MS´in Kaynak Kodlarını Açıklaması Güvenlik Sorunu Mu ?

0
sundance
Allchin: Kaynak Kodunu Açıklamak ABD çıkarlarını Tehdit Edebilir

Mayıs 2002'de kıdemli bir Microsoft Şirketi çalışanı, federal mahkemede rakiplerle bilgi paylaşımının ulusal güvenliği sakatlayacağını ve hatta ABD' nin Afganistan' daki savaş çabalarını tehdit edeceğini söyledi. Kendisi daha sonra bazı Microsoft kaynak kodunun emniyetli bir şekilde açıklanamayacak kadar hatalı olduğunu kabul etti.
Cesur açıklamalar ve dürüst itiraflar, Mikrosoft' un tekel oluşturucu tutumları için daha sert cezalar isteyen dokuz eyaletin ve District of Columbia nın suçlamalarını dinleyen hakim Colleen Kollar-Kotelly' nin huzurunda Jim Allchin' in iki gün süren tanıklığının parçalarıydı.

Mikrosoft' un platformlarından sorumlu grup başkanının yardımcısı olan Allchin, Redmond (Washington eyaleti) merkezli yazılım üreticisini savunmakiçin sıralanan yöneticilerin sonuncusuydu. Kendinden once gelen şirket yöneticisi ve yazılım mimari şefi Bill Gates gibi, Allchin de, mahkeme dışı anlaşamayı kabul etmeyen eyaletlerin istediği teknik bilgilerin açıklanmasından doğabilecek, kendisinin öngördüğü güvenlik problemlerinin altını çizdi.

Allchin, "Bilgisayar korsanlarının, ağların içine girme çabaları yüzünden ulusal güvenliğin de işin içine karıştığını söylemek abartı olmaz" diye ifade verdi. "Windows işletim sistemiyle çalışan bilgisayarlar, ABD Savunma Bakanlığı ve Silahlı Kuvvetleri'nce Afganistan'da ve diğer bütün yerlerde kullanılmaktadır" dedi.

Microsoft ve Adalet Bakanlığı' nın Kasım ayında üzerinde anlaştığı federal uzlaşma teklifi, şikayetçi eyaletlerin önerdiği düzeltmeye aykırı olarak, güvenliği tehlikeye sakatlayabilecek Uygulama Programı Arayüzlerini (UPA) ve protokol detaylarını Mikrosoft' un aklayabilmesine izin veren bir çıkış yolu içermekteydi. Allchin'e göre önlemler, bilgisayar korsanlarını, virüsleri, ve izinsiz kopyalamayı dikkate alarak yapılandırılmıştı.

Allchin ifadesinde, rakiplerince ve özellikle Sun Microsystems Inc. Şirketi strateji ve planlamasından sorumlu kıdemli müdür yardımcısı Jonathan Schwarts tarafından .Net' e yöneltilen uyumlu- çalışabilirlik suçlamalarına ayrıca cevap verdi. Schwartz' ı, .Net ve Java teknolojileri arasındaki uyumlu - çalışabilirliği fazlaca basitleştirmekle suçlayan Allchin, iki sistemin tam eşdeğer olmadığından karşılaştırılamayacağını savundu.

"Mikrosoft hatırı sayılır zaman ve kaynaklarını .Net ve eski teknolojiler arasındaki ortak-çalışabilirliğin sağlanmasına yatırdığını" belirten Allchin, "Sun' ın yüzde yüz saf Java uygulamalarını yücelten stratejisi uyumlu - çalışabilirliğe engel olmaktadır" dedi.

Tanıklıktaki ikinci günü boyunca Allchin, Mikrosoft'un daha şimdiden güvenlik bahanesiyle en az bir protocol ve iki UPA' nü halka açıklamamaya karar verdiğini itiraf etti.

Allchin, "Mesaj Sıralaması (Message Queuing) nın parçası olan protokolün açıklanması halinde, içerdiği kodlama hatası nedeniyle büyük şirketlerin sistemlerinin güvenliğinin tehdit altına gireceğini" belirtti.

Davacı eyaletlerin avukatı Kevin Hodges kaç tane UPA' nün açıklama dışı tutulmasının arzulandığını sorduğunda, Allchin tam rakamı bilmediğini ancak izinsiz kopyalama ve sayısal hakların yönetimiyle ilgili olan UPA' ni içereceğini söyledi. "Microsoft Windows dosya korumasıyla ilgili olarak saklı tutacağı UPA' ne çoktan karar vermiştir" diye de ekledi.

Daha fazla ayrıntı için üzerine gidildiğinde, Allchin, Mikrosoft' un güvenlik ile ilgili şöhretini düzeltmeye çalıştığından daha fazla detayları açıklamak istemediğini söylemiştir. "Mesaj Sıralaması şeyinden bahsetmiş olmak bile beni rahatsız etti" dedi.

Eran Sezgin ve arkadaşlarının değerli katkılarıyla.

