Også pc-er fra Lenovo kan ha gjenglemt «keylogger»

[Harald Brombach (digi.no)]

Andre pc-leverandører kan også være berørt.

Også pc-er fra Lenovo kan ha gjenglemt «keylogger»

[tommyb]

Også pc-er fra Lenovo kan ha gjenglemt «keylogger»

->

Også pc-er fra Lenovo kan ha «gjenglemt» keylogger

[zeebra]

Wow, bare, wow.

 

En touchpad driver med "gjenglemt" keylogger. Det er jo helt utrolig, skandaløst. Her er et klart eksempel på problemer knyttet til lukket kildekode, hvor uskyldige brukere blir utsatt for farlig kode de selv ikke kan kontrollere eller sjekke.

[tommyb]

Her er et klart eksempel på problemer knyttet til lukket kildekode, hvor uskyldige brukere blir utsatt for farlig kode de selv ikke kan kontrollere eller sjekke.

 

Related: all firmware, ever.

[Atle Rørdam]

Slik jeg tolker det affekterer dette ikke Linux, og uansett slike drivere eller ikke, er Windows smekkfullt av alskens bakdører og snask.

 

Det er som å ha DeepState som barnevakt.

[zeebra]

 

Her er et klart eksempel på problemer knyttet til lukket kildekode, hvor uskyldige brukere blir utsatt for farlig kode de selv ikke kan kontrollere eller sjekke.

Related: all firmware, ever.

 

 

Joda, klar over det, men du kan velge maskinvare som IKKE krever firmware. Ett nytt problem nå til dags er "firmware on chip".

 

Men her er det faktisk snakk om en driver. Det handler ikke nødvendigvis om å være parnoid, men å kunne sjekke at normal software du bruker ikke er farlig.

[tommyb]

 

Joda, klar over det, men du kan velge maskinvare som IKKE krever firmware. Ett nytt problem nå til dags er "firmware on chip".

 

Men her er det faktisk snakk om en driver. Det handler ikke nødvendigvis om å være parnoid, men å kunne sjekke at normal software du bruker ikke er farlig.

 

 

Uten strøm og firmware duger hardware ikke. Et evig problem med firmware er at den i kun neglisjerbar grad revideres. Innsyn i den betyr kjente sikkerhetshull på tvers av modeller, utnyttbare for all tid. Og fra produsentenes synspunkt er det kontraproduktivt å bruke tid på allerede solgte produkter, det skader heller salget enn å øke det. Problemet med manglende revisjon er til en viss grad mindre når det gjelder drivere, men det virker som størrelsen på firmware i det siste har vokst så mye - det er komplette operativsystemer - at det er en viktig angrepsvektor nå. Ref. de siste sakene om Intel-firmware.

[Sandormen]

Husker en gang i tida, en driver var på noen få kilobytes. Installere et grafikkort nå får man relativt automatisk en installasjon på flere hundre megabyte. Spinnvillt. -Man har jo så god harddiskkapasitet og gode prosessorer at optimering? Fløyt være med det.

-Og pakka inn med en håndfull drittprogrammer man ikke behøver.

HP, Asus og mange(!) andre leverer både PC’er, skrivere og ymse annet med så mye skral at man river seg i håret.

[Bolson]

Slik jeg tolker det affekterer dette ikke Linux, og uansett slike drivere eller ikke, er Windows smekkfullt av alskens bakdører og snask.

 

Det er som å ha DeepState som barnevakt.

 

I dette tilfellet gjelder det ikke Linux, men muligheten for at det kan finnes "gjenglemt" testkode som skaper sikkerhetshull gjelder uansett system. Og det finnes "legacy" også brukt i Linux.

 

Ellers har neppe Windows fullt med bakdører og snask. Noe slikt ville ha vært kjent - også fordi det er "store" bruker av Windows som faktisk får se kildekoden.

[digimator]

Wow, bare, wow.

 

En touchpad driver med "gjenglemt" keylogger. Det er jo helt utrolig, skandaløst. Her er et klart eksempel på problemer knyttet til lukket kildekode, hvor uskyldige brukere blir utsatt for farlig kode de selv ikke kan kontrollere eller sjekke.

 

Det er forskjell på å ha mulighet til å sjekka kode, og faktisk å gjøra det. Kor stor del av åpen kildekode blir faktisk sjekka av brukarane?

