Come decidere "Mi fiderò di questo software" per software closed-source o precompilato?

Naviga le tue risposte
16

Sono interessato a guardare un webinar imminente che discuterà Puppet su AWS. Per partecipare è necessario installare un'applicazione software . Naturalmente, non lo farò perché posso trovare abbastanza informazioni sull'argomento con alcuni semplici servizi di Google.

Tuttavia, a volte ci sono webinar a cui sono interessato a partecipare. Quali criteri potrebbe utilizzare un utente medio per decidere se un pacchetto software sembra abbastanza sicuro da installare . Sebbene Firefox sia open source, sono abbastanza soddisfatto da fidarmi dei binari di Mozilla e non ho potuto rivedere tutta la fonte da solo, anche se non ero disposto a fidarmi dei binari. Quindi questo è un limite inferiore di ciò che installerò. Quali sarebbero i criteri ragionevoli per stabilire un limite superiore ragionevole?

Naturalmente, non cerco la sicurezza al 100%, dato che nessuno può fornirlo. Sto cercando qualcosa di ragionevole per gli utenti medi che non sono sviluppatori di software. Il computer è inutile senza installare applicazioni di terze parti, anche se il sistema operativo le ha fornite tramite un repo.

    
posta dotancohen 03.05.2015 - 15:25
fonte

2 risposte

21

La fiducia non è una variabile booleana, "trusted = true / false", dovresti pensare meglio al livello di attendibilità .

Alcuni esempi di domande che possono aiutarti a valutare il livello di affidabilità che puoi concedere a questo software:

  1. Quanto ti fidi dell'editor di questo software?
  2. Il software potrebbe essere stato modificato da una terza parte malintenzionata tra la creazione e l'invio al computer?
  3. Qual è la sensibilità dei dati che devi fornire a questo software?
  4. Qual è la sensibilità dei dati che risiedono sul computer che eseguirà questo software?
  5. Quanto tempo e quanto spesso sarà necessario utilizzare questo software?

Se capisco correttamente la tua domanda:

  1. Non ti fidi dell'editor, altrimenti non avresti mai fatto questa domanda,
  2. Questo software richiede solo le informazioni relative a questo webinar a cui parteciperai,
  3. Il tuo computer ospita informazioni sensibili o almeno personali che ti fanno preoccupare dei problemi di fiducia,
  4. Questo sarà un utilizzo a un punto per questo webinar, nella migliore delle ipotesi solo per ulteriore riferimento.

In tali condizioni, creerei solo una macchina virtuale, quindi non mi preoccuperei più di alcun problema di privacy pur essendo libero di rispettare le richieste di webinar. Una volta terminato il webinar, sarò libero di archiviare l'immagine della VM o di eliminarla.

    
risposta data 03.05.2015 - 15:45
fonte
1

Potresti vedere se ci sono alcune approvazioni degne di nota per il software, o se le persone di cui ti fidi o usano il software, molto come Il principio Web of Trust funziona. Per gli utenti non tecnici, questo è l'approccio che suggerirei. Per gli utenti tecnici, puoi fare tutti i compiti per loro e presentarli con il "pedigree" del software o dire qualcosa come "un gruppo di professionisti della sicurezza di cui mi fido come questo software". Per te, dovrai fare i compiti per vedere se il software è abbastanza conosciuto da ricevere consigli o approvazioni.

Ad esempio, non ho pensato molto ai servizi Silent Circle fino a quando non ho esaminato chi Phil Zimmerman è, cosa ha fatto e leggi alcune delle sue politiche . Dopo averlo guardato e aver capito che corre, o è strongmente coinvolto, Silent Circle, li considererei un software e / o un servizio di fiducia.

Ho fatto gli stessi compiti per OpenWhisper Systems e sono giunto alla stessa conclusione, in parte perché Steve Gibbs ( GRC , Sicurezza ora ) è un tale fan di Moxie Marlinspike .

Un altro nome notevole che potrebbe portare peso è Bruce Schneier ( il suo blog ). Se a lui piace o non piace qualcosa, è un grosso problema.

Al momento non esiste un'agenzia governativa neutrale negli Stati Uniti per fornire approvazioni per software sicuro / privato / anonimo, ma la cosa più vicina è l'EFF ( Electronic Frontier Foundation ). Hanno un sito web che menziona i prodotti per la sicurezza e le loro funzionalità, sebbene io non credo che offrano testimonianze esplicite.

Se il software non è molto conosciuto e sei preoccupato, allora, come hanno detto altri, dovresti isolarlo in qualche modo. Una VM è una buona sandbox; hardware di ricambio; hardware "testing" per scopi speciali, qualunque sia il livello di potenziale danno da un tale software.

    
risposta data 09.02.2016 - 19:57
fonte

Leggi altre domande sui tag

Quale schema asimmetrico fornisce la firma più breve, pur essendo sicuro? Quanto tempo dovrebbero essere i codici di autenticazione a 2 fattori?