Debian, allarme sul repository insicuro

Pericolo dominio insicuro per Debian, una delle distro Linux più affidabili e popolari che sul blog ufficiale lancia l’allarme: i gestori del dominio debian-multimedia.org non sono più gli stessi, i nuovi proprietari non sono noti al team e vanno quindi considerati inaffidabili.

Il dominio conteso era in precedenza gestito da “Debian Multimedia”, repository non ufficiale di software e lettori multimediali per la distro. Ma il domino è scaduto e chi lo ha registrato ora non è più il responsabile del repository, che quindi non è più sicuro e andrebbe cancellato dalla lista inclusa nel file sources.list presente sul client.

Tanto più che con l’uscita di Wheezy aka Debian 7 , spiega il team di sviluppatori, la necessità di servirsi di repository esterni per procurarsi pacchetti multimediali si è “grandemente ridotta” grazie alla disponibilità sull’OS di codec e player multimediali aggiornati.

Altrove si sottolinea come il rischio di usare repository non ufficiali sia sempre da tenere in considerazione , anche se nel caso in oggetto le potenziali minacce alla sicurezza sono parzialmente mitigate dalla protezione crittografica dei pacchetti software: evidentemente le vecchie chiavi necessarie a firmare digitalmente i pacchetti non sono più disponibili ai nuovi proprietari del dominio debian-multimedia.org .

Alfonso Maruccia

CVD
Quale parte di "Il software closed e' insicuro per definizione" non e' chiara ?Questa e' la dimostrazione lampante che fidarsi di roba closed (sopratutto di roba closed americana, visti gli ultimi sviluppi) e' un suicidio.

Trollollero

Rispondi
Re: CVD
- Scritto da: Trollollero> Quale parte di "Il software closed e' insicuro> per definizione" non e' chiara> ?> Questa e' la dimostrazione lampante che fidarsi> di roba closed (sopratutto di roba closed> americana, visti gli ultimi sviluppi) e' un> suicidio.Dimmi che tu controlli linea per linea il codice del kernel che usi?E non hai driver closed di nessun tipo?

astro

Quote
Re: CVD
- Scritto da: astro> - Scritto da: Trollollero> > Quale parte di "Il software closed e' insicuro> > per definizione" non e' chiara> > ?> > Questa e' la dimostrazione lampante che fidarsi> > di roba closed (sopratutto di roba closed> > americana, visti gli ultimi sviluppi) e' un> > suicidio.> Dimmi che tu controlli linea per linea il codice> del kernel che> usi?> E non hai driver closed di nessun tipo?Ho parlato di "fiducia".E no, non mi fido di niente che non sia sotto il mio diretto controllo o che non dia la possibilita' di verificare a fondo il proprio funzionamento.Se e' minimamente possibile su sistemi non fidati non faccio niente di critico e/o non conservo dati personali non criptati.

Trollollero

Quote
Re: CVD
- Scritto da: astro> - Scritto da: Trollollero> > Quale parte di "Il software closed e' insicuro> > per definizione" non e' chiara ?> > Questa e' la dimostrazione lampante che fidarsi> > di roba closed (sopratutto di roba closed> > americana, visti gli ultimi sviluppi) e' un> > suicidio.> Dimmi che tu controlli linea per linea il codice> del kernel che usi?Diverse aziende ed universita' controllano le piu' diverse parti del kernel per motivi di ricerca e sviluppo, quindi ?> E non hai driver closed di nessun tipo?Basta usare debian.

krane

Quote
Re: CVD
- Scritto da: krane> - Scritto da: astro> > - Scritto da: Trollollero> > > Quale parte di "Il software closed e'> insicuro> > > per definizione" non e' chiara ?> > > Questa e' la dimostrazione lampante che> fidarsi> > > di roba closed (sopratutto di roba> closed> > > americana, visti gli ultimi sviluppi)> e'> un> > > suicidio.> > > Dimmi che tu controlli linea per linea il> codice> > del kernel che usi?> > Diverse aziende ed universita' controllano le> piu' diverse parti del kernel per motivi di> ricerca e sviluppo, quindi> ?> > > E non hai driver closed di nessun tipo?> > Basta usare debian.Quale, quella con i repository inaffidabili? :D

astro

Quote
Re: CVD
- Scritto da: astro> - Scritto da: Trollollero> > Quale parte di "Il software closed e' insicuro> > per definizione" non e' chiara> > ?> > Questa e' la dimostrazione lampante che fidarsi> > di roba closed (sopratutto di roba closed> > americana, visti gli ultimi sviluppi) e' un> > suicidio.> Dimmi che tu controlli linea per linea il codice> del kernel che> usi?Guarda che non tutti sono ignoranti come te.

