Un dubbio mi assilla.

[Sabonis]

Salve utilizzo Linux da poco e devo dire che mi ci trovo bene, benissimo se non fosse per i driver ati che non riesco a far andare in nessun modo.
Oggi mi è venuto un dubbio riguardo alla sicurezza di Linux e del software open source in generale.
Ecco io uso ubuntu e posso essere sicuro che non ci siano malware, spyware,backdoors nei vari programmi perchè sono a sorgente aperto e chiunque può esaminare il codice.
Ma ora mi chiedo, visto che alla fine scarico sempre dei file binari precompilati, chi mi garantisce che questi siano ottenuti a partire dal sorgente reso disponibile
e non da uno alternativo contenente ogni sorta di porcheria?
Esiste qualche sistema a me ignoto?? Esiste realmente questo problema e siamo in balia dei programmatori un pò come accade per il software proprietario oppure (cosa più probabile) sono io che non ho capito un cavolo e mi sto facendo delle seghe mentali per nulla?

[ilsensine]

Quote:

Originariamente inviato da Sabonis

Oggi mi è venuto un dubbio riguardo alla sicurezza di Linux e del software open source in generale.
Ecco io uso ubuntu e posso essere sicuro che non ci siano malware, spyware,backdoors nei vari programmi perchè sono a sorgente aperto e chiunque può esaminare il codice.

Dipende...
http://www.freelabs.it/article.php?s...61029194038522
La disponibilità dei sorgenti può aiutare nello scovare (e risolvere) problemi di sicurezza, ma non sono la fine della storia. Esistono programmi closed source sicuri, come programmi open source la cui sicurezza è discutibile.

Quote:

Ma ora mi chiedo, visto che alla fine scarico sempre dei file binari precompilati, chi mi garantisce che questi siano ottenuti a partire dal sorgente reso disponibile e non da uno alternativo contenente ogni sorta di porcheria?

I pacchetti binari sono sempre firmati dal produttore della tua distribuzione, e chiunque può ricompilarne i sorgenti (che il produttore rende disponibili, anch'essi firmati) e controllare i risultati.
Oppure, installa gentoo dallo stage1

[Zorcan]

Quote:

Originariamente inviato da Sabonis

Salve utilizzo Linux da poco e devo dire che mi ci trovo bene, benissimo se non fosse per i driver ati che non riesco a far andare in nessun modo.
Oggi mi è venuto un dubbio riguardo alla sicurezza di Linux e del software open source in generale.
Ecco io uso ubuntu e posso essere sicuro che non ci siano malware, spyware,backdoors nei vari programmi perchè sono a sorgente aperto e chiunque può esaminare il codice.
Ma ora mi chiedo, visto che alla fine scarico sempre dei file binari precompilati, chi mi garantisce che questi siano ottenuti a partire dal sorgente reso disponibile
e non da uno alternativo contenente ogni sorta di porcheria?
Esiste qualche sistema a me ignoto?? Esiste realmente questo problema e siamo in balia dei programmatori un pò come accade per il software proprietario oppure (cosa più probabile) sono io che non ho capito un cavolo e mi sto facendo delle seghe mentali per nulla?

Di qualsiasi programma, puoi sempre andare a controllare il codice sorgente. Come te, anche tutti gli altri possono. Lo spazio di manovra, per chi volesse comportarsi in maniera illecita, è quindi davvero ridotto. Nulla può impedire a me di scrivere un qualche tipo di codice maligno, pacchettizzarlo e fartelo avere, ma questo sarebbe un discorso diverso che esulerebbe dalla questione libero/non-libero.

P.S. Se vuoi vedere un informatico galvanizzato, fai questa domanda a qualche accanito sostenitore del software proprietario: ti offrirà un avvincente spettacolo pirotecnico di cazzate.

[ilsensine]

Quote:

Originariamente inviato da Zorcan

Di qualsiasi programma, puoi sempre andare a controllare il codice sorgente. Come te, anche tutti gli altri possono. Lo spazio di manovra, per chi volesse comportarsi in maniera illecita, è quindi davvero ridotto.

Sembra banale, ma non lo è.
Quando la Borland decise di rendere open source Interbase, in breve tempo venne scoperta una backdoor che qualche allegro programmatore della Borland aveva messo "scordandosi" di rimuovere dalla release:
http://news.zdnet.com/2100-9595_22-527115.html

[Zorcan]

Quote:

Originariamente inviato da ilsensine

Sembra banale, ma non lo è.
Quando la Borland decise di rendere open source Interbase, in breve tempo venne scoperta una backdoor che qualche allegro programmatore della Borland aveva messo "scordandosi" di rimuovere dalla release:
http://news.zdnet.com/2100-9595_22-527115.html

Conosco la storia di Interbase, la backdoor venne scoperta proprio perché divenne open: è per questo che parlavo di "spazio di manovra" ridotto, ovviamente riferendomi al software libero/aperto. Viene da chiedersi cosa abbia pensato la gente quando ha compreso che un tale comportamento poteva essersi protratto per un certo periodo di tempo.

