http://markbaaijens.nl/
Re: veiligheid Kort en openbare programmacode
« Reactie #9 Gepost op: 2014/06/27, 15:07:30 »
Een beginner kijkt geen PPA na, ....
Zelfs een gevorderde niet....... Maar dat was niet het punt wat ik wilde maken. Je zou het kunnen (omdat de broncode openbaar is), als je het zou willen. Dus in die zin zou je (qua veiligheid) een PPA gelijk kunnen stellen met software uit de officiele bronnen (mist: vrije software).

En daarom heb ik wat moeite met het toevoegen van de regel "Pas op met het toevoegen van software uit extra pakketbronnen of downloads!" in de wiki. Let wel, dit zeg ik  is uit het oogpunt van veiligheid, niet van die van stabiliteit (dat is een hele andere discussie nl die in deze draad niet relevant is).

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
Re: veiligheid Kort en openbare programmacode
« Reactie #10 Gepost op: 2014/06/27, 15:26:57 »
Je zou het kunnen (omdat de broncode openbaar is), als je het zou willen. Dus in die zin zou je (qua veiligheid) een PPA gelijk kunnen stellen met software uit de officiele bronnen (mits: vrije software).
Met dit verschil, dat je mag verwachten dat programmatuur in de officiële pakketbronnen, *in de praktijk* beter wordt nagekeken dan programmatuur in een of andere vage PPA.

Dus m.i. toch een belangrijk verschil qua veiligheid....
« Laatst bewerkt op: 2014/06/27, 15:29:50 door Pjotr »

Offline markba

  • Lid
    • http://markbaaijens.nl/
Re: veiligheid Kort en openbare programmacode
« Reactie #11 Gepost op: 2014/06/27, 15:38:52 »
Je zou het kunnen (omdat de broncode openbaar is), als je het zou willen. Dus in die zin zou je (qua veiligheid) een PPA gelijk kunnen stellen met software uit de officiele bronnen (mits: vrije software).
Met dit verschil, dat je mag verwachten dat programmatuur in de officiële pakketbronnen, in de praktijk beter wordt nagekeken dan programmatuur in een of andere vage PPA.
Ten eerste is de vraag waarom het zou gaan om een 'vage' PPA; want door dat woordgebruik, kwalificeer je elke PPA als ondeugdelijk, onvelig en instabiel (ik chargeer wat, maar je begrijpt wat ik bedoel hoop ik).

Daarnaast is het maar de vraag of een PPA minder wordt bekeken dan een pakket in de officiele bronnen. Want júist pakketten in een PPA zijn sterk in ontwikkeling (want dat is de reden dat er überhaupt een PPA is), dus zijn er veel mensen (programmeurs, gebruikers, etc.) concreet mee bezig. Dat in tegenstelling tot al die 1000-den pakketten waar (bijna) niets mee gebeurt.... Dus keer ik het om: de verwachting zou kunnen zijn dat software van een PPA meer en betere audits krijgt.

Kortom, je kunt er niets van zeggen. Elke aanname kan weersproken worden. En veel van die aannames worden gevoed vanuit een antipathie tegen PPA's, maar hoeven daarom niet noodzakelijkerwijs waar te zijn (begrijpelijk, maar: perceptie).

En nogmaals: het gaat er niet om dat het checken van  wel of niet gebeurt, maar dat het kan.......
« Laatst bewerkt op: 2014/06/27, 15:41:19 door markba »

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
Re: veiligheid Kort en openbare programmacode
« Reactie #12 Gepost op: 2014/06/27, 15:53:31 »
Terechte kanttekeningen, maar..... inmiddels ligt er wel het gevaar van overnuancering op de loer.

Het gaat er in dit draadje om: welke (noodzakelijkerwijs versimpelde) boodschap willen we op dit punt meegeven aan beginners met Linux? Over ouwe rotten hoeven we ons niet te bekommeren, die redden zichzelf wel en hebben sowieso geen behoefte aan documentatie hierover.

Zie het als een voorlichtingscampagne van SIRE: een paar duidelijke slagzinnen, om mensen in de goede richting te duwen. Het is geen genuanceerde wetenschappelijke verhandeling zoals een master-thesis.....  =D

Offline markba

  • Lid
    • http://markbaaijens.nl/
Re: veiligheid Kort en openbare programmacode
« Reactie #13 Gepost op: 2014/06/27, 16:07:23 »
Terechte kanttekeningen, maar..... inmiddels ligt er wel het gevaar van overnuancering op de loer.
Klopt. Zelf gaf ik dit hierboven ook al aan. De simpele versie moet de kern goed kunnen vatten (daar gaat deze draad over), en elders kan de  nuancering c.q. verduidelijking plaatsvinden. Want gebruikers (die vaak alleen de simpele versie lezen) moeten natuurlijk niet op het verkeerde been gezet worden (wat weer vragen oproept, etc.).

