Re: [nexa] FreeSw e Recovery Fund
OK grazie della sollecitazione. appena sarà disponibile un documento condiviso, potrebbe iniziare il breinstorming. Ognuno per la sua competenza. Grazie ancora e buone feste F.Fusillo *-------------------------------------------------* *web: www.fusillo-francesco.it <http://www.fusillo-francesco.it/> www.sussidiarioperimmagini.it <http://www.sussidiarioperimmagini.it>* * canale youtube: LINK <https://www.youtube.com/channel/UCFDH3P2E3xa570Ku2r3b6xQ?view_as=public> * * Scarica Easy Dida *port 3.0 * LINK <http://www.fusillo-francesco.it/> didattica facile per i Bisogni educativi speciali e non* * Passa al Software Libero http://sodilinux.itd.cnr.it/ <http://sodilinux.itd.cnr.it/> - Accessibile - Universale Distribuibile - Esente da virus - Gratuito - per le autonomie nelle disabilità * ---------------------------------- Clausola di riservatezza Le informazioni contenute o allegate al presente messaggio sono dirette unicamente ai destinatari sopra indicati. In caso di ricezione da parte di persona diversa è vietato qualunque tipo di distribuzione o copia. Chiunque riceva questa comunicazione per errore è tenuto ad informare immediatamente il mittente e a distruggere il messaggio. D. lgs. n. 196/2003 Il giorno lun 21 dic 2020 alle ore 12:33 Angelo Raffaele Meo <meo@polito.it> ha scritto:
Carissimi, da venti anni, con il vostro aiuto, mi sono battuto per promuovere il software libero, nell'interesse del nostro Paese e dei nostri figli e nipoti. La lettura del testo delle leggi sul software libero attualmente vigenti potrebbe indurci a pensare che abbiamo ottenuto qualche successo, ma i dati obiettivi ci dicono che quei risultati sono praticamente irrilevanti. Ad esempio, la capitalizzazione ossia il valore economico di uno solo dei produttori di software proprietario è 50 volte superiore a quello di FIAT Chrysler. Quasi tutte le scuole italiane usano per la teledidattica software proprietario in clamorosa violazione della legge. Comunque, vorrei provarci ancora, per cui entro nel tema di questo mail: il Recovery Fund. Stiamo assistendo al dibattito politico sulla futura cabina di regia, ma la "conoscenza dei miei polli" mi induce a temere che, indipendentemente dal fatto che la cabina di regia sia quella di Conte oppure quella di Renzi, il Recovery Fund si tradurrà in una clamorosa opportunità di business per i soliti noti. Ad esempio, ho letto in Rete la proposta di una collaborazione con Google avanzata da un ministro. Al contrario, il software libero potrebbe essere l'anima dei progetti che saranno finanziati dal Recovery Fund, e in particolare dei seguenti progetti: digitalizzazione 4.0 e internazionalizzazione (35,5 miliardi); pubblica amministrazione (10,1 miliardi); potenziamento didattico e diritto allo studio (10,1 miliardi); ricerca (9,1 miliardi); assistenza medica di prossimità e telemedicina (4,8 miliardi). Per questa ragione, con la presente mail io vi propongo di scrivere collegialmente una lettera al Presidente del Consiglio e ai Ministri competenti in cui richiedere che non sia finanziabile il ricorso ad aziende straniere e che sia data la priorità ai progetti più importanti dal punto di vista scientifico-tecnico. Per iniziare il nostro dibattito mi permetto di formularvi una prima richiesta: cosa chiedereste al Governo e com quali motivazioni?