panda rossa

Quote
Re: CVD
- Scritto da: panda rossa> - Scritto da: astro> > - Scritto da: Trollollero> > > Quale parte di "Il software closed e'> insicuro> > > per definizione" non e' chiara> > > ?> > > Questa e' la dimostrazione lampante che> fidarsi> > > di roba closed (sopratutto di roba> closed> > > americana, visti gli ultimi sviluppi)> e'> un> > > suicidio.> > Dimmi che tu controlli linea per linea il> codice> > del kernel che> > usi?> > Guarda che non tutti sono ignoranti come te.Ho visto in edicola i dvd linux con il timbro "testato da panda rossa", corro subito a comprarli :D

astro

Quote
Re: CVD
- Scritto da: astro> Dimmi che tu controlli linea per linea il codice> del kernel che usi?no. uso debian, esclusivamente il repo 'main' e il kernel de-blobbato, e mi fido di loro> E non hai driver closed di nessun tipo?no, neanche per idea

tpsb

Quote
Re: CVD
- Scritto da: tpsb> - Scritto da: astro> > Dimmi che tu controlli linea per linea il> codice> > del kernel che usi?> > no. uso debian, esclusivamente il repo 'main' e> il kernel de-blobbato, e mi fido di> loro> > > E non hai driver closed di nessun tipo?> > no, neanche per ideaNiente di questi:http://en.wikipedia.org/wiki/Binary_blobhttp://en.wikipedia.org/wiki/NdisWrappersicuro?

astro

Quote
bachi (...) per avvantaggiare gli Usa
"bachi (..) per avvantaggiare le autorità statunitensi "Storia cool per i giornalisti & co, utile per darsi un tono, MA in realta' e' tutto molto meno lineare di cosi.Il mantra del "quel bug/acXXXXX lo conosciamo solo noi" era usato tra le crew che giravano su X.25 "ai bei tempi"... "sfortunatamente" NESSUNO puo sapere o dire se un altro, prima di lui, sapesse di quel determinato bug. Se non lo ha pubblicizzato da qualche parte, "tutti" credono di averlo scoperto per primo. vecchia storia.Ovviamente e' una storia separata da quella in cui, DI PROPOSITO, una qualche azienda inserisce un bug/backdoor, e poi lo comunica agli "amici".

bubba

Rispondi
Re: bachi (...) per avvantaggiare gli Usa
Aspetta un attimo. Un team puó essere a conoscenza di qualche exploit.Ma chi fa il software riceve segnalazioni da tantissimi esperti di sicurezza che passano il tempo a cercare vulnerabilitá.Spesso tra una segnalazione e il rilascio di una patch di tempo ne passa.

qualcuno

Quote
Re: bachi (...) per avvantaggiare gli Usa
ed inoltre chi fa il software, può intenzionalmente introdurre bug e backdoor e di sicuro ce ne vorranno di mesi/anni prima che "gli altri" le trovino

collione

Quote
Re: bachi (...) per avvantaggiare gli Usa
- Scritto da: collione> ed inoltre chi fa il software, può> intenzionalmente introdurre bug e backdoor e di> sicuro ce ne vorranno di mesi/anni prima che "gli> altri" le> trovinoeh.. l'ho scritto infatti"Ovviamente e' una storia separata da quella in cui, DI PROPOSITO, una qualche azienda inserisce un bug/backdoor, e poi lo comunica agli "amici"."Li' il vantaggio strategico/temporale e' totale e inconfutabile..

bubba

Quote
Re: bachi (...) per avvantaggiare gli Usa
- Scritto da: qualcuno> Aspetta un attimo. Un team puó essere a> conoscenza di qualche> exploit.> Ma chi fa il software riceve segnalazioni da> tantissimi esperti di sicurezza che passano il> tempo a cercare> vulnerabilitá.> > Spesso tra una segnalazione e il rilascio di una> patch di tempo ne> passa.tutto cio non cambia il punto del mio discorso, pero'. Rileggilo, semmai...

bubba

Quote
Re: bachi (...) per avvantaggiare gli Usa
Ripeto. Non importa chi viene a conoscenza per primo di un determinato bug. Di bug nei software ce ne sono tanti e sui grandi numeri i produttori stessi dei software sono avvantaggiati.Loro ne sanno piú di tutti gli altri team, perché raccolgono informazioni da tutti quanti. Quindi se loro passano le informazioni a qualce agenzia governativa pure quella agenzia é avvantaggiata rispetto a tutti gli altri.

qualcuno

Quote
non è problema di chiuso o aperto
non è un problema di chiuso o aperto, ma di consapevolezza, tutto qui.http://punto-informatico.it/3829945/PI/News/debian-allarme-sul-repository-insicuro.aspx

nome e cognome

Rispondi
Re: non è problema di chiuso o aperto
- Scritto da: nome e cognome> non è un problema di chiuso o aperto, ma di> consapevolezza, tutto> qui.> > http://punto-informatico.it/3829945/PI/News/debianMenti sapendo di mentire e linki a caso non capendo di cosa scrivi.FUD, in altre parole.