[aladin]

Quote:

Originariamente inviato da Sabonis

Salve utilizzo Linux da poco e devo dire che mi ci trovo bene, benissimo se non fosse per i driver ati che non riesco a far andare in nessun modo.

In che senso scusa? Quale procedimento hai utilizzato per attivare il 3D su schede ATI?
Hai provato la procedura indicata QUI

[Aquila della notte]

MA dal punto di vista di un utente "normale",cioè uno che non è un programmatore e che utilizza il pc per hobby e per passione,per quale motivo il software open sarebbe più sicuro di quello closed? Non è una provocazione,io credo nel software open,ma credo poco che ci sia gente che spulcia il codice sorgente di evolution (per fare un esempio) nei minimi particolari per scoprire una qualche backdoor
Prendiamo il mio caso...io uso firefox e me ne navigo tranquillo. Non ho le capacità di verificare se sia o meno affetto da una qualche "genialata" di uno dei suoi programmatori che gli permette di curiosare sul mio pc (è un esempio stupido ma che rende l'idea). Allo stesso modo,sempre dal mio punto di vista,utilizzando IE ho lo stesso problema.Chi mi garantisce che,essendo open,firefox sia stato passato VERAMENTE ai raggi x
Come detto prima credo poco che ci sia gente che mi spulcia per bene ogni programma open source che poi io uso tranquillo del fatto che "tanto qualcuno l'avrà controllato".

Ripeto,non vuole essere una trollata,vorrei veramente capire

[Zorcan]

Quote:

Originariamente inviato da Aquila della notte

MA dal punto di vista di un utente "normale",cioè uno che non è un programmatore e che utilizza il pc per hobby e per passione,per quale motivo il software open sarebbe più sicuro di quello closed? Non è una provocazione,io credo nel software open,ma credo poco che ci sia gente che spulcia il codice sorgente di evolution (per fare un esempio) nei minimi particolari per scoprire una qualche backdoor
Prendiamo il mio caso...io uso firefox e me ne navigo tranquillo. Non ho le capacità di verificare se sia o meno affetto da una qualche "genialata" di uno dei suoi programmatori che gli permette di curiosare sul mio pc (è un esempio stupido ma che rende l'idea). Allo stesso modo,sempre dal mio punto di vista,utilizzando IE ho lo stesso problema.Chi mi garantisce che,essendo open,firefox sia stato passato VERAMENTE ai raggi x
Come detto prima credo poco che ci sia gente che mi spulcia per bene ogni programma open source che poi io uso tranquillo del fatto che "tanto qualcuno l'avrà controllato".

Ripeto,non vuole essere una trollata,vorrei veramente capire

Il punto è che con il software libero/aperto tu puoi esaminare il codice e modificarlo. Già solo questo rende davvero difficile inserire componenti pericolosi nei programmi. Col software non-libero/chiuso invece sta solo alla coscienza del programmatore o dell'azienza: tecnicamente, non ci sono sguardi indiscreti e nel software ci può mettere di tutto.

Il fatto che poi l'utente non spulci il codice sorgente di ogni programma è ininfluente: avendone facoltà, si mette a riparo da problemi.

Per quanto riguarda il discorso virus, la motivazione è simile: se in un software libero/aperto c'è una falla, tutti hanno facoltà di scovarla. Sia chi opera nel bene della comunità, sia chi vorrebbe sfruttarla per fini non proprio nobili. A quel punto il problema viene a galla e non ha senso cercare di sfruttare il problema per far danni. In un software non-libero/chiuso, la falla può arrivare alle orecchie dell'azienda anche solo quando i primi effetti dannosi si sono già manifestati. E sta poi all'azienda correre ai ripari. Può passare molto tempo, durante il quale a rimetterci sei tu utente. Senza contare che per dieci falle che vengono alla luce, ce ne saranno mille che scompaiono senza lasciare traccia (per evitare di dare un danno d'immagine all'azienda). In un ambiente di sviluppo aperto e comunitario, invece, si scoraggia la gran parte dei problemi proprio con la pubblicità di essi e la sinergia tra il lavoro di tutti gli utenti.

[Aquila della notte]

Ho capito quello che dici Zorcan,io sono per il software open source,ne ho capito i pregi e per quello che posso lo sostengo. Ma quello che volevo dire io è che tra il "chi ne ha le capacità può controllare" e il "chi ne ha le capacità controlla effettivamente" c'è una bella differenza. Dal punto di vista di un utente che ha sempre utlizzato programmi proprietari è la differenza che lo fa restare nel mondo closed. Mi è capitato più di una volta di ritrovarmi a spiegare le differenze e i vantaggi di un programma open source (generalmente office vs openoffice) e di arrivare ad un nulla di fatto quando mi veniva detto:"ma tu credi veramente che avendone la possibilità ci siano persone che verificano veramente il codice? Bè io no e ho più fiducia in una azienda che in caso di furbate risponderebbe in prima persona". Tu a uno che ti dice così cosa risponderesti? Non gli si può dar torto al 100%,magari all'80%...

[Zorcan]

Quote:

Originariamente inviato da Aquila della notte

Tu a uno che ti dice così cosa risponderesti?

