Una notizia che dedico all' amico Belnudo che tanto "stressa" col software libero...
vorrei poi un giudizio-commento di Jena.

Un programmatore denuncia: io e altri siamo stati pagati dai federali per inserire canali
di intercettazione nascosti nel sistema operativo open source

Un'accusa pesante: l'FBI "avrebbe" infilato delle vere e proprie “cimici digitali” nel sistema operativo OpenBSD e la cosa potrebbe avere ripercussioni anche su altri sistemi operativi, come per esempio Mac OS X di Apple.

Lo afferma una mail del programmatore ed ex consulente dell'FBI Gregory Perry, inviata a Theo de Raadt, capo del progetto OpenBSD, un sistema operativo simile a Unix, aperto e liberamente scaricabile, celebre fra gli appassionati per la sua qualità e sicurezza, tanto da vantare il record invidiabile di due sole falle gravi in dieci anni.

OpenBSD è appunto open: tutto il suo contenuto, il codice sorgente, è pubblico e verificabile, e questo viene interpretato di solito come "garanzia di sicurezza e trasparenza."

Ma la mail di Perry dice che l'FBI pagò vari sviluppatori del software (e Perry ne fa i nomi) per inserire delle backdoor (accessi segreti) in OpenBSD, specificamente nel suo stack IPSEC,
una parte fondamentale per la cifratura e protezione delle reti private virtuali (VPN).

Se fosse vero, sarebbe uno smacco fortissimo per OpenBSD, che ha sempre fatto della sicurezza il proprio vanto principale, ma in generale per uno dei principi fondamentali dell'open source, secondo il quale se il codice è pubblico non può contenere trappole.

Va chiarito subito che per ora si tratta soltanto di un'accusa di cui mancano conferme, anche se una fonte FBI ha Twitterato
"esperimento sì, successo no", vale a dire che l'FBI ci ha provato ma non c'è riuscita. O almeno così dice.

L'esame del codice è già in corso e finora non ha trovato tracce di manomissioni o backdoor. Va anche detto che la presunta
infiltrazione dell'FBI risalirebbe a dieci anni fa, e in dieci anni lo stack IPSEC di OpenBSD ha subito grandi evoluzioni, quindi di quelle "cimici" oggi potrebbe non essere rimasto nulla.

La faccenda, però, non riguarda solo OpenBSD, che è comunque un prodotto abbastanza di nicchia
(ma molto usato per i siti Web).

Il codice incriminato è stato in parte riutilizzato in altri sistemi operativi, compreso Mac OS X, per cui secondo Intego "esiste la possibilità che se sono presenti queste backdoor, ne possa essere affetto Mac OS X" e che lo stesso valga per "altre suite e framework di sicurezza in vari sistemi operativi".

Sempre Intego sottolinea che al momento "non c'è motivo di non usare
una VPN su Mac OS X; se esistono queste backdoor, sono probabilmente accessibili soltanto all'FBI (o ad altre agenzie di sicurezza) e a meno che temiate che queste agenzie acquisiscano le informazioni che trasmettete su una VPN, siete probabilmente al sicuro."


Non so quanto siano davvero rassicuranti queste parole, ma c'è una cosa importante da sottolineare a chi pensa che questa possa
essere una sconfitta per la filosofia open source: è solo grazie alla disponibilità pubblica del codice sorgente che si
può verificare quest'accusa.

Gli altri sistemi operativi, quelli che non divulgano il proprio codice, non consentono di sapere cosa c'è dentro.

La news e' uscita perche' al programmatore dopo 10 anni e' scaduto il divieto di divulgare segreti...
la domanda che mi-Vi faccio, se codice aperto come mai nessuno se ne e' mai accorto ?
La cosa che stupisce è che in un sistema open che tra l'altro fa della sicurezza un proprio punto di forza ci
siano delle backdoor di cui nessuno si è accorto (magari scambiandole per bug) o che, se sono state scoperte,
sono state tenute segrete... E sarebbe una cosa gravissima proprio perchè cadrebbero alcuni dei "pilastri" dell'Open Source:
il fatto che "più gente può vedere il codice, più gente può trovare i difetti" e che "i sistemi open source sono più sicuri perchè
puoi saprere sempre cosa fa il programma...

Sono seguite rassicurazioni da parte dell' ente...
non preoccupatevi, i vostri dati, cazzi e mazzi al limite li legge solo l' FBI........ ( minchia che rassicurante...)