Görüşler

0
Nightwalker
Walla microsoft kaynak kodunda yer aldığı idda edilen nsa backdoor olayı gerçekse amerikanın ülke güvenliğinin tehlikeye düşeceği kesin :) Öte yandan şu mesaj kuyruklama olayının nasıl bir güvenlik açığı oluşturabileceğini tam olarak anlamış değilim.
Benim bu konu hakkında bildiklerim Microsoft Message Queuing (MSMQ) teknolojisi aynı türden olmayan ağlar ve sistemler karşısında farklı zamanlarda iletişim kurmak için çalışan uygulamalara imkan verir gibi bir ifadeden ibaret peki bu güvenlik boşluğu nasıl oluşabilir ? Bu teknoloji hakkında daha detaylı bilgisi olan var mı ?
0
malkocoglu
MSMQ ile biraz kodlama yapmistim: M$ teknoloji olmasinin berbatligi bir yana, yazida bahsedilen, herhalde ciddi bir mimari hata yuzunden MSMQ'nun paket saldirilarina acik kalmasi. MSMQ'da eninde sonunda disariya servis veren herhangi bir teknoloji gibi, MSMQ acigi sayesinde kotu amacli ileti paketi yollanip karambol durumlari yaratilabiliyor demek ki. Ne guzel!

Aklima geldi: Bill amca'nin o unlu sayısal evi acaba M$ teknolojileri mi kullaniyor? Eger oyleyse hirsiz girmesi kolay olur. :) he he.

0
FZ
Benim anlamadığım şey şu: Eğer MS kaynak kodu açılırsa, yani bırakın dışarı ülke içindeki Sun Microsystems gibi firmalar dahi bu kodu görürse ülkenin güvenliği tehlikeye girer dediyse ki dedi, o zaman misal Çin´e gösterilen kaynak kodlar ülke güvenliğini tehlikeye sokmuyor mu?

Bu durumda iki seçenek var:

a- MS ülke güvenliğini tehdit etmeye başladı yani ABD yasalarına göre vatana ihanet suçu işliyor.

b- MS firmasının bir önceki iddiası (en üst düzey yöneticileri tarafından sunulan iddia) tamamen yalandı. Yani MS kamuoyunu aldattı. Bunun hesabını vermeli.

Hangi seçenek? ;-)
0
redial
c- nereye yaranmak, pardon, ulasmak istiyorsaniz oraya...
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Eyvah! Mahvolduk!

cayfer

Micros~1 Win98'den ve NT4.x'ten desteğini çekiyormus! Bu haberi duyanların olası tepkilerini şöyle hayal ediyorum:
  1. Nesini çekiyormuş?
  2. Aaaaa! Desteği var mıymış ki?
  3. Nasıl yani?
  4. Böylesi Win98 ve NT4 kullanıcıları için daha iyi olabilir.
  5. Farketmez ki!
  6. Oh be... zırt pırt 300 MB "patch" indirmekten kurtulduk!
  7. Eyvah! Ben bittim!
  8. Keh keh!

Vista'nın 25 eksikliği

sundance

Internet'te öylesine dolaşırken, şu habere denk geldim.

Yazıda Vista'nın ne gibi zayıflık/eksiklikleri olduğu yorumlanıyor ve bunların Windows XP'den Vista'ya geçmektense, GNU/Linux'a geçmeyi daha mantıklı kılacak sebepler olacağı vurgulanıyordu. Herne kadar yazılanların hepsine katılmasam da, benim de kafamda ciddi soru işaretleri uyandıran bazı bulguları sizlerle paylaşmak istedim.

Kişisel bilgileriniz ne kadar ucuz?

sundance

Siz de Micros~1'un en son, en yeni yazılımlarınızı kullanmak istiyor ve/fakat yüzlerce dolar ödemek istemiyor musunuz?

Hayır, hayır GNU/Linux kullanın demiyceceğiz.(FM'i takip ediyorsanız bunu gereğinden bile fazla duyuyorsunuzdur.) Fakat Windows'dan vazgeçemeyip, fiyatından vazgeçenler için yeni bir kampanya var. Hem de tek kuruş ödemeden Windows Vista Ultimate, Office 2007, or Microsoft Money Plus'a sahip olabiliyorsunuz.

Skype kaynak kodu lazım mıydı?

coskung

Microsoft firması 8.5 Milyar Dolar bayılıp Skype'ı ebay'den satın aldıktan sonra, hükümetin istediği özellikleri (back door) ekleyelim derken, uygulamanın kaynak kodlarını çaldırdı. Kaynak

Microsoft Java Desteğini Çekiyor

anonim

Önceki hafta, Microsoft yeni XP işletim sisteminde JVM'yi (Java Virtual Machine) bulundurmayacağını açıkladı. Bu demek oluyor ki, XP'nizi kurup internete bağlandığınızda ve yahoo'nun oyun sunucusuna girdiğinizde o güzelim oyunları oynayamıyor olacaksınız.
Çözüm? Görünürde oldukça basit aslında, kullanıcı JVM'yi netten indirip yükleyebilir ve bütün sorunlar çözülür. Ancak ortalama bir bilgisayar kullanıcısından JVM'nin ne olduğunu bilmesini beklemek iyimser bir yaklaşım olur.