[AcLab] fbi, openbsd e i soldi

[santec a riseup.net]

> Scusa, ma le TODO list che ho letto io non avevano feature di questo
> tipo, anche se di progetti open source pagati da aziende.
>
> E` vero, tipo la TODO list delle Qt comprende anche lavoro sui
> cellulari, ma questo e` perche` appartiene alla Nokia o perche` comunque
> i cellulari oggi giorno sono un mercato in espansione e non puoi
> rimanerne fuori?

Un esempio di quello che intendo: MySQL da molti anni sviluppa quasi solo
funzionalità di cui non puoi beneficiare se lo usi in hosting. Se sei in
hosting ci sono veramente poche differenze fra MySQL 4.0 e MySQL 5.1. E
questo perchè se sei in hosting sicuramente non comprerai il loro supporto
tecnico...

Ma sicuramente per molti tipi di programmi "desktop" questa
differenziazione non c'è, perchè una grande compagnia assicurativa userà
le Qt o Firefox o Gnome esattamente come li userei io.


> Attenzione, de Raadt non se ne lava le mani, ma mica puo` controllare
> tutto lui, se tu fossi il maintainer (e quindi quello che ci rimette la
> faccia) di OpenBSD, il sistema che e` nato per essere piu` sicuro di
> tutti, avresti pubblicato (rimettendoci anche la tua faccia) una mail
> del genere?
>
> Lui si`, perche` vuole che tutti sappiano e che la community si difenda
> e controlli (e anche lui sicuramente lo stara` facendo).

Lo spero, ma non è quello che scrive. Comunque non voglio insistere, il
problema è più generico e non riguarda solo OpenBSD.


> Inoltre, dove scrive che sarebbe una cosa possibile?

Non credo di aver interpretato male: nel momento in cui invita la gente a
verificare, fa capire che la notizia potrebbe essere vera.


> Dai, non puoi dire una cosa del genere, pensa che la maggior parte dei
> software che usi tu sono scritti per l'80% da gente che lavora per delle
> aziende.

Questo è il problema...


> La maggior parte del kernel di linux e` scritto da gente pagata da
> aziende (e anche grandi) per migliorarlo.
> Solitamente funziona cosi`: l'azienda mi paga per lavorare ad una
> qualche parte che interessa sia l'azienda che la community.  Per
> esempio, la fujitsu (se si scrive cosi`) paga della gente per lavorare
> sul kernel di linux per migliorare i cgroup, cosi` l'azienda se c'e`
> qualcosa che non va in un loro software hanno un uomo interno per
> sistemare le cose, e d'altra parte la community riceve questo grande
> lavoro.

Però, nel caso in questione, pare che l'FBI abbia pagato la NETSEC per
inserire una backdoor...


> Dai, ne sto discutendo anche con altre persone su questa cosa (in real
> life e anche online), questa cosa mi sembra impossibile.
>
> Devo ammettere che prima di entrare nello sviluppo del kernel mi
> chiedevo anche io "ma dai, figurarsi che qualcuno non ha messo una
> backdoor da qualche parte, gli farebbe comodo".
>
> Una volta entrato in questo (brutto) giro, posso garantirti che la cosa
> non e` difficile, ma inimmaginabile!
>
> Tutte le patch che vengono incluse nel kernel sono pubbliche (e ne e` la
> prova le 500 mail al giorno che ricevo), e tutte vengono revisionate da
> un sacco di persone.  C'e` gente che e` stata flagellata non per una
> backdoor, ma per una `strcmp' pensata male :-).

Se tu mi dici che nel kernel Linux questo sarebbe impossibile questo mi
rassicura, ma non credo che in tutti i progetti free/open source sia
così... chiaramente, se mi sbaglio non può che farmi piacere...

Però, correggimi se mi ricordo male. Quando la borland ha reso free il suo
dbms, chiamandolo FirebirdSQL, solo dopo parecchi mesi la NASA si è
accorta di una backdoor (che era stata messa lì da un programmatore che
aveva lavorato alla borland diversi anni prima).


> Ad ogni modo a loro basterebbe GNU/Linux oppure appunto OpenBSD, dato
> che i server dei provider & co girano con quei sistemi li`, quindi
> possono comunque intercettare chiunque.

Infatti questa è una cosa che nella mail precedente non ho scritto: se
OpenBSD contiene questa backdoor è un problema di tutti, non di chi usa
BSD sul suo computer personale...

f.