Buongiorno a tutte, chiedo umilmente scusa per l'incursione non richiesta nelle vostre caselle di posta personali, ma così ho ricevuto questo messaggio (via lista nexa). Giuro che è l'unico messaggio che riceverete da me in questo modo. Avrei tre modeste proposte, nulla di nuovo e soprattutto nulla da me cogitato. [...]
Il giorno lun 21 dic 2020 alle ore 12:33 Angelo Raffaele Meo <meo@polito.it> ha scritto:
[...]
Al contrario, il software libero potrebbe essere l'anima dei progetti che saranno finanziati dal Recovery Fund, e in particolare dei seguenti progetti: digitalizzazione 4.0 e internazionalizzazione (35,5 miliardi); pubblica amministrazione (10,1 miliardi); potenziamento didattico e diritto allo studio (10,1 miliardi); ricerca (9,1 miliardi); assistenza medica di prossimità e telemedicina (4,8 miliardi).
[...]
Per iniziare il nostro dibattito mi permetto di formularvi una prima richiesta: cosa chiedereste al Governo e com quali motivazioni?
Premessa: i ricercatori italiani *e* l'industria dovrebbero avere queste tre priorità sistemiche e partecipare ai relativi progetti con le proprie competenze e le proprie risorse, anche finanziarie. Le risorse finanziarie dovrebbero essere assegnate esclusivamente sulla base del ritorno di valore _pubblico_ dei progetti, va da se che ogni finanziamento a servizi (basati su) e software proprietari dovrebbe essere accuratamente evitato e sarebbe un imperdonabile spreco di risorse. Tre modeste proposte: 1. hardware: norme che obblighino i produttori a fornire documentazione sull'hardware ai clienti I sistemi operativi possono accedere (utilizzare) all'hardware solo se viene fornita adeguata documentazione su come attivare e/o configurare le sue funzioni; tali informazioni sono utilizzate dagli sviluppatori per sviluppare i c.d. device drivers. Ciascun utilizzatore dell'hardware deve avere il diritto di poter sviluppare - in proprio o con l'aiuto di terzi - i device drivers per il sistema operativo di sua scelta e quindi aver libero accesso a tali informazioni. Con queste informazioni molti sviluppatori software italiani (ed europei) sarebbero in grado di scrivere il sofware che consenta ai cittadini *e* all'indistria di utilizzare il proprio hardware in modo interoperabile e senza vincoli a specifici produttori di software proprietario. In subordine, assegnare adeguate risorse ai progetti di reverse engineering dei device drivers per consentire l'interoperabilità dell'hardware. 2. software: supporto alla ricerca ed implementazione delle tecniche "reproducible builds" e "bootstrappable builds" Il recentissimo data breach mondiale causato dall'inserimento di malware nel software Orion di SolarWinds [1] è dipeso da un "supply chain attack" che ha compromesso il sistema di build (non il codice sorgente, non il sistema di distribuzione) del software Orion [2]. Attacchi di questo genere sono noti dal 1974 e descritti nello storico discorso di Ken Thompson “Reflections on Trusting Trust.” del 1984 [3]. Le enormi risorse finanziarie raccolte dal 1984 e le enormi competenze delle persone impiegate nella ricerca e nell'industria non sono riuscite ad affrontare adeguatamente, spesso ignorandolo, questo problema ontologico del software. Oggi i progetti https://reproducible-builds.org/ e https://bootstrappable.org/ stanno sviluppando gli strumenti adeguati per proteggersi da attacchi come quello effettuato attraverso Orion di SolarWinds. Per dirla con il ricercatore David A. Wheeler: [4] The long-term goal should be that “we can ensure that all OSS compiled code is accurately represented by its source code”. The source code may include malicious statements, but source code is what developers review, so we’ve fundamentally changed the game to ensure that “what is reviewed is what is run”. Il software libero con le quattro associate libertà fondamentali è condizione sine qua non affinché ogni cittadino, impresa o istituzione possa applicare le tecniche sopra citate e verificare autonomamente la sicurezza del software che utilizza. 3. rete: supporto alla ricerca ed implementazione di Next Generation Internet Lo so che fa specie sentirselo dire, ma Internet è irrimediabilmente compromessa e deve essere rifatta, *quasi* da zero in termini di protocolli e software infrastrutturale. Non lo dico io, lo dice il progetto Next Generation Internet nel suo studio del 2017 [5] The NGI study investigates how to deal with this urgent multi-faceted crisis, and will support the EC in understanding how to re-engineer the internet and subsequently rebuild trust in the post-Snowden internet — where necessary from the ground up. Dei progetti che ho avuto modo di analizzare ritengo che il più promettente e scientificamente solido sia GNUnet https://gnunet.org/en/. Il progetto secushare.org ha prodotto un interessante schema (https://secushare.org/broken-internet) su come dovrebbe essere l'architettura della prossima Internet, dove _non_ va assolutamente tralasciato un adeguato "strato" multicasting. Una rete neutrale _e_ scalabile, nella quale l'identità _e_ i dati di chi vi accede sono protetti *by design* è condizione sine qua non alla partecipazione egualitaria dei cittadini, imprese e altre forme associative alla vita sociale, politica _ed_ economica, quindi alla piena cittadinanza, della quale la "forma digitale" è parte integrante. Ratio: non che altri progetti (es. "un cloud alternativo") non siano importanti, ma questi tre elementi - hardware, software e rete - determinano tutto quello che succede nell'universo digitale, liberare queste, renderle patrimonio comune, significa dare la possibilità di liberare _tutto_ quello che ci si può "costruire sopra", dai sistemi operativi alle applicazioni, dalle comunicazioni personali alle reti sociali. Ecco le tre modeste proposte. Cordiali saluti. Giovanni. [1] https://en.wikipedia.org/wiki/2020_United_States_federal_government_data_bre... [2] https://lists.reproducible-builds.org/pipermail/rb-general/2020-December/002... [3] https://www.schneier.com/blog/archives/2006/01/countering_trus.html http://users.ece.cmu.edu/~ganger/712.fall02/papers/p761-thompson.pdf [4] https://lists.reproducible-builds.org/pipermail/rb-general/2020-December/002... [5] https://www.ngi.eu/about/ngi-study -- Giovanni Biscuolo