Uitleg kernelpatch van Red Hat alleen voor niet-Amerikanen

Op The Register USA is te lezen dat Red Hat de exacte inhoud van een kernelpatch niet wereldwijd kan publiceren door de Amerikaanse DMCA wetgeving. Vandaag heeft Red Hat namelijk een nieuwe kernelpatch gepubliceerd voor Linux' 2.4.18-kernel waarin de nodige beveiligingsfouten worden gerepareerd. Het probleem is echter dat deze fouten door mensen zijn ontdekt die niet woonachtig zijn in de Verenigde Staten. Daardoor is het publiceren van de informatie die het mogelijk maakt om in te breken in digitale systemen in Amerika officieel verboden.

Red Hat heeft de betreffende patch wel op hun eigen site geplaatst, waarbij tevens wordt vermeld welke problemen worden opgelost door het installeren van de patch. Echter de exacte beveiliginsfouten in de niet-gepatchte kernels worden niet vermeld. Hiervoor wordt verwezen naar The Free World alwaar de gedetaileerde informatie is te vinden. Deze site is speciaal opgericht voor zaken die onder de DMCA vallen en voor Amerikaanse burgers dus strafbaar is om te bezitten of te lezen.

Waarschijnlijk heeft Alan Cox te maken met deze stap van Red Hat. Hij was al eerder in opspraak omdat hij een changelog had gecensureerd in verband met veiligheids reparaties die de nieuwe update bevatte. Daarnaast is hij fanatieke bestrijder van wetten die de verspreiding van informatie aan banden leggen:

Red Hat has struck a small blow against the DMCA, by publishing a security patch which can only be explained fully to people who are not within US jurisdiction. The company's position here seems to be not altogether voluntary - according to a spokesman "it is bizarre, and unfortunately something Red Hat cannot easily do much about," but like it or not Red Hat has been recruited to the campaign to make the DMCA look ridiculous.

Lees meer

Reacties (59)

TeeDee 16 oktober 2002 17:40

Waarschijnlijk heeft Alan Cox te maken met deze stap van Red Hat. Hij was al eerder in opspraak omdat hij een changelog had gecensureerd in verband met veiligheids reparaties die de nieuwe update bevatte. Daarnaast is hij fanatieke bestrijder van wetten die de versprijding van informatie aan banden legt:

Dit vind ik vreemd, is ie nou wel of niet voor vrije verspreiding van informatie.

Verder: Het is toch van de zotte om deze wetten nog te hanteren? Dit zijn volgens mij gewoon overblijfselen uit de Koude Oorlog.

Verwijderd @TeeDee • 16 oktober 2002 17:47

Dit vind ik vreemd, is ie nou wel of niet voor vrije verspreiding van informatie.

Hij is dus tegen de wetten die verspreiding aan banden legt, dus hij is voor verspreiding van informatie.
Maar het staat er idd een beetje politiek genoteerd.

deadinspace @TeeDee • 16 oktober 2002 20:59

Verder: Het is toch van de zotte om deze wetten nog te hanteren? Dit zijn volgens mij gewoon overblijfselen uit de Koude Oorlog.

De DMCA is een recente wet hoor, uit 1998 of 1999 als ik me niet vergis.
En ja, het is van de zotten om de DMCA te hanteren.

Verwijderd @TeeDee • 17 oktober 2002 10:22

Ik kan iedereen (ook Martin Sturm) aanraden om het artikel op El Reg te lezen, dan snap je dat stukje over Alan Cox meteen een stuk beter.

Verwijderd @Verwijderd • 18 oktober 2002 13:57

url perhaps...?

Verwijderd 16 oktober 2002 17:38

Het probleem is echter dat deze fouten door mensen zijn ontdekt die niet woonachtig zijn in de Verenigde Staten. Daardoor is het publiceren van de informatie die het mogelijk maakt om in te breken in digitale systemen in Amerika officieel verboden.

Waar sláát dit in vredesnaam op, kan iemand mij dit uitleggen? Willen Amerikanen alleen leren van Amerikanen?
Er zit een fout in een programma wat door duizenden Amerikanen gebruikt wordt, deze fout wordt ontdekt door een niet-Amerikaan, en dáárom mogen Amerikanen hier niet van profiteren?
Ik snap de gedachte hierachter echt voor geen meter

Red Hat has been recruited to the campaign to make the DMCA look ridiculous

dit lukt dus aardig

PuzzleSolver @Verwijderd • 16 oktober 2002 20:38

Daar gaat het niet om, je mag beveiligingslekken in software niet publiekelijk bekend maken in amerika, dit om te voorkomen dat andere mensen de informatie misbruiken om in te breken. Zolang deze wet alleen in Amerika geld is het behoorlijk stompzinnig omdat alle andere landen wel publiekelijk deze informatie mogen versprijden.

