Fwd: The role of FOSS in preventing a recurrence of vehicle emissions scandals
(mi allaccio al thread https://server-nexa.polito.it/pipermail/nexa/2022-December/049933.html e seguenti) -------- Forwarded Message -------- Subject: The role of FOSS in preventing a recurrence of vehicle emissions scandals Date: Sat, 06 May 2023 16:58:09 +0300 From: Lars Noodén <lars.nooden@gmx.com> To: libreplanet-discuss@libreplanet.org Recent news¹ reminds us that back in 2015 a whistleblower exposed the VW/Audi emissions scandal, which I guess had been going on since 1999. The companies executives used closed source, proprietary software in the vehicles to hide the fact that the vehicles were emitting 40 times the allowed NOx when actually out on the roads and not in the testing centers. Even with fines and prison sentences, there is no way to be sure the companies are not working on more of the same -- unless the development is done out in the open. Clearly we see both physical and economic harm from neglecting to require FOSS even in embedded computers, such as the 100+ now found in each new car. because these companies have already shown that the closed source model *cannot* be trusted such style of development should not be allowed any more in regards to vehicles. Surely a FOSS-based workflow can be figured out. Perhaps it is a timely and appropriate topic for institutions like FSF, OSI, EFFI, and so on to address that publicly? Even a short statement in passing would at least raise awareness and provide an opportunity to ratchet things forward in regard to Software Freedom. /Lars ¹ Many sites on this topic, too, here is a small sample of three: "Former Audi Chief to Plead Guilty in Emissions Scandal" https://www.nytimes.com/2023/05/03/business/diesel-emissions-scandal-audi-ru... "Ex-Audi CEO to Plead Guilty Over 'Dieselgate' Scandal " https://www.voanews.com/a/ex-audi-ceo-to-plead-guilty-over-dieselgate-scanda... "Former head of Audi to confess in 'dieselgate' fraud trial| https://www.dw.com/en/former-head-of-audi-to-confess-in-dieselgate-fraud-tri... _______________________________________________ libreplanet-discuss mailing list libreplanet-discuss@libreplanet.org https://lists.libreplanet.org/mailman/listinfo/libreplanet-discuss
È (purtroppo) un argomento fallace che vedo spesso circolare in ambiti FOSS. Se qualcuno (VW/Audi in questo esempio) sta commettendo qualcosa di illegale, non si capisce perché ci si dovrebbe fidare degli stessi quando dicono "tutto il software dell'auto è software libero; abbiamo pubblicato i sorgenti qua: <URL>". Se sono disposti a barare, possono benissimo farlo anche quando dichiarano che il codice sorgente pubblicato corrispondo a quello installato nei veicoli (quando ciò non è vero). Non è certo la paura di non rispettare una licenza FOSS (ammesso e non concesso che ci sia del copyleft nell'equazione) che farà loro cambiare la bilancia costi/rischi/benefici. Quindi serve un modo di permettere agli utenti delle auto di verificare che il codice sorgente pubblicato corrisponda ai binari installati nell'auto. Per tutto questo non bastano nemmeno i Reproducible Builds (R-B) https://reproducible-builds.org/ , perché le auto di oggi sono sistemi molto chiusi nel quale l'utente difficilmente riesce ad avere accesso diretto al software installato. Ergo non ci si può basare sul threat model di R-B (cf.: [1]) per una verifica basata su consenso di build o terzi di fiducia. Ricapitolando, una soluzione tecnologica lungo questo asse richiede: (a) 100% open source, (b) reproducible builds, (c) accesso completo ai binari installati nell'auto. E tutto questo mi farebbe UN SACCO PIACERE. Ma da un punto di vista di policy pubbliche, se dobbiamo imporlo per legge, allora è molto più facile imporre il libero accesso per audit a tutto il software in esecuzione in un'auto da parte del regolatore. Ciao [1]: Lamb, Chris, and Stefano Zacchiroli. "Reproducible builds: Increasing the integrity of software supply chains." IEEE Software 39.2 (2021): 62-70. (Per farmi perdonare della auto citazione, ecco qua il preprint open access dell'articolo: https://hal.science/hal-03196519/ ) On Mon, May 08, 2023 at 06:11:37PM +0200, Andrea Trentini wrote:
(mi allaccio al thread https://server-nexa.polito.it/pipermail/nexa/2022-December/049933.html e seguenti)
-------- Forwarded Message -------- Subject: The role of FOSS in preventing a recurrence of vehicle emissions scandals Date: Sat, 06 May 2023 16:58:09 +0300 From: Lars Noodén <lars.nooden@gmx.com> To: libreplanet-discuss@libreplanet.org
Recent news¹ reminds us that back in 2015 a whistleblower exposed the VW/Audi emissions scandal, which I guess had been going on since 1999. The companies executives used closed source, proprietary software in the vehicles to hide the fact that the vehicles were emitting 40 times the allowed NOx when actually out on the roads and not in the testing centers. Even with fines and prison sentences, there is no way to be sure the companies are not working on more of the same -- unless the development is done out in the open.