[tommyb]

 

I dette tilfellet gjelder det ikke Linux, men muligheten for at det kan finnes "gjenglemt" testkode som skaper sikkerhetshull gjelder uansett system. Og det finnes "legacy" også brukt i Linux.

 

 

 

Det har vært en bedring tror jeg, og det er forskjellig fra distro til distro, men jeg husker en tid da man bare måtte akseptere at drivere generelt kun ble tilgjengeliggjort med lukket kildekode, også på Linux. 

[Bolson]

 

Det har vært en bedring tror jeg, og det er forskjellig fra distro til distro, men jeg husker en tid da man bare måtte akseptere at drivere generelt kun ble tilgjengeliggjort med lukket kildekode, også på Linux. 

 

Enig, i alle fall er mitt inntrykk som har en del Linux i bruk at det er mindre legacy. Men gjenglemt testkode gjelder også åpen kode. Det er ikke mange dagene siden jeg fant testkode i en applikasjon som var potensielt farlig, og som hadde sluppet gjennom kvalitetskontrollen.

[zeebra]

 

Wow, bare, wow.

 

En touchpad driver med "gjenglemt" keylogger. Det er jo helt utrolig, skandaløst. Her er et klart eksempel på problemer knyttet til lukket kildekode, hvor uskyldige brukere blir utsatt for farlig kode de selv ikke kan kontrollere eller sjekke.

Det er forskjell på å ha mulighet til å sjekka kode, og faktisk å gjøra det. Kor stor del av åpen kildekode blir faktisk sjekka av brukarane?

 

 

Det er ikke nødvendig for brukeren å sjekke det selv, nødvendigvis. Det er alltid/som regel "noen" som sjekker ting, og det holder stort sett. Men med åpen kildekode har iallefall brukerne MULIGHETEN til å sjekke koden selv.

[zeebra]

 

 

Joda, klar over det, men du kan velge maskinvare som IKKE krever firmware. Ett nytt problem nå til dags er "firmware on chip".

 

Men her er det faktisk snakk om en driver. Det handler ikke nødvendigvis om å være parnoid, men å kunne sjekke at normal software du bruker ikke er farlig.

 

 

Uten strøm og firmware duger hardware ikke. Et evig problem med firmware er at den i kun neglisjerbar grad revideres. Innsyn i den betyr kjente sikkerhetshull på tvers av modeller, utnyttbare for all tid. Og fra produsentenes synspunkt er det kontraproduktivt å bruke tid på allerede solgte produkter, det skader heller salget enn å øke det. Problemet med manglende revisjon er til en viss grad mindre når det gjelder drivere, men det virker som størrelsen på firmware i det siste har vokst så mye - det er komplette operativsystemer - at det er en viktig angrepsvektor nå. Ref. de siste sakene om Intel-firmware.

 

 

Ja, jeg synes EU burde gjøre det til krav om at kildekode til firmware og drivere blir pliktet gjort til åpen kildekode etter X-antall år, om firmware i det hele tatt bør tillates i EU. Slik kan folk bruke gammel maskinvare fritt, uten hinder, og folket kan selv stå for vedliekehold.

[zeebra]

 

Slik jeg tolker det affekterer dette ikke Linux, og uansett slike drivere eller ikke, er Windows smekkfullt av alskens bakdører og snask.

 

Det er som å ha DeepState som barnevakt.

I dette tilfellet gjelder det ikke Linux, men muligheten for at det kan finnes "gjenglemt" testkode som skaper sikkerhetshull gjelder uansett system. Og det finnes "legacy" også brukt i Linux.

 

Ellers har neppe Windows fullt med bakdører og snask. Noe slikt ville ha vært kjent - også fordi det er "store" bruker av Windows som faktisk får se kildekoden.

 

 

En stor forskjell er jo at man selv kan deaktivere det meste i Linux kjernen, ergo, man slipper å kjøre unødvendig kode eller tillate denne koden. I Windows har man ikke selv kontroll på dette.

 

Lager man seg en minimal kjerne i GNU/Linux kan man fjerne det meste av koden i Linux kjernen og tilpasse denne til den aktuelle  maskinvaren.

[tommyb]

 

 

 

 

Ja, jeg synes EU burde gjøre det til krav om at kildekode til firmware og drivere blir pliktet gjort til åpen kildekode etter X-antall år, om firmware^[1] i det hele tatt bør tillates i EU. Slik kan folk bruke gammel maskinvare fritt, uten hinder, og folket kan selv stå for vedliekehold.

