-<p>I dag la jeg inn en kommentar på en sak hos NRKBeta
-<a href="http://nrkbeta.no/2010/10/27/bakom-blindpassasjer-del-1/">om
-hvordan TV-serien Blindpassasjer ble laget</a> i forbindelse med at
-filmene NRK la ut ikke var tilgjengelig i et
-<a href="http://www.digistan.org/open-standard:definition">fritt og
-åpent format</a>. Dette var det jeg skrev publiserte der 07:39.</p>
-
-<p><blockquote>
-<p>"Vi fikk en kommentar rundt måten streamet innhold er beskyttet fra
-nedlasting. Mange av oss som kan mer enn gjennomsnittet om systemer
-som dette, vet at det stort sett er mulig å lure ut ting med den
-nødvendige forkunnskapen."</p>
-
-<p>Haha. Å streame innhold er det samme som å laste ned innhold, så å
-beskytte en stream mot nedlasting er ikke mulig. Å skrive noe slikt
-er å forlede leseren.</p>
-
-<p>Med den bakgrunn blir forklaringen om at noen rettighetshavere kun
-vil tillate streaming men ikke nedlasting meningsløs.</p>
-
-<p>Anbefaler forresten å lese
-<a href="http://blogs.computerworlduk.com/simon-says/2010/10/drm-is-toxic-to-culture/index.htm">http://blogs.computerworlduk.com/simon-says/2010/10/drm-is-toxic-to-culture/index.htm</a>
-om hva som ville være konsekvensen hvis digitale avspillingssperrer
-(DRM) fungerte. Det gjør de naturligvis ikke teknisk - det er jo
-derfor de må ha totalitære juridiske beskyttelsesmekanismer på plass,
-men det er skremmende hva samfunnet tillater og NRK er med på å bygge
-opp under.</p>
-</blockquote></p>
-
-<p>Ca. 20 minutter senere får jeg følgende epost fra Anders Hofseth i
-NRKBeta:</p>
-
-<p><blockquote>
-<p>From: Anders Hofseth <XXX@gmail.com>
-<br>To: "pere@hungry.com" <pere@hungry.com>
-<br>Cc: Eirik Solheim <XXX@gmail.com>, Jon Ståle Carlsen <XXX@gmail.com>, Henrik Lied <XXX@gmail.com>
-<br>Subject: Re: [NRKbeta] Kommentar: "Bakom Blindpassasjer: del 1"
-<br>Date: Sat, 30 Oct 2010 07:58:44 +0200</p>
-
-<p>Hei Petter.
-<br>Det du forsøker dra igang er egentlig en interessant diskusjon,
-men om vi skal kjøre den i kommentarfeltet her, vil vi kunne bli bedt
-om å fjerne blindpassasjer fra nett- tv og det vil heller ikke bli
-særlig lett å klarere ut noe annet arkivmateriale på lang tid.</p>
-
-<p>Dette er en situasjon NRKbeta ikke ønsker, så kommentaren er
-fjernet og den delen av diskusjonen er avsluttet på nrkbeta, vi antar
-konsekvensene vi beskriver ikke er noe du ønsker heller...</p>
-
-<p>Med hilsen,
-<br>-anders</p>
-
-<p>Ring meg om noe er uklart: 95XXXXXXX</p>
-</blockquote></p>
-
-<p>Ble så fascinert over denne holdningen, at jeg forfattet og sendte
-over følgende svar. I og med at debatten er fjernet fra NRK Betas
-kommentarfelt, så velger jeg å publisere her på bloggen min i stedet.