Che non è sbagliato chiedersi "chi controlla?", affatto. E' una domanda lecita. Ma la risposta non è "il signor xyz e il signor zyx", perchè sarebbe impossibile. Quindi, gli citerei questa breve spiegazione di Stallman, che trovo molto pertinente e che sintetizza bene la questione, oltre a far cenno proprio all'affare di cui parlava ilsensine.

" [...] C'era un software proprietario chiamato InterBase che era stato reso libero. Una volta divenuto libero, gli utenti analizzarono il codice e si accorsero che conteneva delle backdoors. E così le tolsero, aggiustarono il software. Ma per tutto il tempo in cui era stato proprietario, gli utenti non potevano sapere che avesse delle backdoors; probabilmente le aveva avute per anni, ma gli utenti non avevano modo di accorgersene: erano vulnerabili. [...] Quindi l'utente non ha modo di fidarsi del software non-libero. Il che non significa che tutti i programmatori di software non-libero inseriscono funzionalità pericolose nei loro programmi, il punto è che noi non possiamo saperlo. [...] E anche quando ci sono programmatori che non fanno cose di quel genere, non abbiamo modo di dire chi siano e quindi non possiamo mai fidarci di nessuno. [...] D'altro canto, anche quegli sviluppatori di software proprietario che cercano scrupolosamente di fare in modo che il software assecondi i desideri dell'utente, sono esseri umani e possono sbagliare. Commettono errori, nello scrivere il loro codice: è inevitabile. E l'utente è semplicemente disarmato nei confronti di questi errori accidentali, esattamente come lo è nei confronti di funzionalità pericolose. [senza la possibilità di vedere, modificare e redistribuire il codice] si è prigionieri del software. Anche noi sviluppatori di software libero siamo umani e commettiamo errori, nei nostri software ci sono bugs. La differenza è che noi rispettiamo la vostra libertà di correggere quei bugs; non siete prigionieri dei nostri errori, siano essi voluti o accidentali. Perchè noi viviamo nel rispetto della vostra libertà di modificare il nostro codice: qualsiasi aspetto non vi piaccia, siete liberi di cambiarlo. Il software libero è generalmente privo di funzionalità pericolose e questo accade perchè i programmatori che decidono di inserire quelle funzionalità lo fanno solo quando sanno di riuscire a farla franca. Lo sviluppatore di software proprietario ha questa possibilità, può essere tentato di aggiungere tali funzionalità sapendo che l'utente non le potrà mai scoprire. Ma noi sviluppatori di software libero, anche se avessimo quel genere di tentazione, anche se le nostre coscienze non fossero più forti di quelle degli altri, sappiamo che non potremmo farla franca. Perchè sappiamo che gli utenti scoverebbero ed eliminerebbo quel genere di funzionalità. Non abbiamo potere e non possiamo aggiungere funzioni dannose per voi. Di questo siamo coscienti e perciò non ci proviamo nemmeno."

RMS, Napoli 2006

La frase "Il software libero è generalmente privo di funzionalità pericolose" racchiude bene il nocciolo: non è che il software libero/aperto sia immune per dfinizione ai problemi, chi asserisse una cosa del genere sarebbe in errore. Ma la differenza di fondo lo rende generalmente immune a certe situazioni, quindi più sicuro. Come ho detto prima, è la possibilità di analizzare il codice che rende più sicuro il software libero, non il fatto che tu vada effettivamente a leggertelo (anche se male non fa ).

[Aquila della notte]

Avevo già avuto occasione di leggere quell'intervento in un tuo vecchio post
Belle parole ma purtroppo "non c'è sordo più sordo di chi non vuol sentire"
Alla prossima occasione me ne ricorderò e lo farò presente...grazie Zorcan

[Zorcan]

Quote:

Originariamente inviato da Aquila della notte

Avevo già avuto occasione di leggere quell'intervento in un tuo vecchio post
Belle parole ma purtroppo "non c'è sordo più sordo di chi non vuol sentire"
Alla prossima occasione me ne ricorderò e lo farò presente...grazie Zorcan

Di nulla, figurati. A me piacerebbe tu potessi dire al tuo amico che il software libero è impossibile da incasinare, ma sarebbe una menzogna. Tutto ciò che ha a che fare con un pc, in qualche maniera, può combinare un casino. Solo che c'è modo e modo di fare le cose, con dislivelli qualitativi (in termini tecnici, ma anche etici) enormi. Speriamo che il tuo amico colga la differenza tra il "modo" del software libero e quello del software non-libero. Altrimenti, pazienza. Non si può obbligare la gente, nemmeno se la scelta che fanno è autolesionista.

[javaboy]

Gli unici computer sicuri sono quelli spenti.
Detto questo nulla vieta di fare virus, malware, spyware e ogni porcheria per Linux. Nulla vieta di distribuire un binario contenente codice malevolo non presente nei sorgenti ufficialmente rilasciati.

Il punto è che alla prova dei fatti il software libero si è dimostrato più sicuro di quello proprietario da questo punto di vista e quindi anche se è vulnerabile in teoria, in pratica è quanto di più sicuro si possa trovare.