Trollollero

Quote
Re: non è problema di chiuso o aperto
Io non credo, ma potrei sbagliare, che TUTTI siano in grado di scegliere e capire cosa stanno scegliendo. Ho amici che si rivolgono a me per installare i sw più banali, tra l'altro iniziano a ritenere anche Windows troppo complicato e si avvicinano ad Apple per questo motivo. Non è un guerra di religione o una decisione su chi ha ragione e chi torto. Se si osserva la realtà, la soluzione non può essere Debian o qualcosa di simile, almeno per gli utenti "normali".Chiudo qui, le guerre di religione non fanno per me, non volevo mica scatenarne una.

nome e cognome

Quote
Re: non è problema di chiuso o aperto
- Scritto da: nome e cognome> Io non credo, ma potrei sbagliare, che TUTTI> siano in grado di scegliere e capire cosa stanno> scegliendo.> > Ho amici che si rivolgono a me per installare i> sw più banali, tra l'altro iniziano a ritenere> anche Windows troppo complicato e si avvicinano> ad Apple per questo motivo. Non è un guerra di> religione o una decisione su chi ha ragione e chi> torto. Se si osserva la realtà, la soluzione non> può essere Debian o qualcosa di simile, almeno> per gli utenti> "normali".Se si vuole utilizzare uno strumento complesso si studia, fine del discorso.L'idea (tanto cara ai commerciali di tutto il mondo, Jobs in primis) che un computer non debba essere piu' complicato da usare di un televisore e' fondamentalmente sbagliata.> Chiudo qui, le guerre di religione non fanno per> me, non volevo mica scatenarne> una.

Trollollero

Quote
Re: non è problema di chiuso o aperto
- Scritto da: nome e cognome> non è un problema di chiuso o aperto, ma di> consapevolezza, tutto> qui.> > http://punto-informatico.it/3829945/PI/News/debiane che c'entra? lì si parla di un repository non ufficiale debian, che ha cambiato gestioneappunto, gli uomini di debian hanno avuto talmente tanta consapevolezza da avvisare gli utenti per una cosa, tutto sommato, banalela ms invece spedisce per direttissima tutti i dettagli delle vulnerabilità alla NSAti sembra la stessa cosa?

collione

Quote
Re: non è problema di chiuso o aperto
Ma tu gli stai pure a rispondere? Questo non ha capito nulla di quell'articolo...

Fai il login o Registrati

Quote
Re: non è problema di chiuso o aperto
- Scritto da: Fai il login o Registrati> Ma tu gli stai pure a rispondere? Questo non ha> capito nulla di> quell'articolo...no, è che i suoi tentativi di dimostrare che windows è il top, lo portano anche ad accettare di fare figure di palta :D

collione

Quote
Re: non è problema di chiuso o aperto
- Scritto da: nome e cognome> non è un problema di chiuso o aperto, ma di> consapevolezza, tutto> qui.> > http://punto-informatico.it/3829945/PI/News/debianMa guarda, mi pareva di ricordare che da questo post fosse scaturita una discussione (neanche troppo lunga, in verita') il cui succo era "chi vuole restare ignorante e' meglio che non tocchi un computer", ma <i> stranamene </i> e' sparita....

Trollollero

Quote
Re: non è problema di chiuso o aperto
- Scritto da: Trollollero> - Scritto da: nome e cognome> > non è un problema di chiuso o aperto, ma di> > consapevolezza, tutto> > qui.> > > >> http://punto-informatico.it/3829945/PI/News/debian> Ma guarda, mi pareva di ricordare che da questo> post fosse scaturita una discussione (neanche> troppo lunga, in verita') il cui succo era "chi> vuole restare ignorante e' meglio che non tocchi> un computer", ma <i> stranamene </i>> e'> sparita....Agli ignoranti piace crogiolarsi nell'ignoranza, fino a che non glielo fai notare. A quel punto si offendono.

panda rossa

Quote
Comunque... acqua calda
Gli USA (ed ogni nazione non supina ad un'altra) ha dei settori "strategici" che spinge, non solo perchè ha una convenienza strutturale nel far nascere un'impresa (od fienderla) ma perchè può avere interessi internazionali o di ricerca molto più importanti che non queli economici. Se poi con qualche aiutino, diventa pure un colosso globale che non ha bisogno di soldi ma può farti vari favori, l'investimento è pure conveniente. La storiella dei tizi che si fanno da soli nei garage* è appunto una storiella di supporto al mito americano (principalmente).basta vedere anche solo la storia di Myspace, mitizzato e spinto all'inizio, quando è passato in mani straniere, si è iniziato a parlare e spingere Facebook (di nuovo in mani "patriottiche") che dal nulla è diventato quel che è stato fino ad oggi.

