I soldi di Google a GNUnet, Mozilla, Nexa etc... (era: necessaria alfabetizzazione digitale)
Il 23 Settembre 2023 20:02:17 UTC, Federico Morando ha scritto:
Buonasera Giacomo,
Buona sera Federico,
sono curioso di capire fin dove si estende il ragionamento sulla collaborazione con Google
Il ragionamento che ho esposto si applica ovviamente a qualunque ente, organizzazione o sviluppatore che accetti soldi da Google & friends. Inclusa ovviamente Nexa e le diverse Università italiane. D'altro canto, la validità di un ragionamento non si misura dall'autorevolezza delle persone o delle organizzazioni che vi rientrano. Chiunque prenda soldi dal Governo Russo ne legittima l'operato. Chiunque prenda soldi da un organizzazione mafiosa, ne legittima l'operato. Per quale stramba ragione, accettare soldi da Google non dovrebbe implicare una legittimazione della sorveglianza e della manipolazione di massa che permette a Google di sottrarre alla società quelle risorse?
In pratica, questi fondi sono stati perlopiù spesi (così mi pare di ricordare, ma si può approfondire, credo, incrociando tra Annual Reports, e.g. https://nexa.polito.it/2016-annual-report , e qui https://github.com/nexacenter/funding) per il progetto Neubot, a mio parere il più interessante progetto open source portato avanti da Nexa, ma anche un progetto adatto all'ethic-washing...
Ahimé confesso di non conoscere Neubot. Al di là dell'ethic-washing, ad una rapidissima occhiata noto diverse ottime ragioni per cui Google può aver deciso di finanziarlo. Ad esempio, stando alla breve presentazione sul sito di Nexa [1] i dati raccolti dai volontari che installano Neubot vengono trasferiti a Measurement Lab [2], una delle tante filiali di Google sotto altro nome. Infatti "In 2022, we also began incoporating virtual servers in cloud networks into the platform, starting with Google Cloud." [3] Inoltre "For most tests, M-Lab collects and stores raw test data and makes the data publicly available using Google Cloud Storage. " [4] Dunque nel 2022, Neubot ha trasferito i dati personali dei cittadini europei che lo hanno installato a Google. Su che base di legittimazione, in assenza di una decisione di adeguatezza, questi trasferimenti sono avvenuti fra il 16/07/2020 e il 10/07/2023? Temo nessuna, poiché persino il consenso dell'utente non è sufficiente per trasferimenti sistematici come questi. Da un punto di vista cibernetico poi la net neutrality è un po' come il libero mercato: una splendida teoria per legittimare una pratica che favorisce SEMPRE gli agenti più forti. Il fatto che la banda consumata da Google costi come quella consumata dal mio piccolo ISP è ridicolo: i pacchetti ricevuti ed inviati da Google (o da Microsoft o Amazon etc...) consumano la stragrande maggioranza della banda disponibile, rallentando di fatto i pacchetti di tutti gli altri. Il sistema di costo dovrebbe tenerne conto: se per Legge la banda costasse MOLTO di più all'aumentare della sua percentuale di utilizzo da parte di un'organizzazione, i piccoli cloud provider avrebbero un vantaggio competitivo sulle BigTech che potrebbe ridure la concentrazione del mercato (anche a vantaggio della tanto invocata, ma sempre ostacolata nei fatti, concorrenza). È poi interessante notare come Google si sia assicurata accesso legale ai dati raccolti [5]: ``` Can I use M-Lab’s services without measurements being added to the public dataset? No. Using M-Lab’s test infrastructure and services requires the the resulting data to be shared. All data collected by M-Lab tests are available to the public without restriction under a No Rights Reserved Creative Commons Zero Waiver. ``` Dati che anche solo tramite l'IP, Google può quasi sempre correlare con gli l'identità degli utenti stessi se questi commettono l'errore di autenticarsi ai suoi servizi dallo stesso IP. Dunque purtroppo anche Neubot conferma la mia analisi: Google spende bene i propri soldi quando finanzia Università e Centri di Ricerca come Nexa, così come quando sconta del 100% Google Classroom a scuole elementari, medie o superiori. Non c'è alcun modo di collaborare con Google senza diventarne strumenti. Una considerazione peraltro ovvia da un punto di vista cibernetico. Per questo una alfabetizzazione digitale non ci serve a molto. Per questo la cittadinanza cibernetica non presuppone solo il saper programmare (pur fondamentale) ma anche un solida conoscenza della Storia. D'altronde non sto dicendo nulla di nuovo. O forse... farò la fine di Laocoonte anche io? ;-) Giacomo [1] https://nexacenter.org/neubot [2] https://www.measurementlab.net/who/ Consiglio di contare le occorrenze della parola Google in quella pagina per farsi un idea. [3] https://www.measurementlab.net/status/ [4] https://www.measurementlab.net/frequently-asked-questions/#who-is-collecting... [5] https://www.measurementlab.net/develop/#can-i-use-m-labs-services-without-me...