-Har fjernet epostadresser og telefonnummer til de involverte, for å
-unngå at de tiltrekker seg uønskede direkte kontaktforsøk.</p>
-
-<p><blockquote>
-<p>From: Petter Reinholdtsen <pere@hungry.com>
-<br>To: Anders Hofseth <XXX@gmail.com>
-<br>Cc: Eirik Solheim <XXX@gmail.com>,
-<br> Jon Ståle Carlsen <XXX@gmail.com>,
-<br> Henrik Lied <XXX@gmail.com>
-<br>Subject: Re: [NRKbeta] Kommentar: "Bakom Blindpassasjer: del 1"
-<br>Date: Sat, 30 Oct 2010 08:24:34 +0200</p>
-
-<p>[Anders Hofseth]
-<br>> Hei Petter.</p>
-
-<p>Hei.</p>
-
-<p>> Det du forsøker dra igang er egentlig en interessant diskusjon, men
-<br>> om vi skal kjøre den i kommentarfeltet her, vil vi kunne bli bedt om
-<br>> å fjerne blindpassasjer fra nett- tv og det vil heller ikke bli
-<br>> særlig lett å klarere ut noe annet arkivmateriale på lang tid.</p>
-
-<p>Godt å se at du er enig i at dette er en interessant diskusjon. Den
-vil nok fortsette en stund til. :)</p>
-
-<p>Må innrømme at jeg synes det er merkelig å lese at dere i NRK med
-vitende og vilje ønsker å forlede rettighetshaverne for å kunne
-fortsette å legge ut arkivmateriale.</p>
-
-<p>Kommentarer og diskusjoner i bloggene til NRK Beta påvirker jo ikke
-faktum, som er at streaming er det samme som nedlasting, og at innhold
-som er lagt ut på nett kan lagres lokalt for avspilling når en ønsker
-det.</p>
-
-<p>Det du sier er jo at klarering av arkivmateriale for publisering på
-web krever at en holder faktum skjult fra debattfeltet på NRKBeta.
-Det er ikke et argument som holder vann. :)</p>
-
-<p>> Dette er en situasjon NRKbeta ikke ønsker, så kommentaren er fjernet
-<br>> og den delen av diskusjonen er avsluttet på nrkbeta, vi antar
-<br>> konsekvensene vi beskriver ikke er noe du ønsker heller...</p>
-
-<p>Personlig ønsker jeg at NRK skal slutte å stikke hodet i sanden og
-heller være åpne på hvordan virkeligheten fungerer, samt ta opp kampen
-mot de som vil låse kulturen inne. Jeg synes det er en skam at NRK
-godtar å forlede publikum. Ville heller at NRK krever at innhold som
-skal sendes skal være uten bruksbegresninger og kan publiseres i
-formater som heller ikke har bruksbegresninger (bruksbegresningene til
-H.264 burde få varselbjellene i NRK til å ringe).</p>
-
-<p>At NRK er med på DRM-tåkeleggingen og at det kommer feilaktive
-påstander om at "streaming beskytter mot nedlasting" som bare er egnet
-til å bygge opp om en myte som er skadelig for samfunnet som helhet.</p>
-
-<p>Anbefaler <URL:<a href="http://webmink.com/2010/09/03/h-264-and-foss/">http://webmink.com/2010/09/03/h-264-and-foss/</a>> og en
-titt på
-<URL: <a href="http://people.skolelinux.org/pere/blog/Terms_of_use_for_video_produced_by_a_Canon_IXUS_130_digital_camera.html">http://people.skolelinux.org/pere/blog/Terms_of_use_for_video_produced_by_a_Canon_IXUS_130_digital_camera.html</a> >.
-for å se hva slags bruksbegresninger H.264 innebærer.</p>
-
-<p>Hvis dette innebærer at NRK må være åpne med at arkivmaterialet ikke
-kan brukes før rettighetshaverene også innser at de er med på å skade
-samfunnets kultur og kollektive hukommelse, så får en i hvert fall
-synliggjort konsekvensene og antagelig mer flammer på en debatt som er
-langt på overtid.</p>
-
-<p>> Ring meg om noe er uklart: XXX</p>
-
-<p>Intet uklart, men ikke imponert over måten dere håndterer debatten på.
-Hadde du i stedet kommet med et tilsvar i kommentarfeltet der en
-gjorde det klart at blindpassasjer-blogpostingen ikke var riktig sted
-for videre diskusjon hadde dere i mine øyne kommet fra det med
-ryggraden på plass.</p>
-
-<p>PS: Interessant å se at NRK-ansatte ikke bruker NRK-epostadresser.</p>
-
-<p>Som en liten avslutning, her er noen litt morsomme innslag om temaet.