 

 

^[1] Dette ville om mulig vært enda mer skivebom enn cookie-loven. Hva er firmware? Laveste nivå programvare som gjør at elektriske komponenter inni enheter virker. Uten firmware er hardware plast og metallsøppel. En bil uten firmware? En passe komplisert kunstinstallasjon. 

 

Bortimot all firmware er implementert i Kina. Historisk sett har vi sett at mye av den faktisk bryter lisensen den er skrevet under, mens mesteparten av firmwaren vet ikke ikke dette om engang. Hvis vi krever tilgang til dette i EU, kan de bare ta ferie på salgskontoret i EU, og vi kan se dumt på hverandre mens ingen mobiltelefoner, TVer eller microbølgeovner kan selges i Europa.

 

Men misforstå meg rett. Dersom vi får tilgang til å bytte ut programvare på alle nivå, firmware såvel som OS, vil dagens produkter kunne utnyttes mye lengre og det ville vært bra for mange nivåer i samfunnet. Og kanskje er det mulig å oppnå delvis i enkelte produktsegmenter som mobiltelefoner og PCer. Ikke på alle nivå - det er vel kanskje til og med straffbart å gi brukere direkte tilgang til deler av mobilhardwaren i mobiltelefoner, fordi disse kan brukes til sabotasje, avlytting mm.? 

[zeebra]

 

 

 

 

 

Ja, jeg synes EU burde gjøre det til krav om at kildekode til firmware og drivere blir pliktet gjort til åpen kildekode etter X-antall år, om firmware^[1] i det hele tatt bør tillates i EU. Slik kan folk bruke gammel maskinvare fritt, uten hinder, og folket kan selv stå for vedliekehold.

 

 

^[1] Dette ville om mulig vært enda mer skivebom enn cookie-loven. Hva er firmware? Laveste nivå programvare som gjør at elektriske komponenter inni enheter virker. Uten firmware er hardware plast og metallsøppel. En bil uten firmware? En passe komplisert kunstinstallasjon. 

 

Bortimot all firmware er implementert i Kina. Historisk sett har vi sett at mye av den faktisk bryter lisensen den er skrevet under, mens mesteparten av firmwaren vet ikke ikke dette om engang. Hvis vi krever tilgang til dette i EU, kan de bare ta ferie på salgskontoret i EU, og vi kan se dumt på hverandre mens ingen mobiltelefoner, TVer eller microbølgeovner kan selges i Europa.

 

Men misforstå meg rett. Dersom vi får tilgang til å bytte ut programvare på alle nivå, firmware såvel som OS, vil dagens produkter kunne utnyttes mye lengre og det ville vært bra for mange nivåer i samfunnet. Og kanskje er det mulig å oppnå delvis i enkelte produktsegmenter som mobiltelefoner og PCer. Ikke på alle nivå - det er vel kanskje til og med straffbart å gi brukere direkte tilgang til deler av mobilhardwaren i mobiltelefoner, fordi disse kan brukes til sabotasje, avlytting mm.? 

 

 

Et fornuftig svar, jeg er delvis enig, delvis uenig. Jeg mener når forbruker kjøper et produkt, så bør han ha rett til å bruke dette produktet som han ønsker. En bilentusiast som vet hva han driver med har svært mange muligheter og svært få hindre i å gjøre med bilen som han ønsker, såfrem kunnskapen er der.

 

Det er normalt sett ikke slik at bilens motor f.eks er låst og hemmeligholdt. Alle med kunnskap om motor har tilgang til å drive med motor, akkurat som alle med kunnskap om software har fri mulighet til å kontrollere maskinens kompenter om disse er tilgengelig med drivere under åpen kildekode og en frihetslisens.

 

Jeg er selv idealisti på området og kunne tenke meg det hadde vært et foregangstiltak og et eksempel for verden å følge om Europa krevde åpen maskinvare, ikke gjennom maskinvaredesign og slik, men gjennom åpne drivere først og fremst, men også enten åpen eller kontrollerbar firmware, som enten brukere har tilgang til direkte, eller forbrukere har tilgang til gjennom et eller annet slags statlig verktøy for slikt. Det finnes jo som du sier ikke bare fordeler med åpen firmware, men også potensielle ulemper og til og med potensielle farer.

