Proponowane streszczenie 15 minutowej prezentacji o bezpieczeństwie FLOSS. Wszelkie pomysły/modyfikacje bardzo mile widziane.
Czy otwarte znaczy bezpieczne?
Dokładny plan prelekcji jest jeszcze nie gotowy, na razie chaotycznie opiszę wybrane pomysły.
Chcemy przekonać audytorium, że otwarte jest bezpieczne (wbrew pozorom).
Audytorium bez wiedzy technicznej, a więc postaram się, żeby prezentacja była odpowiednio "prosta".
Bardzo krótko o historii ochrony danych, zasady Kerkhoffa (algorytm nie powinnien być utajniany)
Otwarty kod źródłowy, ale zamknięty dostęp do danych aplikacji.
Kryptografia jest bardzo trudną dziedziną informatyki, co powoduje upracowanie dobrego, bezpieczenego systemu byłoby bardzo drogie. A jego gruntowne przetestowanie i ciągła kontrola jeszcze droższe. Dlatego właściwie żadna instytucja nie powinna tworzyć swoich algorytmów, trzeba korzystać z dostępnego otwartego oprogramowania.
Błędy programistyczne i ich naprawa. Popularne oprogramowanie FLOSS jest stale przeglądane przez tysiące programistów, a więc błędy są znajdywane i poprawiane bardzo szybko.
Otwartość kodu źródłowego powoduje znaczne utrudnienie wpisania do niego jakiś celowych błędów, czy manipulacji. W przypadku kodu zamkniętego praktycznie nie ma możliwości pełnej kontroli działania programu.
Bezpieczeństwo to stan, który zmienia się bardzo szybko. Oprogramowanie FLOSS, nad którym pracują setki tysięcy ludzi (najczęściej specjalistów) na całym świecie, najszybciej może za tymi zmianami nadążać.
Kilka przykładów pakietów FLOSS, które służą do ochrony danych, a są używane szeroko (bez technicznych aspektów, bo przecież mówimy do urzędników):
SSL, głównie do HTTPS,
SSH? (ten przykład chyba nie jest zbyt popularny wśród urzędników)
jakieś inne przykłady ...
Otwarte oprogramowanie nie jest automatem tworzącym bezpieczny system. Jednak w rękach specjalisty daje łatwą możliwość stworzenia systemu o najwyższym możliwym poziomie zaufania.
Kryptolodzy publikują kod źródłowy algorytmów, żeby udowodnić, że nie ma w nim błędów.
Zdecydowana większość specjalistów z bezpieczeństwa IT, pracuję w oparciu o FLOSS, który nieograniczona sztucznie ich możliwości.
....
cdn.
Wszelkie pomysły/modyfikacje/komentarze bardzo mile widziane.
Komentarze
WojciechKaczmarek: Kilka dni temu
![[WWW]](/htdocs/modern/img/moin-www.png)
Coverity opublikowała raport, w którym stwierdza się, że w jądrze 2.6.12 nie znaleziono tzw. krytycznych błędów, a krytyczne błędy wskazane w ubiegłorocznym raporcie zostały poprawione. Równolegle można przeczytać doniesienia F-Secure dotyczące innego systemu, który ma szansę wejść do polskiej administracji. Wrażenia z lektury są odmienne, choć równie fascynujące. BartoszSawicki: Dziękuje za ciekawe informacje. Oczywiście w prezentacji bedę się starał zacytować kilka różnych raportów.
WojciechKaczmarek: Pomysł 1: To, co zostanie powiedziane, można potwierdzić efektowną prezentacją opartą na Knoppicillin,
Housecall, BOSS, ... . Jeśli chodzi o pierwszy produkt, to zawiera on kilka komercyjnych sterowników, więc trzeba by kupić / zamówić c't 04/20 za 0,80 euro i uaktualnić Knoppicillin do wersji 3.1 BartoszSawicki: Z mojego doświadczenia prezentacyjnego wynika, że przy tak krótkiej (15 min.) formie - demonstacje wprowadzają więcej zamieszania, niż pożytku. Raczej nie przewiduję żadnych demonstracji, chociaż oczywiście demonstracje jako takie są bardzo przemawiające (ale nie w 15 minut).