[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [DFRI-listan] Säkerhet och integritet
- To: "Sven Ruin" <sven.ruin@xxxxxxxx>
- Subject: Re: [DFRI-listan] Säkerhet och integritet
- From: Linus Nordberg <linus@xxxxxxxxxxx>
- Date: Wed, 11 Mar 2015 13:56:28 +0100
- Cc: <listan@xxxxxxxxxxxxx>
- In-reply-to: <057701d05720$69ef3a00$3dcdae00$@ruin@teroc.se> (Sven Ruin's message of "Thu, 5 Mar 2015 09:43:09 +0100")
- References: <057701d05720$69ef3a00$3dcdae00$@ruin@teroc.se>
- User-agent: Gnus/5.13 (Gnus v5.13)
(Skickar om det här mejlet pga en felkonfad mejlserver. Ev. har vi
tappat fler brev, så om du har skickat nyligen, senaste veckan, men inte
sett det bli postat till listan (se
t.ex. http://news.gmane.org/gmane.org.user-groups.dfri) så får vi be dig
att skicka om. Ursäkta.)
"Sven Ruin" <sven.ruin@xxxxxxxx> wrote
Thu, 5 Mar 2015 09:43:09 +0100:
| Den första idén handlar om ett grundläggande åtagande för säkerhet och
| integritet, för att motverka t.ex. avsiktliga sårbarheter, vilket kan
| äventyra alla typer av programvara (även om sårbarheter bör vara mer benägna
| att upptäckas och korrigeras vid FOSS). På engelska kallar jag det för
| ”commitment to security and privacy”. Jag tror ett sådant frivilligt
| åtagande bör formuleras och lanseras så att det kan undertecknas av
| individer, företag och andra organisationer. Således bör det i framtiden bli
| möjligt att välja leverantörer och anställda baserat på om de har
| undertecknat åtagandet eller inte.
Tänker du dig att det skall krävas någon slags certifiering för att för
få stå med som undertecknare av åtagandet? Tänker du dig något annat mer
konkret som det innebär att vara med?
| Den andra idén handlar om skadlig kod i firmware, som verkar vara osynlig
| (se till exempel
| http://www.kaspersky.com/about/news/virus/2015/Equation-Group-The-Crown-Creator-of-Cyber-Espionage). Jag tänker att förmågan att kontrollera äktheten –
| inte minst av firmware (om möjligt) – är en viktig fråga. Ett sätt kan vara
| att fylla allt utrymme för firmware med önskat innehåll (förmodligen
| exekverbart) som har en funktion, för att lämna ”inte lämna något utrymme åt
| skurkarna”. Om det alltså inte är möjligt för användaren att scanna denna
| del av minnet på ett normalt sätt, bör det ändå vara möjligt för användaren
| att kontrollera att all önskad funktionalitet är där och jämföra
| funktionalitet med öppen källkod. Vidare bör firmware programmeras på sådant
| sätt, att det är omöjligt att få samma funktion om firmware har
| komprometterats. Förmodligen är Gluglug/Libreboot i en bra position för att
| genomföra FOSS för detta ändamål.
Jag tror mer på ett "binary transparency"-system för detta, jmf
"certificate transparency".
--
DFRI-listan är öppen för alla.
Listan arkiveras och publiceras öppet på internet.
Arkiv: http://dir.gmane.org/gmane.org.user-groups.dfri
Listpolicy: https://www.dfri.se/regler-for-listan