Nel tentativo di intercettare gli utenti e le società facenti uso di Linux, l'NSA aveva chiesto in passato anche al suo fondatore l'installazione di backdoor nel kernel del sistema operativo open-source
di Nino Grasso pubblicata il 20 Novembre 2013, alle 10:31 nel canale Sistemi Operativi
Il rover NASA Perseverance ha ''raccolto'' involontariamente alcune rocce in una ruota
NASA e ISRO hanno lanciato il satellite NISAR per il monitoraggio della Terra
Switch 2 ha venduto 5,82 milioni di console in un mese, oltre il doppio rispetto alla prima Switch
Assassin's Creed Black Flag Remake: le minacce di Ubisoft di azioni legali sembrano una conferma
Cosa ci fa una Xiaomi SU7 Ultra alle porte dello stabilimento Ferrari? La risposta potrebbe sorprendervi
Promo AliExpress Choice Day: prezzi stracciati su CPU AMD, cuffie Sony, smartwatch, GoPro e molto altro
Nostalgico, ma moderno: il nuovo THEC64 Black Edition è un (attuale) inno alla storia
AVM avvia la distribuzione di FRITZ! OS 8.20: la rete di casa diventa ancora più efficiente
Super offerte Bose: le QuietComfort a meno di 150€, le Ultra Open Ear calano di 100€. Quali fanno per te?
Epic vince (ancora) contro Google: Android dovrà aprire agli store concorrenti
Sconti nuovi di zecca su Amazon: 27 articoli a prezzo super, mini PC rinnovati, Oral B iO 2 a 49€, portatili e altre sorprese
Un'esplorazione del 'lato oscuro' di Facebook: ecco The Social Network Parte II
Apple ha venduto 3 miliardi di iPhone dal 2007
Grandi sconti oggi sugli spazzolini elettrici Oral-B iO: il 2 a 49€, 3 a 59€, ma anche 6N e testine in promozione
Ryzen Threadripper 9980X e 9970X alla prova: AMD Zen 5 al massimo livello
AMD ha aggiornato l'offerta di CPU HEDT con i Ryzen Threadripper 9000 basati su architettura Zen 5. In questo articolo vediamo come si comportano i modelli con 64...
Recensione Samsung Galaxy Z Fold7: un grande salto generazionale
Abbiamo provato per molti giorni il nuovo Z Fold7 di Samsung, un prodotto davvero interessante e costruito nei minimi dettagli. Rispetto al predecessore, cambiano...
The Edge of Fate è Destiny 2.5. E questo è un problema
Bungie riesce a costruire una delle campagne più coinvolgenti della serie e introduce cambiamenti profondi al sistema di gioco, tra nuove stat e tier dell’equipaggiamento....
Fujifilm X-E5: la Fuji X che tutti gli appassionati volevano
Dopo il fascino un po’ elitario della GFX100RF e le polemiche intorno a x Half, la nuova Fujifilm X-E5 riporta tutti d’accordo: una mirrorless compatta, leggera,...
Vi portiamo all'interno di uno dei più importanti centri di distribuzione Amazon in Italia
MXP6 è uno dei più recenti investimenti di Amazon sul territorio italiano, per la realizzazione di un capannone da 60.000 metri quadri alle porte di Novara, a due...
HPE Discover 2025: tra agenti intelligenti, infrastruttura AI-native e un futuro ibrido
Edge9 ha seguito da vicino HPE Discover 2025 con accesso esclusivo a keynote e interviste. Dalla Sphere di Las Vegas, la visione di un’infrastruttura AI-native e...
Nuova Ford Capri elettrica, la super prova: in viaggio, in città e in autostrada
Dopo diverse prove, da poche ore al volante, fino a un'intera settimana come prima auto, possiamo riportarvi tutti i dettagli e le impressioni sulla Ford Capri elettrica...
Roborock Saros Z70: un braccio meccanico per fare ordine in casa
Dotato di tutte le ultime innovazioni in tema di aspirazione della polvere e pulizia dei pavimenti di casa, Roborock Saros Z70 integra un braccio meccanico che promette...
Membro della European Hardware Association
Recensione Samsung Galaxy Z Fold7: un grande salto generazionale 
The Edge of Fate è Destiny 2.5. E questo è un problema
Ryzen Threadripper 9980X e 9970X alla prova: AMD Zen 5 al massimo livello
36 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infotypo
al Parlmanento EuropeoMi spiego meglio: se linux foundation o chi altri distribuisce il kernel con un determinato hash poi si potrebbero verificare tutte le distro.
No vero? Perché il kernel potrebbe essere ricompilato da chi ha rilasciato la distro.
Le patch di Redhat sono un esempio eclatante (e storico, negli anni hanno contribuito in modo sostanziale a migliorare il kernel stesso) di questo processo.
