[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[DFRI-listan] Säkerhet och integritet



Hej

 

Jag skulle vara mycket tacksam att få synpunkter på några idéer som jag har diskuterat med Free Software Foundation.

 

Den första idén handlar om ett grundläggande åtagande för säkerhet och integritet, för att motverka t.ex. avsiktliga sårbarheter, vilket kan äventyra alla typer av programvara (även om sårbarheter bör vara mer benägna att upptäckas och korrigeras vid FOSS). På engelska kallar jag det för ”commitment to security and privacy”. Jag tror ett sådant frivilligt åtagande bör formuleras och lanseras så att det kan undertecknas av individer, företag och andra organisationer. Således bör det i framtiden bli möjligt att välja leverantörer och anställda baserat på om de har undertecknat åtagandet eller inte.

 

Den andra idén handlar om skadlig kod i firmware, som verkar vara osynlig (se till exempel http://www.kaspersky.com/about/news/virus/2015/Equation-Group-The-Crown-Creator-of-Cyber-Espionage). Jag tänker att förmågan att kontrollera äktheten – inte minst av firmware (om möjligt) – är en viktig fråga. Ett sätt kan vara att fylla allt utrymme för firmware med önskat innehåll (förmodligen exekverbart) som har en funktion, för att lämna ”inte lämna något utrymme åt skurkarna”. Om det alltså inte är möjligt för användaren att scanna denna del av minnet på ett normalt sätt, bör det ändå vara möjligt för användaren att kontrollera att all önskad funktionalitet är där och jämföra funktionalitet med öppen källkod. Vidare bör firmware programmeras på sådant sätt, att det är omöjligt att få samma funktion om firmware har komprometterats. Förmodligen är Gluglug/Libreboot i en bra position för att genomföra FOSS för detta ändamål.

 

Om någon tycker detta kan vara intressant, kanske något förslag kan formuleras för att tas upp med andra organisationer.

 

Sven