« Germany: Web giants pledge to delete hate speech in 24 hours - Fox 5 NY | WNYW | Principale | Riflessione sul 2016 di TIm Berners Lee »

18/12/2015

Commenti

Vincenzo

Che il SW aperto sia ispezionabile è cosa buona ma quanta gente è capace di comprendere un sorgente? Quante organizzazioni possono realmente dedicare persone a check e miglioria del codice? Ricavandone poi cosa? Penso che ci siano aspetti (anche economici) da non sottovalutare quando si parla di sorgenti liberamente consultabili.

Stefano Quintarelli

beh, non occorre che tutti sappiano leggerli, basta che qualcuno sia in grado ...

Stefano Bagnara

Ci sono stati casi di buchi di sicurezza presenti in software opensource da anni e scoperti solo recentemente: il più eclatante è Shellshock presente dal 1989 nel codice della Bash e scoperto nel 2014. E sicuramente non è mancata l'ispezione...

A volte è difficile per chiunque capire se c'è un buco o meno e/o se tale buco sia volontario (backdoor) o meno.

A mio parere il problema principale dei software proprietari è che se viene fuori che c'è un buco (volontario o meno) solo l'azienda che l'ha prodotto può decidere di sistemarlo e produrre una nuova versione e spesso non è nemmeno obbligata a farlo. Se il mio TV di 5 anni fa ha un buco di sicurezza che consente a chiunque "a portata di wifi" di entrare nella mia rete c'è qualcuno che obbliga il produttore a fornirmi un aggiornamento gratuito? Per aggiornare la mia TV ci vuole un connettore seriale apposito, non la posso aggiornare io da casa (lo posso fare, costruendomi un cavetto...).

Quindi come si può risolvere? E' giusto che un produttore scaduti 2 anni dalla vendita possa lavarsi completamente le mani dei problemi che ha "introdotto nel mondo" e che non sia nemmeno costretto a mettere in grado altri di provare a mettere a posto le cose?

Forse un primo passo potrebbe essere quello di stabilire che devi fornire supporto per 10 anni per i buchi di sicurezza (almeno quelli di un certo livello) dei software che distribuisci, a meno che non permetti alla comunità di poterlo fare in autonomia fornendo quindi sorgenti e istruzioni per compilare il software. E se l'azienda chiude? Si potrebbe imporre che quando chiude deve fornire i sorgenti di tutto ciò che ha distribuito o se parte del codice che ha distribuito è di proprietà di terzi fornire indicazioni di chi sono i terzi responsabili per quelle parti.

Non mi sembrerebbe una richiesta così difficile e costringerebbe chi non vuole rendere il proprio codice aperto a dare supporto per più tempo. Potrebbe funzionare? Aiuterebbe? Mi sembra che poco tempo fa tu avessi linkato un documento che andava in direzione opposta (l'apertura del codice come problema da combattere invece che soluzione...)

Probabilmente aumenterebbe un po' i costi di produzione e rallenterebbe un po' l'evoluzione, ma del resto nessuno di noi lascia la porta di casa aperta solo per risparmiare il tempo di cercare le chiavi quando torna a casa...

Vincenzo

Concordo con te su questo.
Ma nel caso specifico possiamo dire che qualcosa nel processo produttivo del software non ha funzionato ? Se ci fosse stata un'alterazione del binario dei firmware sui dispositivi sarebbe stata tutta un'altra storia ma l'alterazione di un sorgente con gli strumenti di versionig e produzione che sono oggi a disposizione degli sviluppatori mi sembra abbastanza assurda. Significa che il processo di revisione e Q.C. del software in questione sia stato piuttosto superficiale per un po' di anni.
In ogni caso mi viene da chiedere : rendere disponibili le metodologie e le implementazioni dei componenti che contribuiscono a rendere un sistema software "sicuro" fino a che punto lo rendono realmente tale ?

Bubbo Bubboni

Spunti di riflessione.

- Truecrypt su come si fa(ceva) la verifica indipendente del software.
- [nota casa automobilistica] sulle alterazioni di software a cui lavorano tantissime persone (estremamente interessante capire come persone che hanno in tasca miliardi continuino a lavorare per stipendi di poche centinaia di euro, perdipiù venendo maltrattati e disprezzati dai capi).
- Forse anche bancomat, ma non ho info fresche. Io provo sempre a schiacciare tasti a caso per vedere se azzecco la combinazione dell'easter egg ma per ora non l'ho ancora trovata.

