[AcLab] fbi, openbsd e i soldi
al3xu5 / dotcommon
dotcommon a autistici.org
Dom 19 Dic 2010 17:58:13 UTC
Il giorno venerdì 17/12/2010 20:32:05 CET
santec a riseup.net ha scritto:
[...]
> > Attenzione, de Raadt non se ne lava le mani, ma mica puo`
> > controllare tutto lui, se tu fossi il maintainer (e quindi quello
> > che ci rimette la faccia) di OpenBSD, il sistema che e` nato per
> > essere piu` sicuro di tutti, avresti pubblicato (rimettendoci anche
> > la tua faccia) una mail del genere?
> >
> > Lui si`, perche` vuole che tutti sappiano e che la community si
> > difenda e controlli (e anche lui sicuramente lo stara` facendo).
>
> Lo spero, ma non è quello che scrive. Comunque non voglio insistere,
> il problema è più generico e non riguarda solo OpenBSD.
al di là del caso specifico, concordo decisamente sul fatto che si
tratta di un (grosso) problema generale
quando una community indipendente (soprattutto dal p.d.v. economico) e
magari con una morale/etica libera/libertaria scrive del codice
libero lo fa, verosimilmente, non solo cercando di fare tecnicamente un
buon lavoro ma anche curandosi della libertà e della privacy di chi
userà il software
quando invece il codice è scritto da chi fa un lavoro retribuito per
una azienda (che per definizione opera in un contesto economico e mira
al profitto), allora diventa verosimile che qualcuno (soprattutto tra
chi assembla i moduli del software) non sia più così particolarmente
attento...
e neanche il fatto che si tratti di software rilasciato con licenze
libere è una garanzia: così come ci possono anche essere dei bug
critici di sicurezza che non vengono individuati per anni e anni,
allo stesso modo può esserci una backdoor! e non solo "nascosta" tra il
codice aperto...
codice aperto e licenza libera non vuol dire che, indirettamente, non
abbiamo a che fare anche con codice chiuso: come esempio su tutti
basta pensare al kernel vanilla (il cui sviluppo è ampiamente
finanziato da aziende) che "ingloba" svariati blobs binari molto dei
quali sono, guarda caso, driver e/o firmware di periferica che vengono
rilasciati non dagli sviluppatori che lavorano con linus ma dagli stessi
produttori delle periferiche...
tra queste periferiche ci sono anche, ad esempio / guarda caso,
la gran parte delle schede di rete (pci e usb): ovvero qualcosa in cui
molte "entità" sarebbero ben felici di piazzare delle backdoor...
e poi non dimentichiamoci del supporto per il treacherous computing, ben
presente nel kernel linux vanilla e anche (sigh!) nel kernel
linux-libre...
> > Inoltre, dove scrive che sarebbe una cosa possibile?
>
> Non credo di aver interpretato male: nel momento in cui invita la
> gente a verificare, fa capire che la notizia potrebbe essere vera.
beh in effetti il senso è quello
> > Dai, non puoi dire una cosa del genere, pensa che la maggior parte
> > dei software che usi tu sono scritti per l'80% da gente che lavora
> > per delle aziende.
>
> Questo è il problema...
appunto...
> > La maggior parte del kernel di linux e` scritto da gente pagata da
> > aziende (e anche grandi) per migliorarlo.
> > Solitamente funziona cosi`: l'azienda mi paga per lavorare ad una
> > qualche parte che interessa sia l'azienda che la community. Per
> > esempio, la fujitsu (se si scrive cosi`) paga della gente per
> > lavorare sul kernel di linux per migliorare i cgroup, cosi`
> > l'azienda se c'e` qualcosa che non va in un loro software hanno un
> > uomo interno per sistemare le cose, e d'altra parte la community
> > riceve questo grande lavoro.
non fai altro che confermare quanto ho detto prima sul kernel...
> Però, nel caso in questione, pare che l'FBI abbia pagato la NETSEC per
> inserire una backdoor...
e non pagherebbe/spingerebbe per inserire delle backdoor nei blobs
driver/firmware delle schede di rete ad es. della intel?
> > Dai, ne sto discutendo anche con altre persone su questa cosa (in
> > real life e anche online), questa cosa mi sembra impossibile.
> >
> > Devo ammettere che prima di entrare nello sviluppo del kernel mi
> > chiedevo anche io "ma dai, figurarsi che qualcuno non ha messo una
> > backdoor da qualche parte, gli farebbe comodo".
> >
> > Una volta entrato in questo (brutto) giro, posso garantirti che la
> > cosa non e` difficile, ma inimmaginabile!
> >
> > Tutte le patch che vengono incluse nel kernel sono pubbliche (e ne
> > e` la prova le 500 mail al giorno che ricevo), e tutte vengono
> > revisionate da un sacco di persone. C'e` gente che e` stata
> > flagellata non per una backdoor, ma per una `strcmp' pensata
> > male :-).
ma non credo che nessuno possa andare a ispezionare i blob binari...
> Se tu mi dici che nel kernel Linux questo sarebbe impossibile questo
> mi rassicura, ma non credo che in tutti i progetti free/open source
> sia così... chiaramente, se mi sbaglio non può che farmi piacere...
infatti... il kernel è solo uno dei tanti esempi posibili...
[...]
> > Ad ogni modo a loro basterebbe GNU/Linux oppure appunto OpenBSD,
> > dato che i server dei provider & co girano con quei sistemi li`,
> > quindi possono comunque intercettare chiunque.
:-(
> Infatti questa è una cosa che nella mail precedente non ho scritto: se
> OpenBSD contiene questa backdoor è un problema di tutti, non di chi
> usa BSD sul suo computer personale...
:-(
saluti
al3xu5 / dotcommon
--
Support free software! Join FSF: http://www.fsf.org/jf?referrer=7535
______________________________________________________________________
Public GPG/PGP key block
ID: 1024D/11C70137
Fingerprint: 60F1 B550 3A95 7901 F410 D484 82E7 5377 11C7 0137
Key download: http://bitfreedom.noblogs.org/gallery/5721/dotcommon.asc
[ Please, do not send my key to any keyserver! ]
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome: signature.asc
Tipo: application/pgp-signature
Dimensione: 307 bytes
Descrizione: non disponibile
URL: <https://lists.aktivix.org/pipermail/aclab/attachments/20101219/be391920/attachment.pgp>
Maggiori informazioni sulla lista
AcLab