Vergelijk het met de discussie rondom anti-virus (deze gaan we hier hopelijk niet opnieuw voeren....): omdat er theoretisch een linus-virus/malware bestaat moeten we dan maar in de wiki zetten: "Omdat het altijd mogelijk is dat u besmet kunt raken met een virus, raden wij u aan om altijd een virus-scanner te installeren.". Toevallig weet ik hoe jij (pjotr) hierover denkt, dus dit is om het een-en-ander in de context te plaatsen.

De vraag is dus nu: wat is nu die kernboodschap? En is deze samen te vatten in 1 enkele zin?

Re: veiligheid Kort en openbare programmacode
« Reactie #14 Gepost op: 2014/06/27, 21:04:26 »
Software in een PPA kan ook zo zijn omdat bijv. Canonical niet de software in haar pakketbronnen wil toevoegen. Mobile Media Converter is een mooi voorbeeld daarvan. Compleet open source, maar zelfs nu we een paar jaar verder zitten met een dik Launchpad-verzoek dat er al evenlang staat, zit het er nog steeds niet in. Tja, dan moet je wel een PPA gebruiken...
PPA's kunnen goed bekend staan. Die van Webupd8 bijv. of het LibreOffice-team of het GNOME 3-team (dat is namelijk van de makers van Ubuntu GNOME!)... om maar even een paar voorbeelden te noemen.

Tja, het is een lastige. Ik zou gewoon zetten: "Wees terughoudend met het toevoegen van PPA's. Zorg dat u niet teveel PPA's toevoegt en lees altijd de beschrijving van een PPA. Heeft u twijfels bij een bepaalde PPA? Open een topic op het Ubuntu-NL Forum. Wellicht dat één of meerdere forumleden meer duidelijkheid en/of ervaringen kunnen geven over de betreffende PPA."

Offline markba

  • Lid
    • http://markbaaijens.nl/
Re: veiligheid Kort en openbare programmacode
« Reactie #15 Gepost op: 2014/06/27, 21:40:57 »
Ook toegevoegd:
Pas op met het toevoegen van software uit extra pakketbronnen of downloads!
Ook hiervan vraag ik me af of dit duidelijk genoeg is. Hoezo oppassen? Betere suggesties zijn welkom.

Een suggestie kan deze zijn (geinspireerd door Vistaus, zie hieronder):

Citaat
Wees terughoudend bij het installeren uit onbekende bron zoals extra pakketbronnen of downloads. Soms is de herkomst en/of kwaliteit onbekend met mogelijk vervelende gevolgen.
Het geeft dan duidelijk aan dat afwijken van de officiele kanalen altijd met beleid moet gebeuren. En tevens wordt er aangegeven waarom dat zo is. Dit alles bewoord zonder heel dwingend of expliciet te zijn.

Tja, het is een lastige. Ik zou gewoon zetten: "Wees terughoudend met het toevoegen van PPA's. Zorg dat u niet teveel PPA's toevoegt en lees altijd de beschrijving van een PPA. Heeft u twijfels bij een bepaalde PPA? Open een topic op het Ubuntu-NL Forum. Wellicht dat één of meerdere forumleden meer duidelijkheid en/of ervaringen kunnen geven over de betreffende PPA."
Dit lijkt me een mooie beschrijving die in de uitgebreide wiki-pagina kan komen (of staat er al zoiets?). Let op: het gaat hier alleen maar over PPA's (extra pakketbronnen) en niet over losse downloads (die in mijn optiek mogelijk kwalijker kunnen zijn dan een PPA)

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
Re: veiligheid Kort en openbare programmacode
« Reactie #16 Gepost op: 2014/06/28, 00:16:25 »
Bedankt voor de opbouwende reacties!
Software van onbekende bron kan rommel/troep/virussen/malware/enz/  bevatten
Wat is een onbekende bron? Zodra iemand het noemt op dit forum is het een bekende (wel veilige) bron geworden?
Ubuntu wordt constant nagekeken door de mensen van Canonical
Lijkt me niet waarschijnlijk dat Canonical bij ieder release alle programmacode nog eens gaat nakijken. De bulk wordt gekopieerd van Debian, die het van verschillende kanten ontvangt. Van de niet-vrije software in Ubuntu Softwarecentrum zal Canonical de code niet altijd kunnen nakijken. Er is geen garantie.
Men verwacht dat het allemaal wel veilig is, heb ik het idee. En ze weten uiteraard ook niet hoe ze het na moeten kijken.
Dat vrees ik ook: “Ubuntu is veilig dus kan je gerust van alles installeren” lijkt soms het idee. Misschien is dat vandaag zo maar onjuist.
Daarnaast is het maar de vraag of een PPA minder wordt bekeken dan een pakket in de officiele bronnen.
Voor sommige PPA's komt de code van grote ontwikkelteams waar je wat van mag verwachten. Zoals je al opmerkt, je kunt er “in het algemeen” weinig van zeggen.
Citaat
Wees terughoudend bij het installeren uit onbekende bron zoals extra pakketbronnen of downloads. Soms is de herkomst en/of kwaliteit onbekend met mogelijk vervelende gevolgen.
Vervangen, bedankt.
« Laatst bewerkt op: 2014/06/28, 00:22:02 door testcees »
Klik links bovenin op Documentatie

Re: veiligheid Kort en openbare programmacode
« Reactie #17 Gepost op: 2014/06/28, 00:52:48 »
Ik had het dan ook over de Ubuntu-specifieke code en niet over wat de code die ze van Debian kopiëren. Excuses als ik daar onduidelijk in was...