Peccato che i doc di Snowden riguardino solo la parte tecnica. Mi piacerebbe sapere se il protocollo della parte diplomatica prevede di fare la faccia stupita quando una delle tue backdoor viene scoperta o se gli viene naturale e automatico.

mfp

Bagnara ha colto nel segno. Da sempre le autorita' si sono preoccupate di tutelare la proprieta' intellettuale anziche' di tutelare l'integrita', la qualita', la sicurezza degli strumenti tecnologici che impiega la popolazione. In altre parole: dagli anni 90 nel parlamento si e' sentita spesso l'espressione "il free software distrugge il mercato" ma mai "il software chiuso e' un rischio per la sicurezza". Le istituzioni si sarebbero dovute fare carico di cose come Freshmeat, GitHub, Wikipedia, etc. e invece si sono preoccupate solo del mercato, della proprieta'. Lasciando oltretutto questi altri oneri generali ad aziende che, per questioni di bilancio o per questioni di sicurezza nazionale (altrui) facevano i propri esclusivi interessi con pochissime eccezioni (es: RedHat, il loro sistema di ricerca e pubblicazione degli 0day).

E cosi' anche nelle universita': quanti studenti sono coinvolti in progetti pubblicamente accessibili? Quante macchine universitarie servono liberamente tutti e chiunque? Oggi e' tutto chiuso dietro NDA, e una volta preparato qualcosa di buono, esce fuori con uno spin-off commerciale ... non c'e' piu' coinvolgimento pubblico.

In tutto questo anche i militari avevano una funzione fondamentale. Le applicazioni militari sono le uniche che giustificano il modello di sviluppo waterfall (ie: piu' costoso e meno error prone). Fino a che le aziende hanno attinto dall'enorme produzione militare ... grossi problemi di sicurezza sono stati una eccezione. Oggi sono la norma.

E la quadra infine era fatta da noi singoli individui ... cani sciolti che per passione, per lavoro e per caso ... risolvevano problemi. Ma terminata l'euforia della rivoluzione informatica, il sentimento di essere coinvolti in qualcosa di nuovo senza precedenti ... e' venuta a mancare la quadra.

Vista la situazione, le aziende dovrebbero essere costrette, per legge, ad impiegare una sorta di GitHub pubblico, distribuito, come archivio codice per le applicazioni in vendita: se vuoi vendere, deve esserci il codice sorgente in quell'archivio. E le universita' lavorare su quell'archivio insieme alle aziende a fini educational: i professori selezionare gli oggetti software di valore utili al percorso di apprendimento, e gli studenti giocare con quelli per poter passare l'esame. Se per ogni studente che deve passare un esame, hai un processo di revisione codice funzionale alla produzione di del software richiesto dal prof ... a lui va la capacita' richiesta dall'esame, e a noi un software revisionato, e il fastidioso esame di fine corso diventa superfluo.

Invece gli amministratori sono ignoranti, non vogliono amministrare cose che non conoscono, non vogliono spendere in cose di cui non comprendono la necessita', hanno tutt'altre faccende per la testa su cui dirottare denaro, e quindi comprano servizi cloud per esternalizzare i costi di struttura, e perfino di infrastruttura ...

Bubbo Bubboni

Accidenti, è vero!
Militari formati per obbedire alla gerarchia & governi usi ad essere schiavi della collettività!
Ecco la soluzione!

Ad esempio negli USA hanno un ente governativo apposito: l'NSA.

mfp

Ti sbagli. La mission di NSA e' la raccolta e l'analisi dei dati - che equivale a monitoraggio e manipolazione delle persone - non la produzione e la protezione delle procedure e dei sistemi. Procedure&Sistemi lo hanno sempre fatto un po' tutte le agenzie americane: DoD, NASA, etc; in collaborazione con le universita'.

In questo senso l'unico dubbio e' sempre stato la possibilita' che introducessero bachi e procedure non documentate, per indebolire gli strumenti distribuiti al pubblico. Che e' argomento di discussione sempre aperto, anche perche' non abbiamo degli elementi veri e propri per poter dire che lo abbiano fatto.

Conosciamo cose come il Clipper Chip, l'ID inserito nel Pentium60, etc. Sappiamo che alcuni software chiusi integravano procedure di sicurezza non documentate (es: Adobe Photoshop segnalava quando una banconota veniva scannerizzata). E sappiamo che alcuni sviluppatori sono stati pagati per fare cose analoghe, so software aperto/libero, sotto accordo di riservatezza. Cosi' come sono saltati fuori bug di sicurezza nelle CPU ... che potevano essere rimasugli lasciati li' per retrocompatibilita', semplice sviste, o veri e propri cavalli di troia hardware. Ma come fai a confermare tutte queste cose?

Bubbo Bubboni

L'NSA non produce direttamente apparati ma ha una mission decisamente ampia ed è ben documentato che interagisce con i costruttori in vario modo, tra l'altro anche con la produzione di standard tecnici perfettamente "puliti".

