MS´in Kaynak Kodlarını Açıklaması Güvenlik Sorunu Mu ?

0
sundance
Allchin: Kaynak Kodunu Açıklamak ABD çıkarlarını Tehdit Edebilir

Mayıs 2002'de kıdemli bir Microsoft Şirketi çalışanı, federal mahkemede rakiplerle bilgi paylaşımının ulusal güvenliği sakatlayacağını ve hatta ABD' nin Afganistan' daki savaş çabalarını tehdit edeceğini söyledi. Kendisi daha sonra bazı Microsoft kaynak kodunun emniyetli bir şekilde açıklanamayacak kadar hatalı olduğunu kabul etti.
Cesur açıklamalar ve dürüst itiraflar, Mikrosoft' un tekel oluşturucu tutumları için daha sert cezalar isteyen dokuz eyaletin ve District of Columbia nın suçlamalarını dinleyen hakim Colleen Kollar-Kotelly' nin huzurunda Jim Allchin' in iki gün süren tanıklığının parçalarıydı.

Mikrosoft' un platformlarından sorumlu grup başkanının yardımcısı olan Allchin, Redmond (Washington eyaleti) merkezli yazılım üreticisini savunmakiçin sıralanan yöneticilerin sonuncusuydu. Kendinden once gelen şirket yöneticisi ve yazılım mimari şefi Bill Gates gibi, Allchin de, mahkeme dışı anlaşamayı kabul etmeyen eyaletlerin istediği teknik bilgilerin açıklanmasından doğabilecek, kendisinin öngördüğü güvenlik problemlerinin altını çizdi.

Allchin, "Bilgisayar korsanlarının, ağların içine girme çabaları yüzünden ulusal güvenliğin de işin içine karıştığını söylemek abartı olmaz" diye ifade verdi. "Windows işletim sistemiyle çalışan bilgisayarlar, ABD Savunma Bakanlığı ve Silahlı Kuvvetleri'nce Afganistan'da ve diğer bütün yerlerde kullanılmaktadır" dedi.

Microsoft ve Adalet Bakanlığı' nın Kasım ayında üzerinde anlaştığı federal uzlaşma teklifi, şikayetçi eyaletlerin önerdiği düzeltmeye aykırı olarak, güvenliği tehlikeye sakatlayabilecek Uygulama Programı Arayüzlerini (UPA) ve protokol detaylarını Mikrosoft' un aklayabilmesine izin veren bir çıkış yolu içermekteydi. Allchin'e göre önlemler, bilgisayar korsanlarını, virüsleri, ve izinsiz kopyalamayı dikkate alarak yapılandırılmıştı.

Allchin ifadesinde, rakiplerince ve özellikle Sun Microsystems Inc. Şirketi strateji ve planlamasından sorumlu kıdemli müdür yardımcısı Jonathan Schwarts tarafından .Net' e yöneltilen uyumlu- çalışabilirlik suçlamalarına ayrıca cevap verdi. Schwartz' ı, .Net ve Java teknolojileri arasındaki uyumlu - çalışabilirliği fazlaca basitleştirmekle suçlayan Allchin, iki sistemin tam eşdeğer olmadığından karşılaştırılamayacağını savundu.

"Mikrosoft hatırı sayılır zaman ve kaynaklarını .Net ve eski teknolojiler arasındaki ortak-çalışabilirliğin sağlanmasına yatırdığını" belirten Allchin, "Sun' ın yüzde yüz saf Java uygulamalarını yücelten stratejisi uyumlu - çalışabilirliğe engel olmaktadır" dedi.

Tanıklıktaki ikinci günü boyunca Allchin, Mikrosoft'un daha şimdiden güvenlik bahanesiyle en az bir protocol ve iki UPA' nü halka açıklamamaya karar verdiğini itiraf etti.

Allchin, "Mesaj Sıralaması (Message Queuing) nın parçası olan protokolün açıklanması halinde, içerdiği kodlama hatası nedeniyle büyük şirketlerin sistemlerinin güvenliğinin tehdit altına gireceğini" belirtti.

Davacı eyaletlerin avukatı Kevin Hodges kaç tane UPA' nün açıklama dışı tutulmasının arzulandığını sorduğunda, Allchin tam rakamı bilmediğini ancak izinsiz kopyalama ve sayısal hakların yönetimiyle ilgili olan UPA' ni içereceğini söyledi. "Microsoft Windows dosya korumasıyla ilgili olarak saklı tutacağı UPA' ne çoktan karar vermiştir" diye de ekledi.

Daha fazla ayrıntı için üzerine gidildiğinde, Allchin, Mikrosoft' un güvenlik ile ilgili şöhretini düzeltmeye çalıştığından daha fazla detayları açıklamak istemediğini söylemiştir. "Mesaj Sıralaması şeyinden bahsetmiş olmak bile beni rahatsız etti" dedi.

Eran Sezgin ve arkadaşlarının değerli katkılarıyla.

