[AcLab] fbi, openbsd e i soldi

[Shark]

On Thu, Dec 16, 2010 at 02:13:53AM +0100, santec a riseup.net wrote:
> Quando dico che non amo ciò che viene dalle aziende, anche quando si
> tratta di software libero, ci sono dei motivi. Uno è evidente per chi
> abbia letto la to-do list di un qualsiasi progetto "free" di enormi
> dimensioni, non trovando nulla di ciò che voleva lui, ma trovando solo
> "features" che saranno utili a multinazionali delle comunicazioni,
> compagnie aeree e clienti di questo tipo.

Scusa, ma le TODO list che ho letto io non avevano feature di questo
tipo, anche se di progetti open source pagati da aziende.

E` vero, tipo la TODO list delle Qt comprende anche lavoro sui
cellulari, ma questo e` perche` appartiene alla Nokia o perche` comunque
i cellulari oggi giorno sono un mercato in espansione e non puoi
rimanerne fuori?

Ma veniamo all'argomento "principale"

> Come al solito la notizia è più chiara e più esatta leggendo in inglese:
> http://marc.info/?l=openbsd-tech&m=129236621626462&w=2
> 
> Ora la notizia è da verificare. Chi dovrebbe farlo si rifiuta, delegando
> agli accusati il compito di difendersi e ad altri il compito di dare la
> caccia alle backdoor in questione. Non ce lo si aspetterebbe da chi dirige
> lo sviluppo del sistema operativo considerato più sicuro di tutti. Ma il
> punto non è se sia vero o no, il punto è che lo stesso de Raadt ce la
> presenta come una cosa possibile.

Attenzione, de Raadt non se ne lava le mani, ma mica puo` controllare
tutto lui, se tu fossi il maintainer (e quindi quello che ci rimette la
faccia) di OpenBSD, il sistema che e` nato per essere piu` sicuro di
tutti, avresti pubblicato (rimettendoci anche la tua faccia) una mail
del genere?

Lui si`, perche` vuole che tutti sappiano e che la community si difenda
e controlli (e anche lui sicuramente lo stara` facendo).

Inoltre, dove scrive che sarebbe una cosa possibile?

> Se chi scrive il codice di un progetto "libero" è pagato da una società,
> non farà quello che serve ai suoi utenti (diciamo pure che non gliene
> frega niente degli utenti), ma ciò che gli viene detto di fare.

Dai, non puoi dire una cosa del genere, pensa che la maggior parte dei
software che usi tu sono scritti per l'80% da gente che lavora per delle
aziende.

La maggior parte del kernel di linux e` scritto da gente pagata da
aziende (e anche grandi) per migliorarlo.
Solitamente funziona cosi`: l'azienda mi paga per lavorare ad una
qualche parte che interessa sia l'azienda che la community.  Per
esempio, la fujitsu (se si scrive cosi`) paga della gente per lavorare
sul kernel di linux per migliorare i cgroup, cosi` l'azienda se c'e`
qualcosa che non va in un loro software hanno un uomo interno per
sistemare le cose, e d'altra parte la community riceve questo grande
lavoro.

> Magari una backdoor, appunto. Se il codice è complicato, anche se è
> sotto gli occhi di un'intera comunità, la backdoor sta lì,
> relativamente al sicuro.

Dai, ne sto discutendo anche con altre persone su questa cosa (in real
life e anche online), questa cosa mi sembra impossibile.

Devo ammettere che prima di entrare nello sviluppo del kernel mi
chiedevo anche io "ma dai, figurarsi che qualcuno non ha messo una
backdoor da qualche parte, gli farebbe comodo".

Una volta entrato in questo (brutto) giro, posso garantirti che la cosa
non e` difficile, ma inimmaginabile!

Tutte le patch che vengono incluse nel kernel sono pubbliche (e ne e` la
prova le 500 mail al giorno che ricevo), e tutte vengono revisionate da
un sacco di persone.  C'e` gente che e` stata flagellata non per una
backdoor, ma per una `strcmp' pensata male :-).

Un'altra persona mi ha "suggerito" che potrebbero (quelli dell'FBI) aver
messo un codice maligno che si insinua non nel codice ma direttamente
nell'eseguibile.
Tralasciando che la cosa e` fantascientifica, gli ho risposto (e avviso
anche voi) che svariati sviluppatori del kernel fanno il debugging
guardando l'assembly del compilato, e se una persona riesce a trovare un
deadlock guardando l'assembly del file oggetto penso che una backdoor la
vedrebbero appena aperto il file :-).

> La mail di de Raadt chiude con il dubbio inquietante che quelle backdoor
> siano state ereditate da decine di software liberi. Io aggiungo una
> domanda: se l'FBI ha ritenuto opportuno inserire delle backdoor in un
> sistema operativo di nicchia, perchè non dovrebbe essere interessata a
> inserirle in GNU/Linux? Non nomino nemmeno Windows e MacOS, perchè se
> certi stati spendono dei soldi per creare una propria distro GNU perchè
> hanno paura dei sistemi operativi di cui non vedono i sorgenti, beh, direi
> che fidarsi di quei sistemi è paradossale...

Beh, per Windows e MacOS non posso dirti niente (non mi pagano per
vedere i loro sorgenti :-)), per Linux ti ho risposto prima.

Ad ogni modo a loro basterebbe GNU/Linux oppure appunto OpenBSD, dato
che i server dei provider & co girano con quei sistemi li`, quindi
possono comunque intercettare chiunque.

Salot