Surak 2.0

Rispondi
Re: Comunque... acqua calda
Ti sei risposto da solo:"The US intelligence community's enthusiasm for hi-tech innovation after 9/11 and the creation of In-Q-Tel, its venture capital fund,"Tra l'altro è il 2008...Murdoch ha comprato Myspace nel 2005.In pratica l'articolo prendeva punto da uno dei tanti trucchetti per rendere popolare una cosa fra le tante simili, ma su cui si punta di più (per i motivi che citavo). La cronologia degli eventi è importante.Guarda cosa faceva FB nel 2005, e se poi calcoli che un acquisto com'era quello di Myspace in quell'anno, non è che s'improvvisa, si può supporre che la CIA (o chi se ne occupa fra le varie agenzie americane) sapesse già che i proprietari di Myspace non erano "agganciabili" ed allo stesso tempo avevano visto il potenziale della cosa data la rapida crescita, si siano guardati attorno ed abbiano scelto un'idea simile ideata da un "patriota", il resto è fornire capitali, suggerimenti tecnici e propaganda gratuita.

Surak 2.0

Quote
Re: Comunque... acqua calda
- Scritto da: Surak 2.0> guardati attorno ed abbiano scelto un'idea simile> ideata da un "patriota", il resto è fornire> capitali, suggerimenti tecnici e propaganda> gratuita.e poi vengono a raccontarci la storiella del capitalista che si è fatto da solo, che il duro lavoro paga ( certo, certo ) e che noi non siamo miliardari perché troppo stupidi

collione

Quote
Re: Comunque... acqua calda
- Scritto da: collione> - Scritto da: Surak 2.0> > > guardati attorno ed abbiano scelto un'idea> simile> > ideata da un "patriota", il resto è fornire> > capitali, suggerimenti tecnici e propaganda> > gratuita.> > e poi vengono a raccontarci la storiella del> capitalista che si è fatto da solo, che il duro> lavoro paga ( certo, certo ) e che noi non siamo> miliardari perché troppo> stupidie la terra è cava, ci sono dentro i rettiliani che ci irrorano con le scie chimiche in attesa che arrivi mork da ork e ci porti via tutti...

io123456

Quote
Re: Comunque... acqua calda
> basta vedere anche solo la storia di Myspace,> mitizzato e spinto all'inizio, quando è passato> in mani straniere, si è iniziato a parlare e> spingere Facebook (di nuovo in mani> "patriottiche") Murdoch ha preso la cittadinanza americana e grazie alla Fox news e molto bene ammanicato nei posti che contano. Il discorso sulle mani straniere e le mani patriottiche non ha senso.

qualcuno

Quote
x x x
"Siamo sorvegliati, il governo dispone di un sistema segreto, una macchina, che ci spia ogni ora di ogni singolo giorno. Lo so perché lho costruita io, ho ideato la macchina per prevenire atti di terrorismo, ma vede ogni cosa. Crimini violenti che coinvolgono persone comuni, persone come voi. Crimini che il governo considera irrilevanti. E poiché loro non avrebbero agito, decisi di farlo io. Ma mi serviva un socio, qualcuno con le capacità per intervenire. Le autorità ci danno la caccia. Lavoriamo in incognito, non ci troverete mai. Ma che siate vittime o carnefici, se esce il vostro numero, noi troveremo voi"

Harold Finch

Rispondi
Re: x x x
La serie è "Person of interest", e Harold Finch è l'informatico che ha creato la macchina che mettendo il naso nelle e-mail e nelle comunicazioni dei newyorchesi prevede gli omicidi. In una puntata in particolare il personaggio dice "quello che fa la macchina è illegale". All'osservazione del sodale John Reese, che si chiedeva come mai la gente scrive tutti i razzi propri su Facebook, Finch risponde: "Facebook l'ho creato io".Ma come faceva lo sceneggiatore Jonathan Nolan a sapere dell'esistenza di Prism già nel maggio 2011?

Bogomilo

Quote
Re: x x x
Se consideri che la prima puntata è andata in onda a Settembre 2011, sicuramente le riprese sono iniziate mesi prima, quindi come tempistica ci saremmo anche...

Harold Finch

Quote

Annulla

Stai citando questo messaggio:

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicata. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy.
Pubblicando questo commento dai il consenso affinché un cookie salvi i tuoi dati (nome, email, sito web) per il prossimo commento.

Iscrivimi alla newsletter gratuita di Punto Informatico Tutte le mattine direttamente nella tua casella email tutte le novità del mondo digitale e tech