Dus al wordt de fout ontdekt door een Amerikaan dan mag het nog niet bekend gemaakt worden in Amerika. Deze stompzinnige gedachten komt weg van het feit dat sommige Amerikanen denken dat Amerika het enige ontwikkelde land in de wereld is.

catfish @PuzzleSolver • 16 oktober 2002 22:49

het is idd vrij nutteloos als enkel de VS dit doet, maar het is nog zo stom niet, moest het wereldwijd zijn wel te verstaan.

jij en ik snappen de info toch niet en installen gewoon de patch, maar niet iedereen update zijn systeem wekelijks (sommige zelfs niet eens maandelijks...) en dan kan een gedetailleerde uitleg voor gevaar zorgen

veldmuis @Verwijderd • 16 oktober 2002 17:41

Vandaag heeft Red Hat namelijk een nieuwe kernelpatch gepubliceerd voor Linux' 2.4.18-kernel waarin de nodige beveiligingsfouten worden gerepareerd.

waarom voor kernel 2.4.18 als 2.4.19 al uit is

edit: en waarom staat dat hier

* 786562 veldmuis/offtopic

jiriw @veldmuis • 17 oktober 2002 00:11

waarom voor kernel 2.4.18 als 2.4.19 al uit is

Als je naar de site gaat waar de changelog te lezen is (disclaimer: alleen voor mensen die op geen enkele wijze onder de jurisdictie van de VS vallen) http://www.thefreeworld.net/non-US/
dan zie je dat er geen changelog voor kernel 2.4.18 staat, alleen een voor kernel 2.4.19.
Verder als je kijkt naar de Redhat distro (versie 7.3) waar deze patch voor is uitgekomen, dan wordt kernel 2.4.18 standaard bij deze distro meegeleverd.
Dit doet mij vermoeden dat ernstige veiligheidsproblemen die zijn opgelost in de nieuwe 2.4.19 kernel door deze patch verbeterd worden in Redhat's "getweakte" 2.4.18-10 kernel.
De changelog van 2.4.19 op thefreeworld is hierbij inderdaad een "Referentie" zoals op http://rhn.redhat.com/errata/RHSA-2002-158.html ook aangegeven wordt.

BTW: Erg coole kaart die thefreeworld op hun intro pagina hebben gezet

(haal het non-US gedeelte van de link hierboven af en let vooral op het linker boven deel van het plaatje

)

Verwijderd @veldmuis • 16 oktober 2002 19:32

Dat is net zo'n domme vraag als "waarom gebruiken mensen Windows 98/ME/2000 als er Windows XP is?"

Verwijderd @Verwijderd • 16 oktober 2002 20:41

Daarbij kunnen heel wat dingen een rol spelen. Bij kernels is het toch vaak dat een hogere versie in dezelfde serie (2.2, 2.3, 2.4) alleen maar verbeteringen hebben

lintux @Verwijderd • 17 oktober 2002 00:12

Er stond "waarom voor kernel 2.4.18 als 2.4.19 al uit is" ... Als er nou stond "waarom een 2.4 kernel als 2.2 er ook nog is" had ik je een beter antwoord kunnen geven.

(2.0 kernels zijn ook nog steeds retestabiel btw!)

Verwijderd @Verwijderd • 17 oktober 2002 08:50

Dit is een soort wetgeving tegen exploits (het openbaar maken van fouten in software zodat crackers daarvan kunnen profiteren), maar dit is dus een beetje een foutje in die wet.

wica 16 oktober 2002 17:57

*lol* Ik vind die amie's leuk. Ze snijden in hun eigen vingers.

Waar het opneer komt is dat in de VS hacken verboden is. En meestal moet je hacken om beveiligingsfouten te ondekken. Want een hacker KENT het systeem waar op die hackt.

scenario:
ik woon in NL.
Ik ondek een een beveilingsfout in een systeem.
Ik maak het openbaar en geef eventueel een patch vrij.

Nu, ga ik om wat voor rede naar amerika. Dan kan ik opgepakt worden, vanwege die DMCA wet geving. En de straf er voor is niet niets. 5 jaar. zo uit me hoofd

Leuk he?

/edit
2tje weg gehaalt

Olaf van der Spek @wica • 16 oktober 2002 18:01

Volgens mij is het zelfs erger. Want je zou gewoon kunnen zeggen dat je de bug in de source code (die je elke avond voor het slapen gaan leest ;-&gt

hebt gevonden.

deadinspace @wica • 16 oktober 2002 20:59

*lol* Ik vind die amie's leuk. Ze snijden in hun eigen vingers.

