MS´in Kaynak Kodlarını Açıklaması Güvenlik Sorunu Mu ?

0
sundance
Allchin: Kaynak Kodunu Açıklamak ABD çıkarlarını Tehdit Edebilir

Mayıs 2002'de kıdemli bir Microsoft Şirketi çalışanı, federal mahkemede rakiplerle bilgi paylaşımının ulusal güvenliği sakatlayacağını ve hatta ABD' nin Afganistan' daki savaş çabalarını tehdit edeceğini söyledi. Kendisi daha sonra bazı Microsoft kaynak kodunun emniyetli bir şekilde açıklanamayacak kadar hatalı olduğunu kabul etti.
Cesur açıklamalar ve dürüst itiraflar, Mikrosoft' un tekel oluşturucu tutumları için daha sert cezalar isteyen dokuz eyaletin ve District of Columbia nın suçlamalarını dinleyen hakim Colleen Kollar-Kotelly' nin huzurunda Jim Allchin' in iki gün süren tanıklığının parçalarıydı.

Mikrosoft' un platformlarından sorumlu grup başkanının yardımcısı olan Allchin, Redmond (Washington eyaleti) merkezli yazılım üreticisini savunmakiçin sıralanan yöneticilerin sonuncusuydu. Kendinden once gelen şirket yöneticisi ve yazılım mimari şefi Bill Gates gibi, Allchin de, mahkeme dışı anlaşamayı kabul etmeyen eyaletlerin istediği teknik bilgilerin açıklanmasından doğabilecek, kendisinin öngördüğü güvenlik problemlerinin altını çizdi.

Allchin, "Bilgisayar korsanlarının, ağların içine girme çabaları yüzünden ulusal güvenliğin de işin içine karıştığını söylemek abartı olmaz" diye ifade verdi. "Windows işletim sistemiyle çalışan bilgisayarlar, ABD Savunma Bakanlığı ve Silahlı Kuvvetleri'nce Afganistan'da ve diğer bütün yerlerde kullanılmaktadır" dedi.

Microsoft ve Adalet Bakanlığı' nın Kasım ayında üzerinde anlaştığı federal uzlaşma teklifi, şikayetçi eyaletlerin önerdiği düzeltmeye aykırı olarak, güvenliği tehlikeye sakatlayabilecek Uygulama Programı Arayüzlerini (UPA) ve protokol detaylarını Mikrosoft' un aklayabilmesine izin veren bir çıkış yolu içermekteydi. Allchin'e göre önlemler, bilgisayar korsanlarını, virüsleri, ve izinsiz kopyalamayı dikkate alarak yapılandırılmıştı.

Allchin ifadesinde, rakiplerince ve özellikle Sun Microsystems Inc. Şirketi strateji ve planlamasından sorumlu kıdemli müdür yardımcısı Jonathan Schwarts tarafından .Net' e yöneltilen uyumlu- çalışabilirlik suçlamalarına ayrıca cevap verdi. Schwartz' ı, .Net ve Java teknolojileri arasındaki uyumlu - çalışabilirliği fazlaca basitleştirmekle suçlayan Allchin, iki sistemin tam eşdeğer olmadığından karşılaştırılamayacağını savundu.

"Mikrosoft hatırı sayılır zaman ve kaynaklarını .Net ve eski teknolojiler arasındaki ortak-çalışabilirliğin sağlanmasına yatırdığını" belirten Allchin, "Sun' ın yüzde yüz saf Java uygulamalarını yücelten stratejisi uyumlu - çalışabilirliğe engel olmaktadır" dedi.

Tanıklıktaki ikinci günü boyunca Allchin, Mikrosoft'un daha şimdiden güvenlik bahanesiyle en az bir protocol ve iki UPA' nü halka açıklamamaya karar verdiğini itiraf etti.

Allchin, "Mesaj Sıralaması (Message Queuing) nın parçası olan protokolün açıklanması halinde, içerdiği kodlama hatası nedeniyle büyük şirketlerin sistemlerinin güvenliğinin tehdit altına gireceğini" belirtti.

Davacı eyaletlerin avukatı Kevin Hodges kaç tane UPA' nün açıklama dışı tutulmasının arzulandığını sorduğunda, Allchin tam rakamı bilmediğini ancak izinsiz kopyalama ve sayısal hakların yönetimiyle ilgili olan UPA' ni içereceğini söyledi. "Microsoft Windows dosya korumasıyla ilgili olarak saklı tutacağı UPA' ne çoktan karar vermiştir" diye de ekledi.

Daha fazla ayrıntı için üzerine gidildiğinde, Allchin, Mikrosoft' un güvenlik ile ilgili şöhretini düzeltmeye çalıştığından daha fazla detayları açıklamak istemediğini söylemiştir. "Mesaj Sıralaması şeyinden bahsetmiş olmak bile beni rahatsız etti" dedi.

Eran Sezgin ve arkadaşlarının değerli katkılarıyla.