Clearly we see both physical and economic harm from neglecting to require FOSS even in embedded computers, such as the 100+ now found in each new car. because these companies have already shown that the closed source model *cannot* be trusted such style of development should not be allowed any more in regards to vehicles. Surely a FOSS-based workflow can be figured out.
Perhaps it is a timely and appropriate topic for institutions like FSF, OSI, EFFI, and so on to address that publicly? Even a short statement in passing would at least raise awareness and provide an opportunity to ratchet things forward in regard to Software Freedom.
/Lars
¹ Many sites on this topic, too, here is a small sample of three:
"Former Audi Chief to Plead Guilty in Emissions Scandal" https://www.nytimes.com/2023/05/03/business/diesel-emissions-scandal-audi-ru...
"Ex-Audi CEO to Plead Guilty Over 'Dieselgate' Scandal " https://www.voanews.com/a/ex-audi-ceo-to-plead-guilty-over-dieselgate-scanda...
"Former head of Audi to confess in 'dieselgate' fraud trial| https://www.dw.com/en/former-head-of-audi-to-confess-in-dieselgate-fraud-tri...
_______________________________________________ libreplanet-discuss mailing list libreplanet-discuss@libreplanet.org https://lists.libreplanet.org/mailman/listinfo/libreplanet-discuss _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- Stefano Zacchiroli . zack@upsilon.cc . https://upsilon.cc/zack _. ^ ._ Full professor of Computer Science o o o \/|V|\/ Télécom Paris, Polytechnic Institute of Paris o o o </> <\> Co-founder & CTO Software Heritage o o o o /\|^|/\ https://twitter.com/zacchiro . https://mastodon.xyz/@zacchiro '" V "'
On 08/05/2023 20:38, Stefano Zacchiroli wrote:
È (purtroppo) un argomento fallace che vedo spesso circolare in ambiti FOSS.
concordo, non basta
Se qualcuno (VW/Audi in questo esempio) sta commettendo qualcosa di illegale, non si capisce perché ci si dovrebbe fidare degli stessi quando dicono "tutto il software dell'auto è software libero; abbiamo pubblicato i sorgenti qua: <URL>". Se sono disposti a barare, possono benissimo farlo anche quando dichiarano che il codice sorgente pubblicato corrispondo a quello installato nei veicoli (quando ciò non è vero). Non è certo la paura di non rispettare una licenza FOSS (ammesso e non concesso che ci sia del copyleft nell'equazione) che farà loro cambiare la bilancia costi/rischi/benefici.
esatto, va aggiunta la possibilità (il diritto) di "flashare" ogni device (le cui azioni sono sotto la nostra responsabilità) con la versione compilata da noi, una sorta di "libertà -1" (oltre alla "freedom to run the program as you wish, for any purpose" serve una "freedom NOT to run the original program") [abbiamo già "litigato" ampiamente qui, non voglio rivangare flame]
Quindi serve un modo di permettere agli utenti delle auto di verificare che il codice sorgente pubblicato corrisponda ai binari installati nell'auto. Per tutto questo non bastano nemmeno i Reproducible Builds (R-B) https://reproducible-builds.org/ , perché le auto di oggi sono sistemi molto chiusi nel quale l'utente difficilmente riesce ad avere accesso diretto al software installato. Ergo non ci si può basare sul threat model di R-B (cf.: [1]) per una verifica basata su consenso di build o terzi di fiducia.