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
Re: veiligheid Kort en openbare programmacode
« Reactie #18 Gepost op: 2014/07/29, 22:57:20 »
Dit is weer de bekende discussie (zwart-wit). Want als we zo beginnen, is Ubuntu/Linux/vrije software helemáál niet veilger dan bv gesloten systemen.

Zullen we de titel van deze wiki-pagina "Waarom Ubuntu veilig is" ook maar meteen wijzigen?
De titel was al gewijzigd in “Veiligheid in Ubuntu” en de tekst van de wiki VeiligheidKort beweert niet dat Ubuntu/Linux/vrije software veiliger is dan gesloten software (evenmin dat het onveiliger is).

Vandaag las ik een artikel met de stelling dat opensource niet inherent veiliger is dan gesloten software:

Mensen vertrouwen opensource voornamelijk omdat ze kunnen controleren of de code geen bugs of lekken bevat. Als ze het niet zelf kunnen controleren wordt er aangenomen dat andere mensen dit wel doen. Maar het is maar de vraag of bugs, lekken en backdoors eerder worden ontdekt.

Daartegenover staat dat voor gesloten software bedrijven vaak experts inschakelen om software op veiligheid te controleren. Niet voor de eer maar als betaald werk.
Gegeven twee producten, waarvan één open en één gesloten, is het onmogelijk om te bepalen welke meer gecontroleerd is.
Desondanks ben ik persoonlijk meer geïnteresseerd in het open product ook al is dat niet “vanzelf” of “beslist” veiliger. :)
Klik links bovenin op Documentatie

Offline Pjotr

  • Lid
    • Makkelijke Linuxtips
Re: veiligheid Kort en openbare programmacode
« Reactie #19 Gepost op: 2014/07/30, 09:21:19 »
Vandaag las ik een artikel met de stelling dat opensource niet inherent veiliger is dan gesloten software:

Mensen vertrouwen opensource voornamelijk omdat ze kunnen controleren of de code geen bugs of lekken bevat. Als ze het niet zelf kunnen controleren wordt er aangenomen dat andere mensen dit wel doen. Maar het is maar de vraag of bugs, lekken en backdoors eerder worden ontdekt.

Daartegenover staat dat voor gesloten software bedrijven vaak experts inschakelen om software op veiligheid te controleren. Niet voor de eer maar als betaald werk.
Gegeven twee producten, waarvan één open en één gesloten, is het onmogelijk om te bepalen welke meer gecontroleerd is.
Onjuistheden gekoppeld aan overrelativering. Er wordt weer eens nodeloos verwarring gezaaid...

Ook bij open-bron-programmatuur zijn er betaalde werknemers bezig met het saaiere onderhoudswerk, zoals het dichten van veiligheidsgaten: voorbeelden zijn de kernelploeg van Linus Torvalds en de programmeurs van Red Hat en van Suse.

Maar ook onbetaalde vrijwilligers leveren daar heus wel eens een bijdrage aan, bijvoorbeeld uit eigenbelang: ook zij willen immers een veilig besturingssysteem op hun computer. En ze zijn vaak niet te beroerd om hun oplossingen te delen met de bovenstroomse makers van een bepaald programma.

Doordat het open-bron-programmatuur betreft, is er minder betaalde mankracht nodig om een goed resultaat te bereiken dan bij gesloten-bron-programmatuur. Open-bron is simpelweg efficiënter: samenwerken gaat veel makkelijker en is niet gebonden aan één bedrijf.

Daarom is open-bron over het geheel genomen ("im grossen Ganzen") veiliger dan gesloten-bron. Absoluut veilig: neen. Relatief veiliger: ja.

Natuurlijk is niet eenvoudigweg te zeggen: individueel open-bron-programma X is veiliger dan het vergelijkbare gesloten-bron-programma Y, omdat open-bron *per definitie* veiliger zou zijn. Want dat is uiteraard niet zo. Duh.

Maar je weet wel, dat het productieproces van open-bron *in beginsel* van hogere kwaliteit is. En dat daarom, de overige omstandigheden gelijk zijnde (ceteris paribus), de kans op hogere veiligheidskwaliteit bij open-bron groter is dan bij gesloten-bron. Hogere kwaliteit van productieproces = meestal een beter product.

Het zou daarom prettig zijn, als er nu eindelijk eens opgehouden zou worden met verwarring zaaien door overrelativering. Dat begint namelijk (en bepaald niet voor het eerst) te lijken op z**ken terwille van het z**ken. Daar wordt niemand beter van.
« Laatst bewerkt op: 2014/07/30, 11:30:38 door Pjotr »