MS´in Kaynak Kodlarını Açıklaması Güvenlik Sorunu Mu ?

0
sundance
Allchin: Kaynak Kodunu Açıklamak ABD çıkarlarını Tehdit Edebilir

Mayıs 2002'de kıdemli bir Microsoft Şirketi çalışanı, federal mahkemede rakiplerle bilgi paylaşımının ulusal güvenliği sakatlayacağını ve hatta ABD' nin Afganistan' daki savaş çabalarını tehdit edeceğini söyledi. Kendisi daha sonra bazı Microsoft kaynak kodunun emniyetli bir şekilde açıklanamayacak kadar hatalı olduğunu kabul etti.
Cesur açıklamalar ve dürüst itiraflar, Mikrosoft' un tekel oluşturucu tutumları için daha sert cezalar isteyen dokuz eyaletin ve District of Columbia nın suçlamalarını dinleyen hakim Colleen Kollar-Kotelly' nin huzurunda Jim Allchin' in iki gün süren tanıklığının parçalarıydı.

Mikrosoft' un platformlarından sorumlu grup başkanının yardımcısı olan Allchin, Redmond (Washington eyaleti) merkezli yazılım üreticisini savunmakiçin sıralanan yöneticilerin sonuncusuydu. Kendinden once gelen şirket yöneticisi ve yazılım mimari şefi Bill Gates gibi, Allchin de, mahkeme dışı anlaşamayı kabul etmeyen eyaletlerin istediği teknik bilgilerin açıklanmasından doğabilecek, kendisinin öngördüğü güvenlik problemlerinin altını çizdi.

Allchin, "Bilgisayar korsanlarının, ağların içine girme çabaları yüzünden ulusal güvenliğin de işin içine karıştığını söylemek abartı olmaz" diye ifade verdi. "Windows işletim sistemiyle çalışan bilgisayarlar, ABD Savunma Bakanlığı ve Silahlı Kuvvetleri'nce Afganistan'da ve diğer bütün yerlerde kullanılmaktadır" dedi.

Microsoft ve Adalet Bakanlığı' nın Kasım ayında üzerinde anlaştığı federal uzlaşma teklifi, şikayetçi eyaletlerin önerdiği düzeltmeye aykırı olarak, güvenliği tehlikeye sakatlayabilecek Uygulama Programı Arayüzlerini (UPA) ve protokol detaylarını Mikrosoft' un aklayabilmesine izin veren bir çıkış yolu içermekteydi. Allchin'e göre önlemler, bilgisayar korsanlarını, virüsleri, ve izinsiz kopyalamayı dikkate alarak yapılandırılmıştı.

Allchin ifadesinde, rakiplerince ve özellikle Sun Microsystems Inc. Şirketi strateji ve planlamasından sorumlu kıdemli müdür yardımcısı Jonathan Schwarts tarafından .Net' e yöneltilen uyumlu- çalışabilirlik suçlamalarına ayrıca cevap verdi. Schwartz' ı, .Net ve Java teknolojileri arasındaki uyumlu - çalışabilirliği fazlaca basitleştirmekle suçlayan Allchin, iki sistemin tam eşdeğer olmadığından karşılaştırılamayacağını savundu.

"Mikrosoft hatırı sayılır zaman ve kaynaklarını .Net ve eski teknolojiler arasındaki ortak-çalışabilirliğin sağlanmasına yatırdığını" belirten Allchin, "Sun' ın yüzde yüz saf Java uygulamalarını yücelten stratejisi uyumlu - çalışabilirliğe engel olmaktadır" dedi.

Tanıklıktaki ikinci günü boyunca Allchin, Mikrosoft'un daha şimdiden güvenlik bahanesiyle en az bir protocol ve iki UPA' nü halka açıklamamaya karar verdiğini itiraf etti.

Allchin, "Mesaj Sıralaması (Message Queuing) nın parçası olan protokolün açıklanması halinde, içerdiği kodlama hatası nedeniyle büyük şirketlerin sistemlerinin güvenliğinin tehdit altına gireceğini" belirtti.

Davacı eyaletlerin avukatı Kevin Hodges kaç tane UPA' nün açıklama dışı tutulmasının arzulandığını sorduğunda, Allchin tam rakamı bilmediğini ancak izinsiz kopyalama ve sayısal hakların yönetimiyle ilgili olan UPA' ni içereceğini söyledi. "Microsoft Windows dosya korumasıyla ilgili olarak saklı tutacağı UPA' ne çoktan karar vermiştir" diye de ekledi.

Daha fazla ayrıntı için üzerine gidildiğinde, Allchin, Mikrosoft' un güvenlik ile ilgili şöhretini düzeltmeye çalıştığından daha fazla detayları açıklamak istemediğini söylemiştir. "Mesaj Sıralaması şeyinden bahsetmiş olmak bile beni rahatsız etti" dedi.

Eran Sezgin ve arkadaşlarının değerli katkılarıyla.

