¿Cómo decidir "Confiaré en este software" para el software de código cerrado o precompilado?

16

Estoy interesado en ver un próximo seminario web que tratará sobre Puppet en AWS. Para participar es necesario instalar una aplicación de software . Naturalmente, no lo haré, ya que puedo encontrar suficiente información sobre el tema con unos pocos servicios simples de Google.

Sin embargo, a veces hay seminarios web en los que estoy interesado. Los criterios podrían utilizar un usuario promedio para decidir si un paquete de software parece lo suficientemente seguro para instalar . Aunque Firefox es de código abierto, estoy lo suficientemente satisfecho como para confiar en los binarios de Mozilla y no pude revisar todo el código solo aunque no estuviera dispuesto a confiar en los binarios. Así que eso es un límite inferior de lo que instalaré. ¿Cuáles serían los criterios razonables para establecer un límite superior razonable?

Por supuesto, no estoy buscando seguridad al 100% ya que nadie puede proporcionar eso. Estoy buscando algo razonable para los usuarios promedio que no son desarrolladores de software. La computadora es inútil sin instalar aplicaciones de terceros, incluso si el sistema operativo los proporcionó a través de un repositorio.

    
pregunta dotancohen 03.05.2015 - 15:25
fuente

2 respuestas

21

La confianza no es una variable booleana, "trusted = true / false", es mejor que pienses en el nivel de confianza .

Algunos ejemplos de preguntas que pueden ayudarlo a evaluar el nivel de confianza que puede otorgar a este software:

  1. ¿Cuánto confías en el editor de este software?
  2. ¿Podría haber sido modificado el software por un tercero malintencionado entre su creación y entrega en su computadora?
  3. ¿Cuál es la sensibilidad de los datos que necesita proporcionar a este software?
  4. ¿Cuál es la sensibilidad de los datos que residen en la computadora que ejecutará este software?
  5. ¿Cuánto tiempo y con qué frecuencia necesitará usar este software?

Si entiendo correctamente tu pregunta:

  1. No confías en el editor, de lo contrario no habrías hecho esta pregunta en primer lugar,
  2. Este software solo necesitará la información relacionada con este seminario web al que asistirá,
  3. Su computadora aloja información confidencial o al menos personal, lo que le hace preocuparse por los problemas de confianza,
  4. Este será un uso único para este seminario web, en el mejor de los casos solo para futuras referencias.

En tales condiciones, solo crearía una máquina virtual para no preocuparme más por cualquier problema de privacidad y ser libre de cumplir con las solicitudes de seminario web. Una vez que finalice el seminario web, podré archivar la imagen de la máquina virtual o soltarla.

    
respondido por el WhiteWinterWolf 03.05.2015 - 15:45
fuente
1

Puede ver si existen respaldos notables para el software, o si a las personas de su confianza les gusta o usan el software, y de qué manera el El principio de Web of Trust funciona. Para usuarios no técnicos, este es el enfoque que yo sugeriría. Para los usuarios técnicos, puede hacer toda la tarea para ellos y presentarles el "pedigrí" del software o decir algo así como "un grupo de profesionales de seguridad en los que confío, como este software". Para ti mismo, tendrás que hacer la tarea para ver si el software es lo suficientemente conocido como para obtener recomendaciones o recomendaciones.

Por ejemplo, no pensé mucho en los servicios de Silent Circle hasta que miré a quién Phil Zimmerman es, lo que ha hecho, y lee algunas de sus políticas . Después de mirarlo y darme cuenta de que ejecuta, o está muy involucrado con Silent Circle, los consideraría un software y / o servicio confiable.

Hice la misma tarea para OpenWhisper Systems y llegué a la misma conclusión, en parte porque Steve Gibbs ( GRC , Security Now ) es tal fan de Moxie Marlinspike .

Otro nombre notable que podría tener peso es Bruce Schneier ( su blog ). Si le gusta o no le gusta algo, es un gran problema.

Actualmente no existe una agencia gubernamental neutral en los EE. UU. que ofrezca endosos para software seguro / privado / anónimo, pero lo más cercano es el EFF ( Electronic Fundación Frontier ). Tienen un sitio web que menciona los productos de seguridad y sus características, aunque no creas que ofrecen endosos explícitos.

Si el software no es muy conocido y está preocupado por él, entonces, como han dicho otros, debe aislarlo de alguna forma. Una VM es una buena caja de arena; hardware de repuesto; hardware de "prueba" de propósito especial, lo que se ajuste al nivel de daño potencial de dicho software.

    
respondido por el YetAnotherRandomUser 09.02.2016 - 19:57
fuente

Lea otras preguntas en las etiquetas