Görüşler

0
Nightwalker
Walla microsoft kaynak kodunda yer aldığı idda edilen nsa backdoor olayı gerçekse amerikanın ülke güvenliğinin tehlikeye düşeceği kesin :) Öte yandan şu mesaj kuyruklama olayının nasıl bir güvenlik açığı oluşturabileceğini tam olarak anlamış değilim.
Benim bu konu hakkında bildiklerim Microsoft Message Queuing (MSMQ) teknolojisi aynı türden olmayan ağlar ve sistemler karşısında farklı zamanlarda iletişim kurmak için çalışan uygulamalara imkan verir gibi bir ifadeden ibaret peki bu güvenlik boşluğu nasıl oluşabilir ? Bu teknoloji hakkında daha detaylı bilgisi olan var mı ?
0
malkocoglu
MSMQ ile biraz kodlama yapmistim: M$ teknoloji olmasinin berbatligi bir yana, yazida bahsedilen, herhalde ciddi bir mimari hata yuzunden MSMQ'nun paket saldirilarina acik kalmasi. MSMQ'da eninde sonunda disariya servis veren herhangi bir teknoloji gibi, MSMQ acigi sayesinde kotu amacli ileti paketi yollanip karambol durumlari yaratilabiliyor demek ki. Ne guzel!

Aklima geldi: Bill amca'nin o unlu sayısal evi acaba M$ teknolojileri mi kullaniyor? Eger oyleyse hirsiz girmesi kolay olur. :) he he.

0
FZ
Benim anlamadığım şey şu: Eğer MS kaynak kodu açılırsa, yani bırakın dışarı ülke içindeki Sun Microsystems gibi firmalar dahi bu kodu görürse ülkenin güvenliği tehlikeye girer dediyse ki dedi, o zaman misal Çin´e gösterilen kaynak kodlar ülke güvenliğini tehlikeye sokmuyor mu?

Bu durumda iki seçenek var:

a- MS ülke güvenliğini tehdit etmeye başladı yani ABD yasalarına göre vatana ihanet suçu işliyor.

b- MS firmasının bir önceki iddiası (en üst düzey yöneticileri tarafından sunulan iddia) tamamen yalandı. Yani MS kamuoyunu aldattı. Bunun hesabını vermeli.

Hangi seçenek? ;-)
0
redial
c- nereye yaranmak, pardon, ulasmak istiyorsaniz oraya...
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Micros~1 yok olma tarihi

KiPSOFT_

Belkide çoğumuzun istediği olayın tarihini birkaç fütürist bilimci bulmuş ve yayınlamışlar.

"Avustralyalı 'gelecek bilimciler' Richard Watson ve Ross Dawson, 2050 yılına kadar yok olması muhtemel 'şey'leri gösteren bir çizelge hazırladı. Buna göre, gelecek yıl kül tablası, 2016'da ise bilgisayar fareleri ve emeklilik tarihe karışacak. Bu tahminlerin gerçekleşmesi zor gibi görünebilir ama onlar "Lütfen bu çizelgede kusur aramayın" diyor."

Linux Today - Boykotlasak da mı saklasak...

sundance

Distrowatch'un haftalık bülteninde yeralan habere göre LinuxToday.com Microsoft tarafından sponsor edilen anti-linux reklamlar yayınladıklarından dolayı boykot ile karşı karşıya.

Haberde LinuxWorld Australia ve LinuxPlanet'ın da sözkonusu firmanın sponsorluğunda anti-linux bannerlar yayınladığından bahsediliyor.

Ne dersiniz, pürist yaklaşıp boykota katılmak mı lazım, yoksa pembe renkli sivri kulaklı hayvandan ne kopartsak kar mıdır ?

Windows XP de Voodoo Desteğine Son

elrond

Microsoft son çıkan 2502 ve onun hemen arkasından gelen 2505, nam- ı diğer RC1 sürüm Windows XP işletim sisteminden, her tür 3Dfx driver'ını çıkardı.(Voodoo 1-2, 5000, 5500, Benshee vs.)
3Dfx'in Nvidia bünyesine geçmesi ile birlikte gelişen süreçte son darbe MS ten geldi.

Micros~1 Hacker'lara Meydan Okuyor ! Hem de XP-SP2 ile

sundance

Register.com'un haberine göre Microsoft UK'in başı, Alistair Baker, bir hackerın Windows XP-SP2 kurulu bir makinayı ele geçirdiğini görmekten oldukça etkileneceğini belirtmiş.
Firmanın bu güncellemesinin "kuma çizilmiş çizgilerin ilki" [hani yere bir çizgi çizersiniz, burayı geçersen kötü olur dersiniz, sonra da dayak yersiniz ya] olduğunu belirttiği meydan okumaya, Register'ın yorumu oldukça ilginç; "... bize belasını arıyor gibi geldi!"

Bilgisayarı Olup da Kullanamamanın Dayanılmaz Ağırlığı

FZ

Dün akşam başımdan geçen bir olayı paylaşmak istiyorum... Makinanın başında güzel güzel işime gücüme bakarken ve bir yandan "hmm, acaba önce ödevimle ilgili olarak Prolog mu çalışsam yoksa keyifli bir şekilde Common Lisp mi çalışsam" diye düşünürken ve Emacs'i her ikisi için de ayarlamış, dosyaları filan açmışken telefonum acı acı çaldı. Arayan, İTÜ Matematik Müh. bölümünden bir dostumdu. Kendisi birkaç yıldır bir lisede matematik öğretmenliği yapıyordu. Müsait olup olmadığımı, bana gelip bilgisayarımı kullanması gerektiğini söyledi. Hay hay, tabii ki dedim ve şöyle düşündüm: Bu dostumun evinde iki bilgisayar var, gemi mühendisi eşinin kullandığı güçlü bir bilgisayar ve kendisinin kullandığı yine yeni alınmış sağlam bir alet, herhalde ikisinde de ciddi bir sorun oldu ki bana gelmesi gerekti. Biraz sonra okuyacağınız gibi durum biraz daha çetrefilli imiş...