Görüşler

0
Nightwalker
Walla microsoft kaynak kodunda yer aldığı idda edilen nsa backdoor olayı gerçekse amerikanın ülke güvenliğinin tehlikeye düşeceği kesin :) Öte yandan şu mesaj kuyruklama olayının nasıl bir güvenlik açığı oluşturabileceğini tam olarak anlamış değilim.
Benim bu konu hakkında bildiklerim Microsoft Message Queuing (MSMQ) teknolojisi aynı türden olmayan ağlar ve sistemler karşısında farklı zamanlarda iletişim kurmak için çalışan uygulamalara imkan verir gibi bir ifadeden ibaret peki bu güvenlik boşluğu nasıl oluşabilir ? Bu teknoloji hakkında daha detaylı bilgisi olan var mı ?
0
malkocoglu
MSMQ ile biraz kodlama yapmistim: M$ teknoloji olmasinin berbatligi bir yana, yazida bahsedilen, herhalde ciddi bir mimari hata yuzunden MSMQ'nun paket saldirilarina acik kalmasi. MSMQ'da eninde sonunda disariya servis veren herhangi bir teknoloji gibi, MSMQ acigi sayesinde kotu amacli ileti paketi yollanip karambol durumlari yaratilabiliyor demek ki. Ne guzel!

Aklima geldi: Bill amca'nin o unlu sayısal evi acaba M$ teknolojileri mi kullaniyor? Eger oyleyse hirsiz girmesi kolay olur. :) he he.

0
FZ
Benim anlamadığım şey şu: Eğer MS kaynak kodu açılırsa, yani bırakın dışarı ülke içindeki Sun Microsystems gibi firmalar dahi bu kodu görürse ülkenin güvenliği tehlikeye girer dediyse ki dedi, o zaman misal Çin´e gösterilen kaynak kodlar ülke güvenliğini tehlikeye sokmuyor mu?

Bu durumda iki seçenek var:

a- MS ülke güvenliğini tehdit etmeye başladı yani ABD yasalarına göre vatana ihanet suçu işliyor.

b- MS firmasının bir önceki iddiası (en üst düzey yöneticileri tarafından sunulan iddia) tamamen yalandı. Yani MS kamuoyunu aldattı. Bunun hesabını vermeli.

Hangi seçenek? ;-)
0
redial
c- nereye yaranmak, pardon, ulasmak istiyorsaniz oraya...
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Ah Microsoft Vah Microsoft...

elrond

Bildiğimiz gibi Passport.com Microsoft`un .Net vizyonunun en önemli mihenk taşlarından biri. Passport servislerinin en güzel kullanım yerlerinden biri de e-Wallet. Evet! Bildiniz! Passport Authentication`da tespit edilen bir güvenlik açığı nedeniyle servis geçici olarak hizmet dışı. (Ne yalan söyleyeyim ben bile bu servisi güvenip te kullanmamıştım)

Microsoft ClearType Tuner

Tarık

LCD ya da yüksek kalitede düz panel bir ekranınız var ve uzun süre Windows XP ortamında çalışmanız gerekiyor. Fakat gözünüze garip gelen birşeyler var ya da yazıları okumak bir zaman sonra gözünüzü yoruyor, okunabilirlik sorunu yaşıyorsunuz. Ekranınızın donanım ayarlarıyla oynuyorsunuz bir nebze olsun ayar tutturabildiniz. Ama kesinlikle yeterli olmadı. Sanırım Microsoft içinde de birileri böyle bir sorun yaşamış ki şu çevrimiçi ayarlayıcıyı geliştirip sitelerine yerleştirmişler.

Micros~1'da Linux?

fsniper

Son XPSP2 konusundaki blogları incelerken karşıma çıkan ilginç linkleri sizlerle paylaşmak istedim. Konu hakkında yorum yapmak istemiyorum. Zaten herşey ortada :)

link 1
link 2
Link 3

Toplam sahip olma maliyeti - (devam) (SUS raporu)

cayfer

Geçen hafta Blast/Welchia solucanları ve MS işletmeme sistemleriyle ilgili güncelleme yamaları ile ilgili sıkıntılardan söz ederek birşeyler karalamıştım.

IE'de yeni güvenlik açığı

Challenger

"Yine mi?" dediğinizi duyar gibiyim. NTVMSNBC' de yer alan bu heberde "Güvenlik açığının arka-kapı açılarak, crackerların kullanıcının bilgisayarına sızabilecekleri ifade edildi. Açığı suistimal eden programın internet sitelerine konulduğu ve kullanıcıların internette dolaşırken, söz konusu açığı kullanan programı kapabilecekleri belirtildi. Microsoft güvenlik yetkilisi Stephen Toulouse, “Gerekli güvenlik yamalarının tamamlanması için hızlı bir şekilde çalıştıklarını” ifade etti." deniliyor.

Microsoft geleneğine uygun olarak bu açığa yama henüz çıkmış değil. İşin asıl ilginç yanı şu cümlede saklı: "Internet Storm Center ise daha ileriye giderek, internet girmek isteyen kullanıcıların bir süre için IE’den başka bir tarayıcı kullanmalarını önerdi."

Konu ile ilgili diğer kaynaklar: isc.incidents.org, Microsoft

Editörün Notu: Mozilla, FireFox, vs. gibi kolay kullanılan ve güvenli yazılımları çevremizde yaymak, eşimize dostumuza güzelce anlatmak ve onlara yardımcı olmak için bir sebep daha (olmadı masaüstü Mozilla ikonunu alışılmış IE mavi e ikonu ile değiştirin ;-).