Ricapitolando, una soluzione tecnologica lungo questo asse richiede: (a) 100% open source, (b) reproducible builds, (c) accesso completo ai binari installati nell'auto. E tutto questo mi farebbe UN SACCO PIACERE.
idem!!!
Ma da un punto di vista di policy pubbliche, se dobbiamo imporlo per legge, allora è molto più facile imporre il libero accesso per audit a tutto il software in esecuzione in un'auto da parte del regolatore.
io sparerei più alto: accessa in lettura da parte di tutti, come minimo, per poi passare alla battaglia per il diritto di flashing (dal "right to repair" al "right to fully reprogram")
Ciao
[1]: Lamb, Chris, and Stefano Zacchiroli. "Reproducible builds: Increasing the integrity of software supply chains." IEEE Software 39.2 (2021): 62-70. (Per farmi perdonare della auto citazione, ecco qua il preprint open access dell'articolo: https://hal.science/hal-03196519/ )
grazie! -- Andrea Trentini ⠠⠵ http://atrent.it Dip.to di Informatica Università degli Studi di Milano
Ciao Stefano, On Mon, May 08, 2023 at 08:38:55PM +0200, Stefano Zacchiroli wrote:
Ma da un punto di vista di policy pubbliche, se dobbiamo imporlo per legge, allora è molto più facile imporre il libero accesso per audit a tutto il software in esecuzione in un'auto da parte del regolatore.
Che tanto non avrà mai il tempo, le risorse, le competenze e la volontà di debuggarlo e comprenderlo interamente. Questo approccio avrebbe una sua efficacia solo se tale dettagliatissima analisi del regolatore fosse PRErequisito alla messa in commercio. Se non fosse possibile mettere in commercio un qualsiasi device prima che il suo codice non sia stato approfonditamente sviscerato da un team pubblico di esperti, allora la quantità del codice commerciale in esecuzione si ridurrebbe di innumerevoli ordini di grandezza e la sua qualità aumenterebbe dello stesso numero di ordini di grandezza. Se però tale audit non fosse PRErequisito alla messa in commercio, sarebbe solo fumo negli occhi dei cittadini/consumatori. Ricordiamoci sempre che migliaia di scuole, ospedali e comuni stanno violando il GDPR alla luce del sole e l'Autorità GARANTE per la PROTEZIONE dei Dati Personali... tace. I regolatori sono molto facile da controllare. Giacomo
Buongiorno Stefano, Stefano Zacchiroli <zack@upsilon.cc> writes:
È (purtroppo) un argomento fallace che vedo spesso circolare in ambiti FOSS.
Se qualcuno (VW/Audi in questo esempio) sta commettendo qualcosa di illegale, non si capisce perché ci si dovrebbe fidare degli stessi quando dicono "tutto il software dell'auto è software libero; abbiamo pubblicato i sorgenti qua: <URL>". Se sono disposti a barare, possono benissimo farlo anche quando dichiarano che il codice sorgente pubblicato corrispondo a quello installato nei veicoli (quando ciò non è vero).
Questo dovrebbe essere chiarissimo a tutti coloro che hanno compreso la natura duale del software: sorgente in questo universo, binario nel "cyberspazio" Non capisco però cosa ci sia di fallace nel breve messaggio di Lars Noodén riportato da Andrea Trentini (una risposta con commenti inline forse aiuterebbe) [...]
Quindi serve un modo di permettere agli utenti delle auto di verificare che il codice sorgente pubblicato corrisponda ai binari installati nell'auto.
Immagino tu abbia in mente possibili modi: sarebbero? ...si torna alla _profonda_ spaccatura evidenziata nel thread citato da Andrea Trentini, come ad esempio in questo messaggio: https://server-nexa.polito.it/pipermail/nexa/2022-December/049959.html [...]
Ricapitolando, una soluzione tecnologica lungo questo asse richiede:
(a) 100% open source,
100% significa anche i driver necessari per "comandare" l'hardware, vero? :-)
(b) reproducible builds,
Reproducible builds non basta, il software deve essere anche bootstrappable per _risolvere_ il problema del "Trusting Trust" https://bootstrappable.org/
(c) accesso completo ai binari installati nell'auto.