Görüşler

0
Nightwalker
Walla microsoft kaynak kodunda yer aldığı idda edilen nsa backdoor olayı gerçekse amerikanın ülke güvenliğinin tehlikeye düşeceği kesin :) Öte yandan şu mesaj kuyruklama olayının nasıl bir güvenlik açığı oluşturabileceğini tam olarak anlamış değilim.
Benim bu konu hakkında bildiklerim Microsoft Message Queuing (MSMQ) teknolojisi aynı türden olmayan ağlar ve sistemler karşısında farklı zamanlarda iletişim kurmak için çalışan uygulamalara imkan verir gibi bir ifadeden ibaret peki bu güvenlik boşluğu nasıl oluşabilir ? Bu teknoloji hakkında daha detaylı bilgisi olan var mı ?
0
malkocoglu
MSMQ ile biraz kodlama yapmistim: M$ teknoloji olmasinin berbatligi bir yana, yazida bahsedilen, herhalde ciddi bir mimari hata yuzunden MSMQ'nun paket saldirilarina acik kalmasi. MSMQ'da eninde sonunda disariya servis veren herhangi bir teknoloji gibi, MSMQ acigi sayesinde kotu amacli ileti paketi yollanip karambol durumlari yaratilabiliyor demek ki. Ne guzel!

Aklima geldi: Bill amca'nin o unlu sayısal evi acaba M$ teknolojileri mi kullaniyor? Eger oyleyse hirsiz girmesi kolay olur. :) he he.

0
FZ
Benim anlamadığım şey şu: Eğer MS kaynak kodu açılırsa, yani bırakın dışarı ülke içindeki Sun Microsystems gibi firmalar dahi bu kodu görürse ülkenin güvenliği tehlikeye girer dediyse ki dedi, o zaman misal Çin´e gösterilen kaynak kodlar ülke güvenliğini tehlikeye sokmuyor mu?

Bu durumda iki seçenek var:

a- MS ülke güvenliğini tehdit etmeye başladı yani ABD yasalarına göre vatana ihanet suçu işliyor.

b- MS firmasının bir önceki iddiası (en üst düzey yöneticileri tarafından sunulan iddia) tamamen yalandı. Yani MS kamuoyunu aldattı. Bunun hesabını vermeli.

Hangi seçenek? ;-)
0
redial
c- nereye yaranmak, pardon, ulasmak istiyorsaniz oraya...
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Microsoft, SCO´dan UNIX Kodunun Lisansını Alıyor!

eepp

Microsoft, SCO grubu ile, UNIX işletim sisteminin kodlarına erişim hakkı için lisans anlaşması imzalıyor. Windows-Linux savaşlarına da ciddi bir etkisi olacağı düşünülen gelişme sanılanın aksine Microsoft'a UNIX patentinin sahipliğini sağlamıyor. Microsoft yetkilileri, girişimin platformlar arası bütünleşmenin daha iyi olabilmesi için yapıldığını belirtiyorlar. Daha ayrıntılı bilgi için:news.com.com/2100-1016_3-1007528.html

MS-Windows ve Sahip olma maliyeti (TCO) hakkında

cayfer

Dostlar "artık yetti senin Micros~1 aleyhinde yazdıkların" diyecek ama n'apayım; elimde değil. Herkesin kendine göre bir derdi var...

Bütün gün firewall, spam-virus kontrol falan uğraşıp duruyorduk ki Eylül başında üniversitemizin (Bilkent) yurtları açıldı. İkinci gün falandı, üniversite ağımız neredeyse çökme noktasına geldi.

Microsoft Anti-Virus!

Challenger

NTVMSNBC' de yer alan bu habere göre Microsoft, anti-virüs yazılımı geliştiriyor
Daha önce anti-virüs sektörüne gireceğini açıklayan Microsoft, bilgisayarları virüs saldırılarına karşı koruyacak bir program için çalışmaların devam ettiğini teyit etti. Microsoft güvenlik bölümü başkanı Mike Nash, kurumun anti-virüs programı üretme çalışmalarının sürdüğünü ifade etti. Nash, piyasaya sürüldüğünde, anti-virüs programının Windows’tan ayrı bir ürün olarak satılacağını belirtti.
Not: Komplo teorileri beynimi sarmış durumda. Virüslere karşı o kadar zayıflığı olan yazılımları üreten bu kadar büyük bir şirketin, o zayıflıkları kasten yapıp yapmadığını düşünüyorum.

Kişisel bilgileriniz ne kadar ucuz?

sundance

Siz de Micros~1'un en son, en yeni yazılımlarınızı kullanmak istiyor ve/fakat yüzlerce dolar ödemek istemiyor musunuz?

Hayır, hayır GNU/Linux kullanın demiyceceğiz.(FM'i takip ediyorsanız bunu gereğinden bile fazla duyuyorsunuzdur.) Fakat Windows'dan vazgeçemeyip, fiyatından vazgeçenler için yeni bir kampanya var. Hem de tek kuruş ödemeden Windows Vista Ultimate, Office 2007, or Microsoft Money Plus'a sahip olabiliyorsunuz.

En zayıf halka Win9X... Güle güle

elrond

Bildiğim kadarı ile şimdiye kadar resmen dile getirilmedi 9x kodlarının geliştirilmeyeceği. Ancak yeni Office sürümü ile gelen sistem ihtiyaçları listesi Netteki forumlarda 9x in drop olacağının kesinleşmesi olarak yorumlanıyor.

Office 11, Win2K SP3 ve WinXP üzerinde çalışacak sadece. 9x, ME ve WinNT4.0 yeni office sürümünü çalıştırmayacak.

Tabi kurumsal müşteriler için bu çok can sıkıcı. Diğelim ki 1000 adet WinME lisansı aldınız. ME nede olsa yeni sayılabilecek bir OS. Office 11 i beğendiniz almak istiyosunuz fakat o da ne WinME lisanslarınız elinizde patlamış durumda. Kötü tabi.