Il sab 23 set 2023, 20:16 Giacomo Tesio <giacomo@tesio.it> ha scritto:
Caro 380, [cut]
Se a te basta un GSoC per etichettare qualsiasi progetto come:
1. strumento del business model di Google
2. strumento degli obiettivi politici di Google
Esattamente. Basta un GSoC (Google Summer of Code).
Nel momento in cui collabori con un nemico enormemente più potente di te, puoi contartela finché vuoi, ma hai tradito coloro che si battono al tuo fianco.
Non c'è alcun modo di lavorare con Google senza diventarne uno strumento.
[...]
Ma il GSoC nella home di GNUnet ha ənche un altra funzione, molto più ovvia ed immediata: il consueto Open-Washing e Ethic-Washing di Google che, pensa un po'? Si preoccupa della privacy!
Hai frainteso 380°, Il giorno Mon, 25 Sep 2023 10:05:03 +0200 380° ha scritto:
Non ci crederai ma avevo capito anche prima, non era necessario infierire.
Non era assolutamente mia intenzione "infierire", ho provato a spiegare ciò che osservo dalla mia prospettiva, senza voler in alcun modo convincere (o deprimere) nessuno.
Tu stai dando sostanzialmente degli utili idioti ai maintainer e contributor di GNUnet, e molti altri progetti GNU e non, per il _solo_ fatto che partecipano a GSoC
In estrema sintesi, sì.
che come sai è quello di permettere al contributor di guadagnare quattro spiccioli in cambio del lavoro di sviluppo di una (delle tantissime) feature di un programma, le cui specifiche sono determinate dall'organizzazione partecipante - es. GNUnet - e in nessun modo da Google.
Esatto. L'organizzazione partecipante propone uno o più progetti, ma è Google a scegliere cosa finanziare e cosa no. E finanzia solo ciò che rientra nei PROPRI obiettivi. Di conseguenza le GSoC sono un ottimo investimento per Google: migliaia di giovani, talentuosi quanto ingenui, si scervellano per ideare proposte che Google possa decidere di finanziare. A Google non rimane letteralmente che l'imbarazzo della scelta. Con ogni GSoC Google ottiene vantaggi ben maggiori del valore degli spiccioli che passa al progetto, fra cui: - Open-Washing e Ethic-Washing ("...ha fatto anche cose buone" ;-) - Supporto tecnico per le proprie "innovazioni" tecnologiche che diventano rapidamente "steady growing" o addirittura "largely adopted". - Supporto politico da sviluppatori in gamba, che in futuro ci penseranno due volte prima di attaccare Google per non essere accusati di "sputare nel piatto in cui hanno mangiato" - Aumentare la sorveglianza degli utenti anche tramite terze parti insospettabili Nel caso di GNUnet, Google ha ottenuto tutto questo.
mi piacerebbe proprio tanto che le persone per potersi esprimere liberamente (il lavoro è una forma di espressione) non fossero costrette a chiedere sostanzialmente l'elemosina [...] 2. in questo contesto economico **legacy** ( :-O ) le alternative scarseggiano **drammaticamente**.