Siccome l'esecuzione dei processi dipende anche dall'ambiente (environment) nel quale il binario viene eseguito /e/ alla configurazione di sistema, direi che l'accesso ai binari non basta, occorre l'accesso a tutto il sistema operativo (accesso root, per intenderci... sempre che non ci sia un ring-3 anche lì, ma non divaghiamo) Counque per brevità di esposizione, limitiamoci ai binari: giustissimo. Lo dico per i non addetti ai lavori: potendo analizzare i binari è possibile (anche) calcolare i loro "checksum", che possiamo considerare come le "impronte digitali" del binario: se cambia anche un bit nel codice binario, il "checksum" cambia. In questo modo, applicando i principi del "reproducible build", chiunque può verificare che il binario compilato sul proprio computer (in questo caso deve essere la stessa architettura del/dei computer embedded usato nella centralina dell'auto) corrisponda al binario distribuito dal "vendor" Processo _per nulla_ facile, considerando che _deve_ essere il "vendor" a distribuire la "ricetta" di build che _deve_ essere riproducibile (cosa non facile, tecnicamente) ma SOPRATTUTTO che occorre avere accesso /completo/ a un computer con la stessa achitettura di quello embedde nella centralina dell'auto. ...e /quindi/ torniamo alla (im)possibilità di accedere /completamente/ all'hardware della centralina al fine di ripetere il build (e magari anche il bootrap software) Siamo lontani da queste cose, siamo decisamente in un altro... UNIVERSO di discorso. Se continuiamo a girarci intorno non ci arriveremo mai. [...]
Ma da un punto di vista di policy pubbliche, se dobbiamo imporlo per legge, allora è molto più facile imporre il libero accesso per audit a tutto il software in esecuzione in un'auto da parte del regolatore.
Sì ma mi spiegheresti /come/ "il regolatore" può essere in grado di fare un audit di tutto il software se manca anche solo una delle condizioni che tu hai elencato e che "io" (le idee non sono mie, eventualmente io le ho solo espresse male) ho integrato? É /ovvio/ che per fare un lavoro serio il regolatore dovrebbe verificare tutto il software delle centraline dei veicoli (cosa che non avviene ancora oggi, nonostante i trucchi che probabilmente si ripetono dal 1999), ma per poterlo fare "lui" dovremmo poterlo fare tutti... ...a meno che qualcuno è convinto che agli "utenti" (cioè i cittadini) può essere precluso partecipare alla vita sociale e politica, della quale l'applicazione di automatismi cibernetici è /una/ delle espressioni. [...] Grazie, 380° [1] https://en.wikipedia.org/wiki/Checksum, tipo https://en.wikipedia.org/wiki/Sha1sum -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
On Mon, May 08, 2023 18:11:37 PM +0200, Andrea Trentini wrote:
(mi allaccio al thread https://server-nexa.polito.it/pipermail/nexa/2022-December/049933.html e seguenti)
-------- Forwarded Message -------- Subject: The role of FOSS in preventing a recurrence of vehicle emissions scandals Date: Sat, 06 May 2023 16:58:09 +0300 From: Lars Noodén <lars.nooden@gmx.com> To: libreplanet-discuss@libreplanet.org
Recent news¹ reminds us that back in 2015 a whistleblower exposed the VW/Audi emissions scandal...
Lars l'ho conosciuto nel 2010/2011, mi fa piacere vedere che sta ancora sul pezzo. Ma il "ruolo del FOSS nel prevenire nuovi scandali" tipo Dieselgate che lui propone adesso e' lo stesso che OTTO anni fa chiedevamo non solo io: https://stop.zona-m.net/2015/10/rogue-engineers-behind-volkswagen-scandal-so... ma Moglen e FSF (link a entrambi nel mio post): "If Volkswagen knew that every customer who buys a vehicle would have a right to read the source code of all the software in the vehicle..." READ, non "modificare apposta per, dopo revisione inevitabilmente solo formale, andarci in giro per strada" Quindi? Marco -- Vi aspetto su Substack! https://mfioretti.substack.com
participants (5)
-
380° -
Andrea Trentini -
Giacomo Tesio -
M. Fioretti -
Stefano Zacchiroli