[e-privacy] Re: Backdoor inserita nel kernel Linux 2.6
Francesco Poli
frx at firenze.linux.it
Wed Nov 19 23:17:33 CET 2003
On Wed, 19 Nov 2003 19:59:27 +0100 marcoc1 at dada.it wrote:
> On Mon, 2003-11-17 at 20:44, caparossa wrote:
[...]
> > vero. ma se non lo puoi manco vedere, il codice, col cazzo che ti
> > accorgi delle back dors...
>
> Toc toc, sono io, se non ci metti nemmeno una faccina
> e dici sul serio resto basito.
>
> Ma visto che due mail mi rimproverano la stessa cosa,
> sono certo io che mi sono spiegato male.
Se ti riferisci anche al mio messaggio in cui
ho scritto:
: IMHO, questo prova (una volta di piu`) che lo sviluppo del kernel
: Linux e` portato avanti in modo estremamente serio e scrupoloso.
preciso che non ti stavo rimproverando nulla.
> Leggetevi il thread incriminato; il lavoro fatto bene
> e' la backdoor, veramente ben dissimulata.
L'ho letto e (visto che conosco il C++ e, di riflesso, un po' di C)
posso apprezzare quanto sia nascosta una backdoor cosi` congegnata.
> Il fatto che una persona famosa, scrupolosa e
> competente se ne sia accorta ha invece una
> grossa componente di buona sorte.
Certo: quello che penso io (e che, in parte, ho espresso nel mio
messaggio) e` che, nonostante la presenza di backdoor sia sempre in
agguato, il pericolo e` minore quando il programma e` libero e
sviluppato in modo serio e attento (come mi pare sia il caso del kernel
Linux). Infatti la scoperta di backdoor puo` avvenire, come dici tu, in
maniera almeno parzialmente fortuita: l'aumento del numero di persone
(bene intenzionate) che possono visionare e analizzare il codice
sorgente non puo` che aumentare la probabilita` di successo.
Non mi fraintere: non sto dicendo che i programmi liberi sono
necessariamente esenti da backdoor e che possiamo dormire sonni
tranquilli. Infatti ho anche scritto:
: e` necessario stare sempre attenti alla sicurezza: quando si
: programma, quando si amministra, etc...
Ho solo espresso la mia (personale) valutazione: mi sembra piu`
probabile che una backdoor resti nascosta in un programma proprietario,
piuttosto che in un programma libero.
> Se qualcuno dice che c'e' da contarci, per favore
> mi convinca che mi fara' un grosso piacere.
Come ho detto: nulla e` garantito, nulla e` sicuro al 100 %
Soltanto, reputo piu` facile che una backdoor venga scoperta ed
eliminata in un programma libero (e sviluppato in modo scrupoloso da
un'ampia comunita`), piuttosto che in un programma proprietario il cui
sorgente sia noto solo a pochi dipendenti di una singola azienda (in
questo ultimo caso c'e` anche da temere che la presenza della backdoor
sia dovuta ad una precisa volonta` da parte dei dirigenti dell'azienda).
> Estrapolazione: in quanto posti di software liberi
> e di software proprietari ci sono perle del genere
> mai scoperte ? Backdoor, non vulnerabilita'!
Chi puo` dirlo? Non puoi contare le backdoor non ancora scoperte
(sarebbe come fare il censimento degli immigrati clandestini...). Con il
software libero, puoi verificare di persona (o far verificare al tuo
programmatore di fiducia); lo so che questo non significa
necessariamente che lo farai, ma almeno *puoi* farlo. Mi pare gia` un
grosso passo avanti rispetto a doversi fidare della buona fede e del
controllo di qualita` di un singolo produttore.
> Con il software ormai ci si vive, e' una cosa
> che fa pensare anche i paranoici.
E` senza dubbio una cosa che fa pensare: io, in questo episodio, vedevo
*anche* degli aspetti che fanno ben sperare. Rimangono, senza ombra di
dubbio, parecchi aspetti inquietanti.
Spero di aver chiarito.
--
| GnuPG Key ID = DD6DFCF4 | You're compiling a program
Francesco | Key fingerprint = | and, all of a sudden, boom!
Poli | C979 F34B 27CE 5CD8 DC12 | -- from APT HOWTO,
| 31B5 78F4 279B DD6D FCF4 | version 1.8.0
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: not available
URL: <http://lists.winstonsmith.org/pipermail/e-privacy/attachments/20031119/a3d8bbde/attachment.pgp>
More information about the E-privacy
mailing list