E continueranno a scarseggiare se accettiamo ciecamente di giocare ad un gioco progettato per farci perdere.
Il protocollo QUIC inietta a livello 4 un identificativo persistente del client che ha instaurato la connessione, con la scusa di evitare l'hand shake TLS.
Insomma un tracciante a livello 4. [...] Ho la sensazione che tu abbia più torto di me ("the relativity of wrong") se pensi che uno dei tanti metodi di transporto usati in GNUnet possa essere usato per tracciare a livello 4 (transport) le comunicazioni; GNUnet prevede di usare oltre a QUIC: TCP, UDP, UNIX Domain Socket. (rif. https://www.gnunet.org/en/roadmap.html).
:-) Ho abbastanza chiaro.
Non credi che già senza QUIC almeno TCP e UDP siano abbastanza tracciabili e quindi potenzialmente usate come backdoors?
TCP e UDP non sono perfetti, ma QUIC è molto peggio. Per stabilire una connessione cifrata end-to-end persistente a livello 4 ha bisogno (guarda caso!) di un tracciante che gli permetta di reidentificare il client (e di conseguenza l'utente) anche se cambia IP (ad esempio perché attraversa un NAT) prima ancora di decifrare il traffico con il TLS offloading. Ed essendo a livello 4, contrariamente ad un cookie, ad uno user agent o ad un altro header di livello 5, non può essere spoofato o rimosso senza interrompere la comunicazione con il server. QUIC risolve problemi tecnici che solo Google, sia per quanto riguarda la scala, sia per quanto riguarda rendere la sorveglianza degli utenti capillare ed inaggirabile. Che ci fa in un progetto come GNUnet?
uno dei tanti metodi di transporto usati in GNUnet
Se è presente, qualcuno lo userà non comprendendo i rischi. Inoltre, una volta introdotto in GNUnet (!!!) con quattro soldi, Google potrà decidere di modificare il protocollo in modo non retro-compatibile costringendo GNUnet a spendere le poche risorse disponibili nel suo aggiornamento... o ad accettare nuove elemosine da parte di Google stessa (nuovo open-washing, nuove menti cooptate etc...)
Credi che gli sviluppatori di GNUnet siano completamente deficienti
No: rilevo semplicemente che hanno ottime competenze informatiche ma scarsissime competenze cibernetiche (ovvero politiche).
anche solo degli utili idioti inconsapevoli dei pericoli di QUIC et al.?
Ma, in tutta onestà, lo spero! L'alternativa è che i lobbisti di Google & friends siano riusciti in qualche modo a scalare il progetto GNUnet come sta avvenendo negli ultimi anni in molti altri progetti nati come software libero: pensa a GUIX e GCC giusto per citare i più noti.
Credi che **il codice** che implementa il trasporto GNUnet (da non confondere con il livello 4 del modello OSI) abbia dei bachi che consentono a uno dei suoi /communicator/ di de-anonimizzare il traffico?
Temo non solo ai communicator, in effetti.
Se ritieni che ci sia uno o più di questi problemi **non dirlo a me**!
Beh l'ho detto a te perché tu hai portato alla mia attenzione questa tristissima notizia.
Considerata la tua competenza, perché non contribuire almeno aprendo un bug report: https://bugs.gnunet.org/view_all_bug_page.php?filter=65112f8820b17 ?
Fatto: https://bugs.gnunet.org/view.php?id=7944
Ti assicuro che se tu avessi ragione, quello sarebbe un **enorme** bug e senza dubbio la comunità di sviluppatori GNUnet si /precipiterebbe/ a correggerlo...
Se succederà, sarò felicissimo di essermi sbagliato!
...perché questa è la POLITICA del progetto:
--8<---------------cut here---------------start------------->8---
GNUnet is not merely a technical project, but also a political mission: like the GNU project as a whole, we are writing software to achieve political goals with a focus on the human right of informational self-determination. Putting users in control of their computing has been the core driver of the GNU project. With GNUnet we are focusing on informational self-determination for collaborative computing and communication over networks.