Lach maar, dat kan nu nog.

Vanaf December (iirc) wordt in Europa een soortgelijke wet actief: de EUCD.

wica @deadinspace • 16 oktober 2002 21:02

Dan wordt het tijd uit te wijken naar Rusland ...

djexplo 16 oktober 2002 17:45

Het probleem is niet dat ze de patch niet mogen instaleren.
Maar het is bij de wet verboden dat je beveilings fouten openbaar maakt, dit om hacken te voorkomen.
De handleiding bij deze patch bevat de beveilings fouten, en mag daar voor niet openbaar worden gemaakt in de V.S.

obimk1 16 oktober 2002 19:16

Het zit zo:

DMCA zorgt ervoor dat het strafbaar is om informatie openbaar te maken die informatie bevat over veiligheidslekken, of truukjes om 'beveiligingen' (sommige 'beveiligingen zijn geen echte beveiligingen maar bv alleen gebaseerd op karakter rotatie) te omzeilen.

Een rus had een manier gevonden om de 'beveiliging' van ebook formaat te omzeilen om zo het document leesbaar te maken op een handheld.

Het stelde niet veel voor en is ook gedocumenteerd.
Een paar maanden later was de rus uitgenodigd voor developers conference in de US. Tijdens de conference is hij gearresteerd en vastgezet op basis van de DMCA.

Zo werkt de DMCA

Het is een walgelijk stukje wetgeving wat ingegeven is door o.a.de machtige lobby organisatie van de muziekindustrie. Ook de softwareindustrie heeft gelobbied.

En het trieste is dat in europa de europesche wetgeving (richtlijn) gedeeltelijk gebaseerd zal zijn
op de DMCA van de US.

In europa hebben we boter op ons hoofd, er wordt teveel naar de US als 'voorbeeld' gekeken.
Kijk naar onze samenleving, we krijgen steeds meer trekjes van de US samenleving...
maar dit terzijde...

Dit verklaart die idiote oplossing mbt de kernel patch van Redhat.

Kijk eens op:

http://pimientolinux.com/peru2ms/villanueva_to_ms.html

Het is een reactie van een peruaans congreslid op een brief van microsoft peru, over een bill die hij heeft ingediend. Al lezend ontvouwt zich een interessant voorstel mbt gebruik van "Freeware" door de overheid.

DeTeraarist 16 oktober 2002 19:12

Iedereen piept nu wel, bla bla amerikanen bla bla DMCA bla bla fout. Maar op zich is het deze keer niet verkeerd. Er zijn in Amerika vast een heleboel bedrijven die Red Hat geinstalleerd hebben staan. Als dan in zo'n beschrijving staat hoe je zo'n Red Hat installatie kan hacken, dan kun je er donder op zeggen dat elk scriptkiddie op zoek gaat naar een Red Hat bak en probeert in te breken.
Ik zeg niet dat de DMCA een fantastische wet is (want dat is tie absoluut niet), maar in dit geval kan ik me er best wat bij voorstellen.

deadinspace @DeTeraarist • 16 oktober 2002 20:59

Iedereen piept nu wel, bla bla amerikanen bla bla DMCA bla bla fout. Maar op zich is het deze keer niet verkeerd.

Dat is hij wel. Full-disclosure niet toestaan is absoluut de meest achterlijke en imbeciele manier om met security om te gaan.
Zo creëer je laksheid bij de bedrijven, die geen haast zien om patches uit te brengen en bij systeembeheerders, die geen haast zien om de patches aan te brengen.

Bovendien: hoe moeten producten beveiligd worden als het verboden is over bestaande lekken (en dan bedoel ik de exacte technische oorzaak en uitwerkingen van die lekken) te praten, of er onderzoeken over te publiceren?

Er zijn in Amerika vast een heleboel bedrijven die Red Hat geinstalleerd hebben staan. Als dan in zo'n beschrijving staat hoe je zo'n Red Hat installatie kan hacken, dan kun je er donder op zeggen dat elk scriptkiddie op zoek gaat naar een Red Hat bak en probeert in te breken.

Joh, en die beschrijvingen/scripts om exploitable servers te cracken vind je toch wel, DMCA of niet. MP3's sharen is illegaal en mag niet, maar we weten allemaal hoe dat gaat.

De DMCA houdt zulke illegale praktijken niet tegen, maar werkt wel tegen bij legale toepassingen.

Dat is een van de dingen die de DMCA zo ronduit belachelijk maakt.

