Ciao Giovanni, On April 5, 2021 11:00:19 AM UTC, Giovanni Biscuolo wrote:
Giacomo Tesio <giacomo@tesio.it> writes:
Even ignoring the huge, unfair and invisible influence that such American companies could have on the project development, even ignoring that so many members are subject to the same Law (a Law that includes the US Cloud Act, FISA, PPD 128, E.O. 12333, etc) decades after the Thompson's lecture on trust in compilers development [4],
Hai sentore che ci possa essere la possibilità che in questo scenario sia possibile nascondere adeguatamente bene qualche backdoor in GCC?
È complicato. :-( Non tanto in GCC, quanto nel software compilato con esso. E non tanto una bella backdoor fatta e finita, quanto vulnerabilità exploitabili in un determinato contesto. E non sarebbe necessario inserire attivamente questo tipo di vulnerabilità, ma avervi accesso privilegiato, prima che vengano scoperti e sfruttati da altri come zero-day. Nel dibattito che abbiamo avuto sulla mailing list GCC facevo l'esempio dei vecchi CVE-2000-1219, CVE-2008-1367 e CVE-2015-5276 [1]. Ma il tipo di influenza che Google&friends hanno su GCC tramite i loro impiegati è molto più sottile e complessa:
And you are confusing my employer with my free software work.
No.
Simply, I work in the field since two decades myself.
Thus, I'm not naive enough to ignore the thousands way your employer can get huge advantages by having you in the GCC's Steering Committee.
As a small example among many many others, you are using a @google.com mail address while serving in the Steering Committee. https://gcc.gnu.org/pipermail/gcc/2021-April/235312.html
Tutte le comunicazioni private della Steering Committee sono accessibili a Google, IBM e Red Hat... Cosa può andare storto? E dire che ho speso buona parte del mio tempo libero degli ultimi 3 anni per portare GCC su Jehanne... e ora GCC che prende in considerazione di cambiare nome e tagliare i ponti con il progetto GNU. Inizio a pensare che bisogna ripartire letteralmente da zero. Il software deve essere leggibile da tutti. Se un software è così complesso che chi lo usa non lo può comprendere in un tempo ragionevole (una settimana? un mese? certo non di più) allora va riscritto.
C'è qualcuno addetto alla nostra cybersicurezza nazionale che se ne sta occupando o va tutto bene così, "solo" perché noi stiamo dalla parte di quelli che sono più bravi a inserire backdoors?
Ma figurati! :-D Non saprebbero nemmeno da dove partire. Non nascondono nemmeno la testa sotto la sabbia. Manca proprio la capacità di concepire il problema. E non solo in Italia! Giacomo [1] trovi i link su https://gcc.gnu.org/pipermail/gcc/2021-April/235303.html