Salve 380, come Antonio, ho seguito la questione nel suo svilupparsi, con un misto di tristezza e divertimento, tanto da aver preceduto Schneier [1].
Si tratta però di ovvietà: centinaia di simili backdoor sono correntemente in produzione. Forse migliaia. Solo i professionisti del InfoSec possono fingere di credere il contrario (da cui il dramma inscenato online). Tuttavia, tutte le analisi che ho letto sull'attacco subito da OpenSSH tramite SystemD tramite XZ sono basate sulle stesse assunzioni che hanno reso possibile l'attacco. Alla base di questo castello di assunzioni c'è l'accettazione della enorme complessità degli stack applicativi mainstream, in cui nascondere una backdoor è facilissimo anche se (de)i sorgenti sono disponibili. Le libertà promesse dal software libero (e ancor più da quello opensource) sono sistematicamente vanificate dalla complessità che lo caratterizzano. Se una persona adulta non può leggere e comprendere interamente un software in (al massimo) un mese, quel software è irrimediabilmente vulnerabile e probabilmente compromesso. Il resto sono favolette consolatorie. Non è un problema dell'FLOSS. Non è un problema di autoconf. Non è nemmeno un problema di riproducibilità delle build. C'è un problema di sfruttamento degli sviluppatori volontari, ma risolverlo non risolverà il problema. Il problema è cibernetico e culturale, non tecnico o economico. Dovremmo ristudiare Wirth: https://www.projectoberon.net/ Giacomo [1] https://qoto.org/@Shamar/112195245691551523 _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