Verwijderd @deadinspace • 17 oktober 2002 08:55

Ja, en het verbieden van harddrugs werkt ook niet want er zijn nog steeds junks...

Frank van Son @DeTeraarist • 16 oktober 2002 19:39

Vlgs mij heb je tekst op TheFreeworld.Net niet eens gelezen; een scriptkiddie kan hier echt niets mee beginnen. Het vergt nogal wat meer dan alleen het downen van een proggie en het opstarten van dat proggie.

<edit 1>
Schrijf wat je bedoelt of edit je tekst tot het klopt.
Laat me eerst je uit je eerste bericht quoten zodat je nog herinnert wat je geschreven hebt;
"Er zijn in Amerika vast een heleboel bedrijven die Red Hat geinstalleerd hebben staan. Als dan in zo'n beschrijving staat hoe je zo'n Red Hat installatie kan hacken, dan kun je er donder op zeggen dat elk scriptkiddie op zoek gaat naar een Red Hat bak en probeert in te breken."

In "zo'n" beschrijving staat echt niet beschreven hoe een scriptkiddie een RedHat machine kan hacken. Vlgs mij heb je ook nog nooit de patch-teksten van RedHat gelezen van voor de "DMCA perikelen".

Waar je wel gelijk in hebt; scriptkiddie <> hacker. Als je hacker had moeten zeggen kun je ook je tekst nog editten en corrigeren, maar zelfs als je scriptkiddie door hacker vervangt sla je de plank nog steeds mis

DeTeraarist @Frank van Son • 16 oktober 2002 19:49

Neej, inderdaad, maar die hoef ik ook niet te lezen.
Het gaat mij er niet om, om 'wat' ze moeten doen. het gaat mij erom dat ze het zo moeilijk mogelijk wordt gemaakt. En ach, misschien had ik hacker moeten zeggen in plaats van script kiddie. Maar dat doet er op zich niet zo toe.

Verwijderd @DeTeraarist • 16 oktober 2002 19:18

Die scriptkiddies lezen nu al die niet-amerikaanse sites waar de beschrijving WEL op staat.

Verwijderd @DeTeraarist • 16 oktober 2002 19:16

Dacht je dat scriptkiddies zich iets aantrekken van zo'n wet ? Die gaan gewoon naar Europese sites toe hoor

DeTeraarist @Verwijderd • 16 oktober 2002 19:39

Ik zeg het niet vaak, maar: Duhhh

Wat ik probeer te zeggen, is dat die wet in dit opzicht niet zo heel verkeerd is, Ze proberen het de scriptkiddies op deze manier toch wat moeilijker te maken en das in mijn visie wel okay. Van mij part maken ze hier in Europa ook een wet die het verbied om uitleg over misbruik van bugs te plaatsen/lezen. Tegenhouden van die scriptkiddies, dat kan niet, er zijn genoeg sites die het toch wel zullen plaatsen. maar we kunnen er in ieder geval voor zorgen dat ze het een stukje moeilijker krijgen.

Verwijderd @DeTeraarist • 16 oktober 2002 20:53

Ik vind het altijd zeer goed om te weten hoe een bug werkt. Al is het maar om te bepalen hoe veel gevaar ik loop.

Verder vind ik het struisvogel politiek om te verbieden om informatie over een bug te verspreiden. Het is wel anders als je tool meelevert om gebruik te maken van de bug.

Verwijderd @DeTeraarist • 17 oktober 2002 12:54

De meeste wetten zijn niet verkeerd bedoeld maar worden vaak door een bepaalde groep anders geinterperteerd. Het beste vorbeeld is de ontdekkeing van de atoombom, deze was oorspronkelijk bedoeld om grote rotsblokken of bergen te kunnen spijten. Maar zoals alles kunnen goede wetten en uitvindingen ook op een slechte manier aangewend worden.

Verwijderd 16 oktober 2002 18:59

Nou, gelukkig is het Nederlandse beleid in dit opzicht iets losser. En wetten worden niet echt meer in NL. verzonnen, maar door de EU volgens richtlijnen, welke dan in NL moeten worden geimplementeerd.

Hopenlijk zien de Amerikanen op deze manier dat de DMCA wetgeving op z'n zachtst gezegd een beetje een vreemde wet is.

Verwijderd @Verwijderd • 16 oktober 2002 19:15

http://uk.eurorights.org/issues/eucd/

http://www.eurorights.org/eudmca/index.html

Kijk hier maar eens! De European Union Copyright Directive is de Europese tegenhanger van de DMCA. De tweede link leidt naar een pagina waar je de volledige tekst kan vinden.