Del resto la loro mission non è la pia "raccolta e l'analisi dei dati" ma, scolapasta in testa, "gain a decision advantage for the Nation and our allies under all circumstances", "preventing foreign adversaries from gaining access to sensitive or classified national security information" e "enables Network Warfare operations to defeat terrorists and their organizations at home and abroad, consistent with U.S. laws and the protection of privacy and civil liberties." (la relazione tra U.S. laws e libertà civili è illustrata, ad esempio, nel PATRIOT Act).

Dal punto di vista pratico per sapere cosa fanno e hanno fatto abbiamo molti dati e informazioni, da Snowden alle procedure di accesso ai dati a qualche documento per la SEC.

Ma è dal punto di vista teorico che la cosa è più interessante. Ai tempi del fascio e del nazismo (anche ante-guerra) la relazione tra industria e regime era ben codificata e chiara: l'industria era al servizio della nazione e non potevano esistere differenze di opinioni. Ne derivava che le associazioni degli imprenditori e dei lavoratori erano di tipo corportativo, ecc. ecc.

Oggi se c'è un autonomia dell'impresa lo "sporco" può essere solo contro la divinità del mercato, ma se le imprese sono soggette alle scelte politiche e ai valori patriottici allora la vita per i cittadini non è così facile come cambiare marca...

mfp

Si si, per carita', la loro missione e' succhiare risorse e denari ovunque sia possibile nel mondo, con qualunque mezzo; spiare e manipolare persone e' solo un piccolo passatempo utile. Infatti non si occupano di produrre e manutenere tecnologia che puo' essere utile al pubblico, se non incidentalmente. Ma non tutti i militari hanno questo scopo. Le altre agenzie (es: NASA, la marina, etc) nei passati decenni hanno finanziato, pubblicato e manutenuto cose utili; se non sbaglio lasciando a NSA il solo compito di selezionare le tecnologie crittografiche pubblicabili (NIST e' NSA?).
Onestamente non conosco la tecnostruttura americana, ma i militari hanno da sempre finanziato molta della tecnologia poi rilasciata al pubblico. E sinceramente, a parte forse gli abusi contabili, non ci trovo nulla di male. Il pubblico ha gia' dimostrato di volere e sapere solo scaricare porno, e chattare ... le app per scrutare l'universo fanno 4 download da 1.99 euro l'anno, i loro sviluppatori muoiono di fame; invece le app dei discorsi del duce e la app per condividere gli scatti delle feci nel cesso sono gettonatissimi. Se non ci fossero i militari a finanziare le universita', non saremmo in grado neanche di avere il telefono per fotografare le feci nel cesso. Quindi ben venga che i militari ogni tanto regalino 4 noccioline a noi scimmiette. L'industria, questo, non lo fa; non e' un ente no-profit (come i militari; al di la' dell'indotto che generano).

L'autonomia dell'impresa di cui parli, non e' stata positiva, se non incidentalmente. Da 3 anni a questa parte, con Snowden, e' diventato particolarmente chiaro: governi e aziende si stanno tirando la palla avvelenata senza concludere una ceppa. Hanno messo 4 toppe qui e li' ad impianti legali fallati nella ratio. Ultimo atto di questi giorni: http://punto-informatico.it/4291501/PI/News/uk-tecnocontrollo-scontenta-tutti.aspx

Uk e Us sono stati onestissimi: sulla possibilita' di spiare i cittadini abbiamo costruito 300 anni di castello normativo, sentenza dopo sentenza, comprese quelle di morte ... di certo non lo cambiamo oggi a furor di popolo.
Industria: se voi spiate, la gente si da' alle bocce, e noi non generiamo profitti.

Da noi, oltretutto, al di la' del fatto che non si capisce se siamo in EU (e quindi la Costituzione e' carta straccia) o meno ... la relazione tra industria e regime sarebbe tale e quale a quella che descrivi essere stata l'impostazione fascista

"L'iniziativa economica privata è libera.
Non può svolgersi in contrasto con l'utilità sociale o in modo da recare danno alla sicurezza, alla libertà, alla dignità umana.
La legge determina i programmi e i controlli opportuni perché l'attività economica pubblica e privata possa essere indirizzata e coordinata a fini sociali." (art. 41 Cost.)

Poi, che non avvenga perche' non ci facciamo da soli queste tecnologie e le compriamo da entita' non soggette a questa relazione, e' un altro conto. Siamo deficienti (dal latino "ammancare") e ci lamentiamo di quello che (ci) fanno loro. Siamo esseri insulsi.

Paolo

https://lwn.net/Articles/653465/

Suggerisco la lettura, è rivelatrice.

I commenti per questa nota sono chiusi.