[AcLab] fbi, openbsd e i soldi

al3xu5 / dotcommon dotcommon a autistici.org
Dom 19 Dic 2010 17:58:13 UTC 

Il giorno venerdì 17/12/2010 20:32:05 CET
santec a riseup.net ha scritto:

[...]

> > Attenzione, de Raadt non se ne lava le mani, ma mica puo`
> > controllare tutto lui, se tu fossi il maintainer (e quindi quello
> > che ci rimette la faccia) di OpenBSD, il sistema che e` nato per
> > essere piu` sicuro di tutti, avresti pubblicato (rimettendoci anche
> > la tua faccia) una mail del genere?
> >
> > Lui si`, perche` vuole che tutti sappiano e che la community si
> > difenda e controlli (e anche lui sicuramente lo stara` facendo).
> 
> Lo spero, ma non è quello che scrive. Comunque non voglio insistere,
> il problema è più generico e non riguarda solo OpenBSD.

al di là del caso specifico, concordo decisamente sul fatto che si
tratta di un (grosso) problema generale

quando una community indipendente (soprattutto dal p.d.v. economico) e
magari con una morale/etica libera/libertaria scrive del codice
libero lo fa, verosimilmente, non solo cercando di fare tecnicamente un
buon lavoro ma anche curandosi della libertà e della privacy di chi
userà il software

quando invece il codice è scritto da chi fa un lavoro retribuito per
una azienda (che per definizione opera in un contesto economico e mira
al profitto), allora diventa verosimile che qualcuno (soprattutto tra
chi assembla i moduli del software) non sia più così particolarmente
attento...

e neanche il fatto che si tratti di software rilasciato con licenze
libere è una garanzia: così come ci possono anche essere dei bug
critici di sicurezza che non vengono individuati per anni e anni,
allo stesso modo può esserci una backdoor! e non solo "nascosta" tra il
codice aperto... 

codice aperto e licenza libera non vuol dire che, indirettamente, non
abbiamo a che fare anche con codice chiuso: come esempio su tutti
basta pensare al kernel vanilla (il cui sviluppo è ampiamente
finanziato da aziende) che "ingloba" svariati blobs binari molto dei
quali sono, guarda caso, driver e/o firmware di periferica che vengono
rilasciati non dagli sviluppatori che lavorano con linus ma dagli stessi
produttori delle periferiche... 

tra queste periferiche ci sono anche, ad esempio / guarda caso,
la gran parte delle schede di rete (pci e usb): ovvero qualcosa in cui
molte "entità" sarebbero ben felici di piazzare delle backdoor...

e poi non dimentichiamoci del supporto per il treacherous computing, ben
presente nel kernel linux vanilla e anche (sigh!) nel kernel
linux-libre...

> > Inoltre, dove scrive che sarebbe una cosa possibile?
> 
> Non credo di aver interpretato male: nel momento in cui invita la
> gente a verificare, fa capire che la notizia potrebbe essere vera.

beh in effetti il senso è quello

> > Dai, non puoi dire una cosa del genere, pensa che la maggior parte
> > dei software che usi tu sono scritti per l'80% da gente che lavora
> > per delle aziende.
> 
> Questo è il problema...

appunto...

> > La maggior parte del kernel di linux e` scritto da gente pagata da
> > aziende (e anche grandi) per migliorarlo.
> > Solitamente funziona cosi`: l'azienda mi paga per lavorare ad una
> > qualche parte che interessa sia l'azienda che la community.  Per
> > esempio, la fujitsu (se si scrive cosi`) paga della gente per
> > lavorare sul kernel di linux per migliorare i cgroup, cosi`
> > l'azienda se c'e` qualcosa che non va in un loro software hanno un
> > uomo interno per sistemare le cose, e d'altra parte la community
> > riceve questo grande lavoro.

non fai altro che confermare quanto ho detto prima sul kernel...

> Però, nel caso in questione, pare che l'FBI abbia pagato la NETSEC per
> inserire una backdoor...

e non pagherebbe/spingerebbe per inserire delle backdoor nei blobs
driver/firmware delle schede di rete ad es. della intel? 

> > Dai, ne sto discutendo anche con altre persone su questa cosa (in
> > real life e anche online), questa cosa mi sembra impossibile.
> >
> > Devo ammettere che prima di entrare nello sviluppo del kernel mi
> > chiedevo anche io "ma dai, figurarsi che qualcuno non ha messo una
> > backdoor da qualche parte, gli farebbe comodo".
> >
> > Una volta entrato in questo (brutto) giro, posso garantirti che la
> > cosa non e` difficile, ma inimmaginabile!
> >
> > Tutte le patch che vengono incluse nel kernel sono pubbliche (e ne
> > e` la prova le 500 mail al giorno che ricevo), e tutte vengono
> > revisionate da un sacco di persone.  C'e` gente che e` stata
> > flagellata non per una backdoor, ma per una `strcmp' pensata
> > male :-).

ma non credo che nessuno possa andare a ispezionare i blob binari...

> Se tu mi dici che nel kernel Linux questo sarebbe impossibile questo
> mi rassicura, ma non credo che in tutti i progetti free/open source
> sia così... chiaramente, se mi sbaglio non può che farmi piacere...

infatti... il kernel è solo uno dei tanti esempi posibili...

[...]
> > Ad ogni modo a loro basterebbe GNU/Linux oppure appunto OpenBSD,
> > dato che i server dei provider & co girano con quei sistemi li`,
> > quindi possono comunque intercettare chiunque.

:-(

> Infatti questa è una cosa che nella mail precedente non ho scritto: se
> OpenBSD contiene questa backdoor è un problema di tutti, non di chi
> usa BSD sul suo computer personale...

:-(

saluti
al3xu5 / dotcommon

--
Support free software! Join FSF: http://www.fsf.org/jf?referrer=7535
______________________________________________________________________
Public GPG/PGP key block
ID:           1024D/11C70137
Fingerprint:  60F1 B550 3A95 7901 F410  D484 82E7 5377 11C7 0137
Key download: http://bitfreedom.noblogs.org/gallery/5721/dotcommon.asc
[ Please, do not send my key to any keyserver! ]

-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        signature.asc
Tipo:        application/pgp-signature
Dimensione:  307 bytes
Descrizione: non disponibile
URL:         <https://lists.aktivix.org/pipermail/aclab/attachments/20101219/be391920/attachment.pgp>

Maggiori informazioni sulla lista AcLab