The Internet is shaped as much by code and protocols as it is by its associated political processes (IETF, ICANN, IEEE, etc.). Similarly its flaws are not limited to the protocol design. Thus, technical excellence by itself will not suffice to create a better network. We also need to build a community that is wise, humble and has a sense of humor to achieve our goal to create a technical foundation for a society we would like to live in.
--8<---------------cut here---------------end--------------->8--- (https://docs.gnunet.org/latest/about.html)
APPUNTO ! ! ! Non noti una palese contraddizione con il prendere soldi da Google per implementare un protocollo il cui sviluppo e deploying è guidato da Google? Non si tratta semplicemente di un'Università che impone ai propri studenti di usare Google perché il Rettore ha preso una mazzetta ed è ormai ben allineato agli obiettivi cibernetici di Google! GNUnet ESISTE (o almeno, cerca da oltre 20 anni di iniziare ad esistere sul serio) proprio per contrastare quegli obiettivi!
Aggià scusa: tu hai già scartato GNUnet a prescindere dai suoi (de)meriti POLITICI o tecnici: date a Google un GSoC e vi aprirà GNUnet come una scatoletta di tonno!... o era di triglie?!?
Non capisco il tuo sarcasmo: ti ho esposto una prospettiva basata su argomenti molto chiari, di natura tecnica e politica (ignorando gli aspetti etici, pur enormi!) Mi dispiace aver urtato la tua sensibilità, ma puoi vederla come un'occasione per allargare la mia prospettiva con argomenti tecnici e politici di segno opposto che mi facciano cambiare idea. Permettimi però di non accontentarmi dell'autorevolezza degli sviluppatori di GNUnet: 20 anni fa mi ero bevuto anche io il "We Shall Do No Evil" e come si dice in Calabria "na vota si futt' a vecchia!" :-D
Ma nulla è perduto! Se non vuoi collaborare con loro, per qualsiasi motivo politico o tecnico, puoi sempre fare un fork del codice: pensa, è con licenza GNU AGPL!
MADDAI! ! ! Non lo sapevo ! ! ! :-D Ok lo metto nella lista delle cose da fare... ;-)
Non solo: se anche la licenza GNU AGPL non fosse adeguata ai tuoi scopi politici, puoi sempre riscrivere da zero GNUnet e usare la tua licenza, che più si adatta a quelli.
Ma devo sempre fare tutto io? :-D
P.S.: a latere, ho la vaga sensazione che tu sia convinto di poter risolvere tutti i problemi del mondo (per esempio i problemi dell'economia capitalista) con l'informatica, il che si configurerebbe come una forma di soluzionismo digitale dai nobilissimi intenti. Ma sicuramente mi sbaglio.
Ti sbagli, in effetti. Non credo di poter risolvere tutti i problemi con l'informatica. So solo che l'informatica, se non diventa patrimonio culturale collettivo, diventerà lo strumento oppressivo più potente, efficace e duraturo della storia dell'umanità. Non ci sarà via di scampo per secoli: saremo divisi e ciechi, sorvegliati e manipolati, ed ogni guizzo di autonomia, ogni tentativo di anche solo immaginare una rivolta verrà immediatamente sedata o distrutta. Dunque non penso di risolvere tutti i problemi con l'informatica, mi basta evitarne uno: l'uso oppressivo dell'informatica. Di nuovo però, non sto dicendo nulla di nuovo. Ed è triste che nel 2023 ci siano ancora persone che cascano dal pero. “Per soffocare in anticipo ogni rivolta, non bisogna essere violenti. I metodi del genere di Hitler sono superati. Basta creare un condizionamento collettivo così potente che l’idea stessa di rivolta non verrà nemmeno più alla mente degli uomini. L’ ideale sarebbe quello di formattare gli individui fin dalla nascita limitando le loro abilità biologiche innate. In secondo luogo, si continuerebbe il condizionamento riducendo drasticamente l’istruzione, per riportarla ad una forma di inserimento professionale. Un individuo ignorante ha solo un orizzonte di pensiero limitato e più il suo pensiero è limitato a preoccupazioni mediocri, meno può rivoltarsi. Bisogna fare in modo che l’accesso al sapere diventi sempre più difficile e elitario. Il divario tra il popolo e la scienza, che l’informazione destinata al grande pubblico sia anestetizzata da qualsiasi contenuto sovversivo. Niente filosofia. Anche in questo caso bisogna usare la persuasione e non la violenza diretta: si diffonderanno massicciamente, attraverso la televisione, divertimenti che adulano sempre l’emotività o l’istintivo. Affronteremo gli spiriti con ciò che è futile e giocoso. È buono, in chiacchiere e musica incessante, impedire allo spirito di pensare. Metteremo la sessualità al primo posto degli interessi umani. Come tranquillante sociale, non c’è niente di meglio. In generale si farà in modo di bandire la serietà dell’esistenza, di ridicolizzare tutto ciò che ha un valore elevato, di mantenere una costante apologia della leggerezza; in modo che l’euforia della pubblicità diventi lo standard della felicità umana. È il modello della libertà. Il condizionamento produrrà così da sé tale integrazione, l’unica paura, che dovrà essere mantenuta, sarà quella di essere esclusi dal sistema e quindi di non poter più accedere alle condizioni necessarie alla felicità. L’ uomo di massa, così prodotto, deve essere trattato come quello che è: un vitello, e deve essere monitorato come deve essere un gregge. Tutto ciò che permette di far addormentare la sua lucidità è un bene sociale, tutto ciò che metterebbe a repentaglio il suo risveglio deve essere ridicolizzato, soffocato, combattuto. Ogni dottrina che mette in discussione il sistema deve prima essere designata come sovversiva e terrorista e coloro che la sostengono dovranno poi essere trattati come tali”. - Günther Anders. “L’uomo è antiquato”, 1956 Io mi batto affinché questo non accada. Affinché non prevalgano. E vista la disparità di forze, non posso vendere il futuro delle mie figlie... per quattro soldi. Giacomo PS: scusa se ti ho risposto in questo thread, ma l'oggetto è più attinente al tema rispetto all'originale che si era già evoluto in diversi rivoli.
La supposta citazione di Anders con cui Giacomo Tesio conclude il suo messaggio in lista (uno dei tanti) sta girando molto online, ma è totalmente inventata, come chiunque abbia letto un po' di Anders capisce all'istante. Sembrerà un dettaglio. E probabilmente lo è. Ma se penso al fatto che Tesio, in un altro recente messaggio, ha commentato un progetto storico del Centro Nexa, ovvero, Neubot, dimostrando di non sapere che il progetto è chiuso dal 2017 (come scritto a chiare lettere qui: https://neubot.github.io/ e qui: https://nexa.polito.it/neubot), forse non è un dettaglio... Forse è il sintomo di una propensione a scrivere che forse potrebbe beneficiare da una maggior propensione all'approfondimento prima di scrivere. Se non altro per rispetto del tempo e dell'attenzione di chi legge questa lista. Non so, eh... me lo chiedo... Relativamente ai finanziamenti del Centro Nexa, a parte la pubblicazione sotto forma di dati aperti, mi sembra utile far sapere alla lista che Nexa da sempre rispetta i seguenti principi di trasparenza e "accountability": https://nexa.polito.it/transparency-and-accountability Sono regole decise dai Garanti del Centro Nexa (https://nexa.polito.it/trustees), che ogni anno ne monitorano il rispetto. Buona serata, juan carlos On 25/09/23 16:40, Giacomo Tesio wrote:
Hai frainteso 380°,
Il giorno Mon, 25 Sep 2023 10:05:03 +0200 380° ha scritto:
Salve Professor De Martin, Il giorno Mon, 25 Sep 2023 17:17:20 +0200 "J.C. DE MARTIN" <juancarlos.demartin@polito.it> ha scritto:
La supposta citazione di Anders con cui Giacomo Tesio conclude il suo messaggio in lista (uno dei tanti) sta girando molto online, ma è totalmente inventata, come chiunque abbia letto un po' di Anders capisce all'istante.
Grazie dell'informazione! Mi scuso per l'errore e lo segnalo a chi recentemente me l'ha sottoposta.
Sembrerà un dettaglio. E probabilmente lo è.
Come ben può immaginare conoscendo i miei interventi pregressi in lista, il mio non voleva essere assolutamente un'argomento ab auctoritate: ho citato quel testo perché ne condivido il contenuto che, autentico o meno nell'autore, narra una rappresentazione del presente che trovo purtroppo attinente. Avrei potuto omettere l'autore se non avessi temuto di appropriarmi indebitamente del lavoro altrui. In qualunque caso, ringrazio sinceramente per la correzione! Prometto che ne farò buon uso.
Ma se penso al fatto che Tesio, in un altro recente messaggio, ha commentato un progetto storico del Centro Nexa, ovvero, Neubot, dimostrando di non sapere che il progetto è chiuso dal 2017 (come scritto a chiare lettere qui: https://neubot.github.io/ e qui: https://nexa.polito.it/neubot), forse non è un dettaglio... Forse è il sintomo di una propensione a scrivere che forse potrebbe beneficiare da una maggior propensione all'approfondimento prima di scrivere. Se non altro per rispetto del tempo e dell'attenzione di chi legge questa lista.
Certamente: non si approfondisce mai abbastanza. Tuttavia ho confessato subito di non conoscere il progetto Neubot (e ora capisco bene il perché) e di essermi basato su una rapidissima lettura della relativa pagina Nexa e di quelle da essa segnalate. Le mie considerazioni nel merito del progetto, vanno dunque giustamente collocate e ristrette ai nove anni di attività del progetto. In qualunque caso, mi scuso per aver erroneamente espresso al presente la risposta alla domanda di Federico Morando riguardo il rapporto fra Nexa e Google nell'ambito del progetto Neubot.
Non so, eh... me lo chiedo...
E' una domanda assolutamente lecita, cui spero di aver risposto.
Relativamente ai finanziamenti del Centro Nexa, a parte la pubblicazione sotto forma di dati aperti, mi sembra utile far sapere alla lista che Nexa da sempre rispetta i seguenti principi di trasparenza e "accountability":
https://nexa.polito.it/transparency-and-accountability
Sono regole decise dai Garanti del Centro Nexa (https://nexa.polito.it/trustees), che ogni anno ne monitorano il rispetto.
Un'ottima pratica! Grazie ad una doverosa (ma ahimé, nuovamente rapida) lettura dei dati pubblicati su GitHub, apprendo che Nexa non ha ricevuto fondi da Google (o da altre aziende statunitensi) fra il 2017 e il 2021 (e immagino neanche successivamente). Per quel poco che conta, proprio alla luce delle considerazioni già espresse nelle mie mail precedenti, la cosa non può che farmi piacere.
Buona serata,
juan carlos
Buona serata! Giacomo
Ciao Giacomo, Giacomo Tesio <giacomo@tesio.it> writes: [...]
Considerata la tua competenza, perché non contribuire almeno aprendo un bug report: https://bugs.gnunet.org/view_all_bug_page.php?filter=65112f8820b17 ?
Grazie Giacomo! Abbiamo così la possibilità di poter verificare cosa rispondono alle tue osservazioni di merito. Vedo che il bug report è già stato chiuso e da quello che leggo mi pare di capire che: 1. dal punto di vista tecnico insisti su alcuni aspetti solo per il fatto di non aver compreso l'architettura di GNUnet: «There is nothing to fingerprint. There is no application layer protocol running directly on top of the transport layer in gnunet.» [...] «GNUnet runs on top of transports that are expected to be insecure channels. Period. It does not matter what kind of privacy and security issues quic has because we DO NOT CONSIDER IT A SECURE CHANNEL.» 2. dal punto di vista politico, trovo condivisibile questa risposta, NEL CONTESTO dello scopo di GNUnet: «if we exclude all transport channel provides that somebody politically deems questionable, but are technically perfectly sound transports, then I have to strongly disagree that this is getting us anywhere and we basically have to start with launching our own satellites into space.» In merito a 1. ti dico che può darsi che a tutti gli sviluppatori di GNUnet stia sfuggendo qualcosa di fondamentale nella loro architettura: in questo caso non resta che /smentirli/, producendo un'analisi tecnica che evidenzi la backdoor o la falla architetturale, magari producendo un paper che falsifichi l'intero lavoro di ricerca di GNUnet degli ultimi vent'anni. In merito a 2. ti dico che quello che ti ha risposto schanzen (Martin Schanzenbach, co-maintainer) non è una iperbole o una risposta sarcastica: è la "banale" realtà dei fatti, perché rifare da zero Internet dal Layer 1 al Layer 4 **compreso** è impossibile, spero che tu comprenda bene il perché, agli altri dico: perché ogni singolo apparecchio che costituisce l'infrastruttura _fisica_ di Internet funziona con software che capisce /determinati/ protocolli di trasporto, ogni router, ogni switch, ogni scheda di rete funziona con quelli (ah i bei tempi del Token Ring!). Naturalmente potremmo sempre sostituirli tutti... ma ci vorrebbero svariati decenni ed equivarrebbe a lanciare dei satelliti propri. Detto in altre parole, la sola cosa ragionevole da fare è lavorare dal Layer 5 **in su**, cosa che GNUnet fa nel suo sottosistema CORE: https://docs.gnunet.org/latest/developers/core/core.html --8<---------------cut here---------------start------------->8--- The CORE subsystem in GNUnet is responsible for securing link-layer communications between nodes in the GNUnet overlay network. CORE builds on the TRANSPORT subsystem which provides for the actual, insecure, unreliable link-layer communication (for example, via UDP or WLAN), and then adds fundamental security to the connections: [...] --8<---------------cut here---------------end--------------->8--- ...e scusa se è poco. Però oh, ripeto: «noi (io e schanzen), incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» [...] Un caro saluto, 380° P.S.: sull'altro aspetto politico, cioè quello del ethics-washing, i soldi sporchi e compagnia cantante non ho nessuna intenzione di commentare tranne evidenziare che ovviamente niente esclude che chiunque in GNU, GNUnet e compagnia cantante possano essere un infiltrato per conto di qualche BigTech o governo. -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
Caro Giovanni, ti suggerisco di leggere con maggiore attenzione quella conversazione. Martin Schanzenbach purtroppo non ha letto i paper che gli ho proposto, tant'è che la sua prima risposta prende fischi per fiaschi riguardo al protocollo in questione (non aveva letto che il paper fa proprio riferimento al RFC 9000). Nonostante la mia reiterata richiesta di spiegarmi come GNUnet possa mitigare una vulnerabilità che si verifica (semplifico) durante l'handshake iniziale QUIC, prima che il payload GNUnet possa essere trattato, non ha risposto, limitandosi a dire che GNUnet tratta i transport come non sicuri. Mi sta bene: una volta che la connessione GNUnet over QUIC è stabilita, forse GNUnet può mitigare il problema. Ma gli attacchi in questione possono essere attuati PRIMA che questo avvenga e, se Schanzenbach avesse provato a leggere il paper l'avrebbe capito. Quanto poi al fatto che QUIC sia un protocollo "perfectly sound"... BAH! Io vedo solo che qualsiasi critica gli venga posta viene cancellata. https://en.wikipedia.org/wiki/Talk:QUIC#Criticism_getting_reverted Ma evidentemente a GNUnet non interessa. Il che, purtroppo, fa perdere a me qualsiasi interesse in GNUnet. Esattamente come l'abbandono del progetto GNU mi ha fatto perdere ogni interesse in GCC e l'attacco a Stallman mi ha fatto perdere ogni interesse in GUIX. Il software libero non è un progetto software, ma un progetto politico. E collaborare con Google diffondendo uno dei suoi strumenti è miope ed autolesionista, sia da un punto di vista tecnico che politico. Nel caso di GNUnet poi, è in diretto contrasto con la "political mission" di cui blatera la documentazione del progetto (e che tu avevi giustamente riportato nella tua mail precedente). Apri gli occhi, Giovanni: il software libero sta morendo, ucciso dai suoi stessi campioni di un tempo. E lo scrivo con la morte nel cuore. Giacomo Il giorno Tue, 26 Sep 2023 16:43:39 380° ha scritto:
Considerata la tua competenza, perché non contribuire almeno aprendo un bug report: https://bugs.gnunet.org/view_all_bug_page.php?filter=65112f8820b17 ?