-<URL: <a href="http://www.archive.org/details/CopyingIsNotTheft">http://www.archive.org/details/CopyingIsNotTheft</a> > og
-<URL: <a href="http://patentabsurdity.com/">http://patentabsurdity.com/</a> > hadde vært noe å kringkaste på
-NRK1. :)</p>
-
-<p>Vennlig hilsen,
-<br>--
-<br>Petter Reinholdtsen</p>
+<p>The last few days I have looked at ways to track open security
+issues here at my work with the University of Oslo. My idea is that
+it should be possible to use the information about security issues
+available on the Internet, and check our locally
+maintained/distributed software against this information. It should
+allow us to verify that no known security issues are forgotten. The
+CVE database listing vulnerabilities seem like a great central point,
+and by using the package lists from Debian mapped to CVEs provided by
+the testing security team, I believed it should be possible to figure
+out which security holes were present in our free software
+collection.</p>
+
+<p>After reading up on the topic, it became obvious that the first
+building block is to be able to name software packages in a unique and
+consistent way across data sources. I considered several ways to do
+this, for example coming up with my own naming scheme like using URLs
+to project home pages or URLs to the Freshmeat entries, or using some
+existing naming scheme. And it seem like I am not the first one to
+come across this problem, as MITRE already proposed and implemented a
+solution. Enter the <a href="http://cpe.mitre.org/index.html">Common
+Platform Enumeration</a> dictionary, a vocabulary for referring to
+software, hardware and other platform components. The CPE ids are
+mapped to CVEs in the <a href="http://web.nvd.nist.gov/">National
+Vulnerability Database</a>, allowing me to look up know security
+issues for any CPE name. With this in place, all I need to do is to
+locate the CPE id for the software packages we use at the university.
+This is fairly trivial (I google for 'cve cpe $package' and check the
+NVD entry if a CVE for the package exist).</p>
+
+<p>To give you an example. The GNU gzip source package have the CPE
+name cpe:/a:gnu:gzip. If the old version 1.3.3 was the package to
+check out, one could look up
+<a href="http://web.nvd.nist.gov/view/vuln/search?cpe=cpe%3A%2Fa%3Agnu%3Agzip:1.3.3">cpe:/a:gnu:gzip:1.3.3
+in NVD</a> and get a list of 6 security holes with public CVE entries.
+The most recent one is
+<a href="http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-0001">CVE-2010-0001</a>,
+and at the bottom of the NVD page for this vulnerability the complete
+list of affected versions is provided.</p>
+
+<p>The NVD database of CVEs is also available as a XML dump, allowing
+for offline processing of issues. Using this dump, I've written a
+small script taking a list of CPEs as input and list all CVEs
+affecting the packages represented by these CPEs. One give it CPEs
+with version numbers as specified above and get a list of open
+security issues out.</p>
+
+<p>Of course for this approach to be useful, the quality of the NVD
+information need to be high. For that to happen, I believe as many as
+possible need to use and contribute to the NVD database. I notice
+RHEL is providing
+<a href="https://www.redhat.com/security/data/metrics/rhsamapcpe.txt">a
+map from CVE to CPE</a>, indicating that they are using the CPE
+information. I'm not aware of Debian and Ubuntu doing the same.</p>
+
+<p>To get an idea about the quality for free software, I spent some
+time making it possible to compare the CVE database from Debian with
+the CVE database in NVD. The result look fairly good, but there are
+some inconsistencies in NVD (same software package having several
+CPEs), and some inaccuracies (NVD not mentioning buggy packages that
+Debian believe are affected by a CVE). Hope to find time to improve
+the quality of NVD, but that require being able to get in touch with
+someone maintaining it. So far my three emails with questions and
+corrections have not seen any reply, but I hope contact can be
+established soon.</p>
+
+<p>An interesting application for CPEs is cross platform package
+mapping. It would be useful to know which packages in for example
+RHEL, OpenSuSe and Mandriva are missing from Debian and Ubuntu, and
+this would be trivial if all linux distributions provided CPE entries
+for their packages.</p>
projects / homepage.git / blobdiff