On 4/12/24 09:49, 380° wrote:
Buongiorno,
a chi è intervenuto (e interverrà) nel thread: grazie davvero per i
commenti che avete inviato, vi prometto che con calma vi risponderò ove
necessario, ma prima vorrei finire almeno la parte 2 della mia analisi e
ci vorrà ancora un po' di tempo (indefinito).
Lungi da me voler dissuadere chiunque dall'aggiungere i propri commenti
a questo thread, faccio però a tutti una preghiera: siccome si tratta di
una questione relativamente complessa, sarebbe il caso che chi non
avesse avuto modo di studiare la questione "backdoor in XZ", anche
leggendo analisi altrui, si astenesse _momentaneamente_ dai commenti,
perché mancherebbero elementi importanti per formarsi un giudizio
completo in merito alla situazuione, alle sue cause e alle possibili
soluzioni a medio/lungo termine; sta succedendo anche a _superstar_ del
settore di sbagliare clamorosamente, credetemi.
Infine, sapete che io sono il re degli OT ma in questo thread mi
piacerebbe ci concentrassimo sugli aspetti tecnici *e* ambientali
(sociali, economici, ecc.) che hanno reso possiblile questo _specifico_
attacco che definirei:
"targeted backdoor injection through build process subversion of a
library via supply chain attack by unfaithful authority"
...se non lo capite adesso, spero che dopo la parte 2 sarà più chiaro.
Per ora aggiungo solo che non si tratta di una "banale" backdoor [1] e
nemmeno di un "banale" supply chain attack [2], perché per quel tipo di
attacchi l'ecosistema FLOSS ha già trovato _da_diverso_tempo_ una
*soluzione* tecnica, che alcune distribuzioni GNU/Linux et al stanno
cercando di attuare, risolvendo pazientemente le "asperità tecniche e
sociali" che stanno emergendo nelle fasi di _implementazione_ delle
soluzioni trovare.
Alla prossima puntata :-)
Loving, 380°
[1] per esempio inserita direttamente nel codice della libreria
[2] per esempio attuato infiltrandosi senza autorizzazione nel sistema
di distribuzione del *binario*
Grazie mille, 380°, veramente ben fatta.
Attendo la seconda parte, allora.
D.
(null)
_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