 

Hvorfor skal man forby åpen og tilgjengelig firmware bare fordi det har potensiale til å brukes til ulovlig aktivitet? Da kan man jo like godt begrense folks tilgang til gater og offentlige områder gjennom portforbud, fordi folk potensielt sett kan drive vold i gatene, voldta, knuse butikkvindu, bryte seg inn i hus eller liknende ting som er ulovlig.

Endret 14. desember 2017 av zeebra

[tommyb]

 

 

Et fornuftig svar, jeg er delvis enig, delvis uenig. Jeg mener når forbruker kjøper et produkt, så bør han ha rett til å bruke dette produktet som han ønsker. En bilentusiast som vet hva han driver med har svært mange muligheter og svært få hindre i å gjøre med bilen som han ønsker, såfrem kunnskapen er der.

 

Det er normalt sett ikke slik at bilens motor f.eks er låst og hemmeligholdt. Alle med kunnskap om motor har tilgang til å drive med motor, akkurat som alle med kunnskap om software har fri mulighet til å kontrollere maskinens kompenter om disse er tilgengelig med drivere under åpen kildekode og en frihetslisens.

 

Jeg er selv idealisti på området og kunne tenke meg det hadde vært et foregangstiltak og et eksempel for verden å følge om Europa krevde åpen maskinvare, ikke gjennom maskinvaredesign og slik, men gjennom åpne drivere først og fremst, men også enten åpen eller kontrollerbar firmware, som enten brukere har tilgang til direkte, eller forbrukere har tilgang til gjennom et eller annet slags statlig verktøy for slikt. Det finnes jo som du sier ikke bare fordeler med åpen firmware, men også potensielle ulemper og til og med potensielle farer.

 

Hvorfor skal man forby åpen og tilgjengelig firmware bare fordi det har potensiale til å brukes til ulovlig aktivitet? Da kan man jo like godt begrense folks tilgang til gater og offentlige områder gjennom portforbud, fordi folk potensielt sett kan drive vold i gatene, voldta, knuse butikkvindu, bryte seg inn i hus eller liknende ting som er ulovlig.

 

 

Jeg prøver holde det kort, men: 

 

- EU kan definitivt påvirke graden av åpenhet rundt generelle massemarkedsprodukter - opp til et punkt. 

- Samtidig er det ikke ønskelig å åpne opp innsyn og mulighet til manipulasjon av laveste nivå firmware over en lav sko. Da er kampen mot malware allerede tapt. Holder her et forbehold om at kampen mot malware kan være tapt uansett. 

- Man må fortsatt beskytte retten til å ha forretningshemmeligheter/copyright. Dette er helt nødvendig innenfor nisjer eller felt der man trenger spesielt spisset kompetanse. Men det er en annen diskusjon hvor ideologisk/politisk standpunkt gjerne kommer i veien, og vi har sikkert diskutert det andre plasser allerede. 

 

- Når det kommer til det generelle "hvorfor", så er det vel ikke så mye et spørsmål om å forby åpen firmware, som å forby uønsket funksjonalitet. Mange ting er regulert, og radiosendere er blant disse. For å sette det på spissen så er det å definere samfunnsnyttige reguleringer noe av det som skiller oss fra de andre apene. 

 

- I forhold til eksemplet om drivere til mobiltelefoner: 

Jeg vet ikke noe om detaljene, men jeg vet at da jeg fulgte diskusjonene rundt Maemo, var miljøet rundt Maemo eksepsjonelt åpent. Nokia strømmet til og med utviklingsmøter foran åpent webkamera. Men Nokia fortalte at de ikke hadde lov å gi ut kildekoden til noe av hardwaren på grunn av det man da kunne bruke mobilene til - noen av driverne fikk de ikke lov å åpne. 

 

Ellers leste vi vel også at Apple argumenterte i rettsvesenet der borte at jailbreaking burde være straffbart fordi: terrorister! En jailbroken iPhone kunne gjøre skumle ting med/på mobilnettet. Men nå var det jo et vikarierende argument, da. Men i diskusjonene har jeg sett at Maemo-mobilene faktisk brukes til en rekke ting som jeg ikke kan forstå annet enn er ulovlige aktiviteter, så det var sikkert en grunn til disse reguleringene også.

Endret 14. desember 2017 av tommyb