FendtVario @Verwijderd • 17 oktober 2002 00:07

Dit is echt idioot. Op een site vond ik dit:

The British implementation has none of these get-outs. Or rather it does, but they're offered in a very peculiar way. Here's how it works:

1. Media corporations can put any restriction they like on how you access their intellectual property.
2. If you break that restriction, they can sue you. If you tell anyone else how to break it, you can go to jail.
3. If you want to break it because of the rights that belong to you under copyright law, you should write to the Secretary of State personally and ask permission.
4. Once she's said yes, you may freely use that ink marker to fix that crippled CD so that they can finally play on your home computer.
5. But don't tell anyone else how you did it (see 3. above, re: jail).

Dit zou beteken dat als ik een programma schrijf, zeg iets voor mijn servertje hier, ik vind een bug is het algoritme was je wachtwoord codeerd ik eerst toestemming moet vragen om iets te publiceren wat ik ZELF geschreven heb.

Laat ze er nog maar eens goed over nadenken...

Verwijderd 16 oktober 2002 18:00

Bovendien komen de mensen die deze fouten exploiteren er ook wel achter als het op een site is geplaatst is die niet in de U.S. ligt, het nut van deze wet ontschiet mij dus een beetje

dahakon @Verwijderd • 16 oktober 2002 18:53

Het probleem zit hem niet zozeer daar dat het op het internet staat (zolang het maar geen site uit de VS is).
ALs ik het goed gelezen heb zorgt de wet er alleen wel voor de het strafbaar is voor elke burger uit de VS om het te lezen. Dus als je als (on-)trouw burger uit de VS de uitleg bij de patch leest, kun je voor meerdere jaren de bak in draaien...

...Ik zou zeggen, veel leesplezier

Juup @G33rt • 16 oktober 2002 17:41

Je hebt er niet veel van begrepen G33rt,

Onder de DMCA mag red Hat die informatie niet op hun site plaatesn dus zet zetten het op een 'vrijhaven' en linken er naar. Dit laat zien hoe belachelijk die DMCA wetten zijn.

TD-er

@G33rt • 16 oktober 2002 17:45

Het probleem is echter dat deze fouten door mensen zijn ontdekt die niet woonachtig zijn in de Verenigde Staten. Daardoor is het publiceren van de informatie die het mogelijk maakt om in te breken in digitale systemen in Amerika officieel verboden.

De publicatie van een dergelijk veiligheidsprobleem mag niet in de VS, wegens de DMCA wetgeving.
Waarschijnlijk is de site van RedHat standaard prima te bekijken vanuit de VS, dus zetten ze die informatie maar neer op een site die volledig is opgezet om de amerikaanse wetgeving tot in het overdrevene te volgen.

Verwijderd 16 oktober 2002 17:50

Als je dit allemaal leest, begin je meer en meer het idee te bekruipen dat het allemaal mis gaat in de wereld. De (incorrecte) redering hier achter zal wel zijn dat patches aangedragen door niet-Amerikanen trojans kunnen bevatten die terroristen kunnen gebruiken om Evildoings (Bushiaans) te verrichten. De redering is incorrect omdat in het Amerikaanse systeem je onschuldig bent totdat je schuld bewezen is. Maar dit geldt blijkbaar niet voor mensen buiten Amerika. Dit is natuurlijk mijn eigen waarheid maar ik heb me weinig zin te verdiepen in een Amerikaanse wet die de vrijheid van meningsuiting duidelijk aan het inperken is. Ik hoop dat Red Hat slaagt in haar pogingen dit onrecht, dat tot stand is gekomen door de lobby van veelste rijke bedrijven en die echt niet aan het Amerikaanse landsbelang dachten toen ze hiermee kwamen, aan het Amerikaanse volk duidelijk te maken.

Verwijderd @Verwijderd • 16 oktober 2002 17:54

Het zal wel gedaan zijn om zwakheden van systemen niet aan de grote klok te hangen zodat ze uitgebuit kunnen worden. Maar dan nog, waarom geldt dit dan alleen voor niet-Amerikanen? Een security bug is net zo goed een bug als het door een Amerikaan wordt ontdekt, toch?

Ik hoop dat Red Hat slaagt in haar pogingen dit onrecht, dat tot stand is gekomen door de lobby van veelste rijke bedrijven en die echt niet aan het Amerikaanse landsbelang dachten toen ze hiermee kwamen

Het was dus niet echt de bedoeling van Red Hat om hier een politiek statement aan te verbinden, maar dat is toch gebeurd

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (59)

Sorteer op:

Weergave: