Ciao Giacomo, Giacomo Tesio <giacomo@tesio.it> writes: [...]
Even ignoring the huge, unfair and invisible influence that such American companies could have on the project development, even ignoring that so many members are subject to the same Law (a Law that includes the US Cloud Act, FISA, PPD 128, E.O. 12333, etc) decades after the Thompson's lecture on trust in compilers development [4],
Non era solo sui compilatori ma fa niente, è un dettaglio qui. Hai sentore che ci possa essere la possibilità che in questo scenario sia possibile nascondere adeguatamente bene qualche backdoor in GCC? Attenzione che non sto dicendo "che ci sia qualcuno che vuole farlo", quello lo do per scontato, è perfino ovvio. Intendo dire: considerato che la soluzione al problema del Trusting Trust è disponibile [5], credi che *a regime* sarà possibile far passare inosservata una qualche backdoor inserita nel sorgente del codice dei compilatori? ...sempre che lo si voglia davvero di arrivare a regime. Nel frattempo, mi domando se qualcuno abbastanza convincente non sia già riuscito a far inserire qualche backdoor nel software libero che uso, preso principalmente da Debian. Se qualcuno stesse alzando il sopracciglio pensando che io sia troppo paranoico vi dico solo che una cosa del tutto analoga (la cui vera causa probabilmente non si saprà mai) è già successa col disastro di Solar Winds Orion. C'è qualcuno addetto alla nostra cybersicurezza nazionale che se ne sta occupando o va tutto bene così, "solo" perché noi stiamo dalla parte di quelli che sono più bravi a inserire backdoors? [...] Saluti, Giovanni.
[4] https://users.ece.cmu.edu/~ganger/712.fall02/papers/p761-thompson.pdf
[5] Countering Trusting Trust through Diverse Double-Compiling (DDC) https://dwheeler.com/trusting-trust/, in particolare https://dwheeler.com/trusting-trust/#real-world -- Giovanni Biscuolo