Grazie Giacomo!
Abbiamo così la possibilità di poter verificare cosa rispondono alle tue osservazioni di merito.
Vedo che il bug report è già stato chiuso e da quello che leggo mi pare di capire che:
1. dal punto di vista tecnico insisti su alcuni aspetti solo per il fatto di non aver compreso l'architettura di GNUnet: «There is nothing to fingerprint. There is no application layer protocol running directly on top of the transport layer in gnunet.» [...] «GNUnet runs on top of transports that are expected to be insecure channels. Period. It does not matter what kind of privacy and security issues quic has because we DO NOT CONSIDER IT A SECURE CHANNEL.»
2. dal punto di vista politico, trovo condivisibile questa risposta, NEL CONTESTO dello scopo di GNUnet: «if we exclude all transport channel provides that somebody politically deems questionable, but are technically perfectly sound transports, then I have to strongly disagree that this is getting us anywhere and we basically have to start with launching our own satellites into space.»
In merito a 1. ti dico che può darsi che a tutti gli sviluppatori di GNUnet stia sfuggendo qualcosa di fondamentale nella loro architettura: in questo caso non resta che /smentirli/, producendo un'analisi tecnica che evidenzi la backdoor o la falla architetturale, magari producendo un paper che falsifichi l'intero lavoro di ricerca di GNUnet degli ultimi vent'anni.
In merito a 2. ti dico che quello che ti ha risposto schanzen (Martin Schanzenbach, co-maintainer) non è una iperbole o una risposta sarcastica: è la "banale" realtà dei fatti, perché rifare da zero Internet dal Layer 1 al Layer 4 **compreso** è impossibile, spero che tu comprenda bene il perché, agli altri dico: perché ogni singolo apparecchio che costituisce l'infrastruttura _fisica_ di Internet funziona con software che capisce /determinati/ protocolli di trasporto, ogni router, ogni switch, ogni scheda di rete funziona con quelli (ah i bei tempi del Token Ring!).
Naturalmente potremmo sempre sostituirli tutti... ma ci vorrebbero svariati decenni ed equivarrebbe a lanciare dei satelliti propri.
Detto in altre parole, la sola cosa ragionevole da fare è lavorare dal Layer 5 **in su**, cosa che GNUnet fa nel suo sottosistema CORE: https://docs.gnunet.org/latest/developers/core/core.html
--8<---------------cut here---------------start------------->8---
The CORE subsystem in GNUnet is responsible for securing link-layer communications between nodes in the GNUnet overlay network. CORE builds on the TRANSPORT subsystem which provides for the actual, insecure, unreliable link-layer communication (for example, via UDP or WLAN), and then adds fundamental security to the connections:
[...]
--8<---------------cut here---------------end--------------->8---
...e scusa se è poco.
Però oh, ripeto: «noi (io e schanzen), incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché»
[...]
Un caro saluto, 380°
P.S.: sull'altro aspetto politico, cioè quello del ethics-washing, i soldi sporchi e compagnia cantante non ho nessuna intenzione di commentare tranne evidenziare che ovviamente niente esclude che chiunque in GNU, GNUnet e compagnia cantante possano essere un infiltrato per conto di qualche BigTech o governo.
participants (3)
-
380° -
Giacomo Tesio -
J.C. DE MARTIN