On 4/12/24 09:49, 380° wrote:
Buongiorno,
a chi è intervenuto (e interverrà) nel thread: grazie davvero per i commenti che avete inviato, vi prometto che con calma vi risponderò ove necessario, ma prima vorrei finire almeno la parte 2 della mia analisi e ci vorrà ancora un po' di tempo (indefinito).
Lungi da me voler dissuadere chiunque dall'aggiungere i propri commenti a questo thread, faccio però a tutti una preghiera: siccome si tratta di una questione relativamente complessa, sarebbe il caso che chi non avesse avuto modo di studiare la questione "backdoor in XZ", anche leggendo analisi altrui, si astenesse _momentaneamente_ dai commenti, perché mancherebbero elementi importanti per formarsi un giudizio completo in merito alla situazuione, alle sue cause e alle possibili soluzioni a medio/lungo termine; sta succedendo anche a _superstar_ del settore di sbagliare clamorosamente, credetemi.
Infine, sapete che io sono il re degli OT ma in questo thread mi piacerebbe ci concentrassimo sugli aspetti tecnici *e* ambientali (sociali, economici, ecc.) che hanno reso possiblile questo _specifico_ attacco che definirei:
"targeted backdoor injection through build process subversion of a library via supply chain attack by unfaithful authority"
...se non lo capite adesso, spero che dopo la parte 2 sarà più chiaro.
Per ora aggiungo solo che non si tratta di una "banale" backdoor [1] e nemmeno di un "banale" supply chain attack [2], perché per quel tipo di attacchi l'ecosistema FLOSS ha già trovato _da_diverso_tempo_ una *soluzione* tecnica, che alcune distribuzioni GNU/Linux et al stanno cercando di attuare, risolvendo pazientemente le "asperità tecniche e sociali" che stanno emergendo nelle fasi di _implementazione_ delle soluzioni trovare.
Alla prossima puntata :-)
Loving, 380°
[1] per esempio inserita direttamente nel codice della libreria
[2] per esempio attuato infiltrandosi senza autorizzazione nel sistema di distribuzione del *binario*
Grazie mille, 380°, veramente ben fatta. Attendo la seconda parte, allora. D. (null)