A parte open source, se ben ricordo parti dello stack TCP/IP (che si occupa delle connessioni di rete a livello di protocollo)
di Windows Vista sono basate sul codice di openBSD. Speriamo non IPSEC

Probabilmente anche Microsoft fa la stessa cosa; solo che non essendo open source non si sa....


Ah. per chi non sapesse cosa e' openBSD:

https://secure.wikimedia.org/wikipedia/en/wiki/OpenBSD

http://www.openbsd.org/why-cvs.html


Fonti:

http://www.theregister.co.uk/2010/12/15 ... oor_claim/

http://arstechnica.com/open-source/news ... -stack.ars

http://punto-informatico.it/3056481/PI/ ... l-fbi.aspx

La SAN di HP ha una backdoor segreta

Un'unità di storage messa in vendita dal colosso statunitense contiene un account amministratore "segreto".
HP conferma e rassicura: abbiamo già preparato una patch
Le backdoor "non ufficiali" sono una costante delle tecnologie proprietarie o a codice aperto, e non bastasse l'allarme recentemente lanciato da Gregory Perry sulle porte di accesso segrete in OpenBSD a opera dell'FBI, arriva ora una nuova segnalazione sulle unità SAN (Storage Area Network) di HP.
Una di queste unità contiene un super-account non documentato, potenzialmente in grado di garantire a utenti non autorizzati l'accesso completo al sistema.
A essere interessata dal problema è in particolare l'unità SAN P2000 G3 MSA, che nei meandri del codice del firmware contiene l'account "admin" con password "!admin".
L'account non viene citato in alcun modo nella documentazione del prodotto, non è accessibile dall'interfaccia grafica di gestione e può apportare modifiche normalmente precluse all'utente/amministratore.
Un ulteriore rapporto conferma la possibilità di cambiare la password "!admin" per il super-account usando l'interfaccia a riga di comando.
Avendo a disposizione una backdoor come questa, un malintenzionato potrebbe facilmente accedere all'unità SAN mettendo a rischio l'integrità e la riservatezza dei dati in essa contenuti.
La backdoor è reale e anche HP conferma la sua esistenza, anche se parla solo di un potenziale rischio di sicurezza e non avalla l'ipotesi secondo la quale il super-account sarebbe stato inserito nell'unità SAN a fini di supporto esterno.
Sia come sia la frittata oramai è fatta, e per tentare di correre ai ripari il colosso statunitense rassicura la clientela sul fatto che la "falla" riguardi solo P2000 G3 MSA e nessun'altro prodotto della linea MSA.
HP sta inoltre provvedendo a informare i possessori di sistemi P2000 G3 sull'esistenza del problema e la disponibilità di un fix.

http://punto-informatico.it/3058218/PI/ ... greta.aspx

ripeto la massima che vale anche per il software libero:
un computer sicuro è un computer spento

Il pregio, su questo versante, del software libero è che puoi indagare e risolvere.
Col software NON libero te lo tieni così com'è e non puoi fare nulla.

--------------------------------
porte segrete parte 2^

Mosca «espelle» Windzows e passa al software libero

In Russia Microsoft Windzows dovrà essere sostituito con un sistema operativo libero tipo GNU/Linux su tutti i computer del governo e di altri enti pubblici entro la fine del 2014.
Il decreto che ordina il passaggio è stato firmato dal premier Vladimir Putin che aveva più volte auspicato l'elaborazione di un originale sistema operativo russo.
Tra i motivi della decisione ci sono i timori, nutriti dalle vicende di WikiLeaks, che il software americano contenga "buchi" che permettano la fuga delle informazioni riservate.
I militari sospettano che la creatura di Bill Cancelli contenga "codici segreti" in grado di mettere fuori uso i sistemi delle forze armate russe in caso di guerra.
Infine il Cremlino vuole ridurre le spese «esageratamente alte» che stato, università e scuole pagano per le licenze della Microzsoft.

http://www.ilsole24ore.com/art/tecnolog ... d=AYDrfxvC

si come avevo premesso col software NON libero te lo tieni... ma sia in un caso che nell' altro
c'e' poco da star tranquilli....

sappiamo tutti che il computer sicuro e' quello spento, ma non potremmo confrontarci e condividere
ciao Fede

federicoweb ha scritto:si come avevo premesso col software NON libero te lo tieni... ma sia in un caso che nell' altro
c'e' poco da star tranquilli....

sappiamo tutti che il computer sicuro e' quello spento, ma non potremmo confrontarci e condividere
ciao Fede

illuso
lo sanno, forse, quelli che leggono qui

in effetti...
poi devo dire che con alcuni sarebbe meglio non condividere-confrontarsi....

paura della finanza..