Ma non solo, il kernel è solo una parte del sistema, eventuali backdoors potrebbero essere inserite in qualche modulo lasciando il kernel del tutto intonso.
Il problema però è un altro e imho non è prettamente di natura tecnica, ricompilare un kernel è possibilissimo e fino a una decina di anni fa era la prassi, oggi è una cosa di nicchia estrema che la gran parte dei sistemisti non sa fare, per quanto possa sembrare assurdo questa è la realtà.
A prescindere poi dalla capacità individuale dei tecnici in molti casi non è proprio possibile farlo per poter garantire la riproducibilità dei sistemi, oppure per aderenza a determinate specifiche.
Un esempio banale, prendete una RedHat e ci installate Oracle Enterprise, pagate i vostri 50k euro tra licenza e supporto, personalizzate il kernel e al primo problema e invio dei dettagli vi ritrovate il ticket chiuso come non valido perchè l'OS non rispetta le specifiche, non mi sembra molto vantaggioso...
Quello che voglio dire è che sulla carta tutto si può fare, nella realtà però ci sono dei vincoli da rispettare che spesso sono bloccanti.
No, è Linus quando, in un'aula universitaria piena, manda a quel paese nvidia.
Linus
Ho la vaga sensazione che la risposta di Linus Torvalds sia stata: "Andatevene a quel paese" o una cosa del genereVi ripeto, su Linux esistono tutti gli strumenti e le procedure affichè una cosa del genere non accada ma...
http://it.wikinews.org/wiki/Scopert...bian_di_OpenSSL
Vi ricordate questo?
Fu il mantainer del del pacchetto a commentare le righe di codice incriminate, seppur fuorviato da tool di analisi del codice automatici e questo bug è rimasto in giro per ben 2 anni.
Quindi è possibile farlo, e l'unico punto dove lo vedo fattibile è in fase di distribuzione del binario (come per OpenSSL), i controlli funzionano, ma possono essere tardivi o qualcosa potrebbe sempre sfuggire.
1) Ovviamente dipende dalla distribuzione, ma il modello di sviluppo orizzontale e molto spesso volontario di alcune delle più importanti (eg Debian) fa si che difficilmente si possa inserire codice malevolo anche a livello binario.
2) Alla fine, chi sviluppa codice sul kernel si trova, bene o male a utilizzare il lavoro altrui (chi sviluppa il kernel usa solitamente una distro, chi sviluppa patch per una distro si trova a leggere il codice del kernel ufficiale). Fatto sta che un controllo incrociato così forte rende veramente difficile i tentativi di corruzione. ( e un numero cospicuo di questa gente rifiuterebbe anche mazzette milionarie piuttosto che infilare codice della NSA nel kernel).
A me invece pare possibilissimo inserire un piccolo bug ad arte. Prima che venga scoperto possono passare mesi. Anche perchè altrimenti non esisterebbero mai bug di nessun tipo e invece esistono e a volte vengono scoperti dopo anni.
Poi una volta che il bug è stato scoperto basta dire che ci si è sbagliati, il bug è involontario ed è tutto a posto.
Basta qualcosa di estremamente sottile, un più anzichè un meno in una complessa formula di crittografia tanto per indebolire l'algoritmo.
"Vociferava" ?, no è assolutamente certo:
http://www.lffl.org/2013/10/ubuntu-...rd-austria.html
1) Ovviamente dipende dalla distribuzione, ma il modello di sviluppo orizzontale e molto spesso volontario di alcune delle più importanti (eg Debian) fa si che difficilmente si possa inserire codice malevolo anche a livello binario.
2) Alla fine, chi sviluppa codice sul kernel si trova, bene o male a utilizzare il lavoro altrui (chi sviluppa il kernel usa solitamente una distro, chi sviluppa patch per una distro si trova a leggere il codice del kernel ufficiale). Fatto sta che un controllo incrociato così forte rende veramente difficile i tentativi di corruzione. ( e un numero cospicuo di questa gente rifiuterebbe anche mazzette milionarie piuttosto che infilare codice della NSA nel kernel).
Poi come ho detto, tutto è possibile ed è sempre bene stare in guardia, però arrivare a ricompilare il kernel o fare hashing sullo stesso per questioni di sicurezza mi pare un po paranoico se il modello di sviluppo del software che si utilizza è convincente.
Tipo?
Si può ricavare benissimo il comportamento e scoprire falle/backdoor BENISSIMO senza avere accesso ai sorgenti.
E' più difficile certo, ma non impossibile come qualcuno vuole far credere.
Dopodiché non l'ha prescritto il dottore che le backdoor debbano stare per forza dentro il kernel...
Linux e l'open source ci hanno forse salvato da quanto hanno fatto NSA, Google e co.? No.
Ad oggi chi ha accesso alle versioni custom Android delle singole case, tipo Samsung?
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".