Vi ringrazio molto Raf
Ciao Raffaele, Ho notato che hai mandato la mail anche qui, ti rispondo anche qui come dall'altra parte :-) Complimenti per la tua proattività, anche io penso che il tema non sia per niente banale. Grazie quindi dello stimolo e di aver proposto questa iniziativa. Hai tutta la nostra disponibilità e supporto, se vuoi possiamo procedere come l'altra volta: sia per predisporre nei server di FUSS un documento su LiberOfficeOnline (ho parlato anche con Paolo Dongilli che mi ha confermato la sua disponibilità), sia per eventuale pubblicazione nel sito di comeinclasse.it Fammi sapere come vuoi procedere, se vuoi puoi anche chiamarmi. A presto! Gioque - www.comeinclasse.it Da: "fusillo francesco1" <fusillo.francesco1@gmail.com> A: "meo" <meo@polito.it> Cc: "lavagnalibera" <lavagnalibera@googlegroups.com>, "presidente" <presidente@pnlug.it>, "Flavia Marzano" <flavia.marzano@gmail.com>, "Italo Vignoli" <italo@libreitalia.it>, "Marco Ciurcina" <ciurcina@studiolegale.it>, "MARCO MEZZALAMA" <marco.mezzalama@polito.it>, nexa@server-nexa.polito.it, "comunita" <comunita@comeinclasse.it>, "Fabio Nascimbeni" <fabio.nascimbeni@gmail.com>, "gioque" <gioque@comeinclasse.it>, "D. Davide Lamanna" <davide.lamanna@binarioetico.it>, "Massimo Carboni" <massimo.carboni@garr.it>, "Enrico Venuto" <venuto@polito.it>, "arturo dicorinto" <arturo.dicorinto@gmail.com>, "Federico Ruggieri" <federico.ruggieri@garr.it>, soci@lists.softwarelibero.it, "Giuseppe Attardi" <attardi@di.unipi.it>, "Roberto Resoli" <roberto@resolutions.it>, "Enio Gemmo" <enio@libreitalia.it>, "Giacomo Tesio" <giacomo@tesio.it>, nardelli@mat.uniroma2.it, "Giovanni P. Caruso" <giovanni.caruso@gmail.com>, "Roberto Guido" <bob@linux.it>, "Stefano Quintarelli" <stefano@quintarelli.it>, "Eleonora Panto" <eleonora.panto@gmail.com>, "OEI" <openeducationitalia@googlegroups.com>, "Cristina Stefanelli" <c.stefanelli@uni-med.net> Inviato: Lunedì, 21 dicembre 2020 16:02:57 Oggetto: [lavagnalibera] Re: FreeSw e Recovery Fund OK grazie della sollecitazione. appena sarà disponibile un documento condiviso, potrebbe iniziare il breinstorming. Ognuno per la sua competenza. Grazie ancora e buone feste F.Fusillo ------------------------------------------------- web: [ http://www.fusillo-francesco.it/ | www.fusillo-francesco.it ] [ http://www.sussidiarioperimmagini.it/ | www.sussidiarioperimmagini.it ] canale youtube: [ https://www.youtube.com/channel/UCFDH3P2E3xa570Ku2r3b6xQ?view_as=public | LINK ] Scarica Easy Dida port 3.0 [ http://www.fusillo-francesco.it/ | LINK ] didattica facile per i Bisogni educativi speciali e non Passa al Software Libero [ http://sodilinux.itd.cnr.it/ | http://sodilinux.itd.cnr.it/ ] - Accessibile - Universale Distribuibile - Esente da virus - Gratuito - per le autonomie nelle disabilità ---------------------------------- Clausola di riservatezza Le informazioni contenute o allegate al presente messaggio sono dirette unicamente ai destinatari sopra indicati. In caso di ricezione da parte di persona diversa è vietato qualunque tipo di distribuzione o copia. Chiunque riceva questa comunicazione per errore è tenuto ad informare immediatamente il mittente e a distruggere il messaggio. D. lgs. n. 196/2003 Il giorno lun 21 dic 2020 alle ore 12:33 Angelo Raffaele Meo < [ mailto:meo@polito.it | meo@polito.it ] > ha scritto: Carissimi, da venti anni, con il vostro aiuto, mi sono battuto per promuovere il software libero, nell'interesse del nostro Paese e dei nostri figli e nipoti. La lettura del testo delle leggi sul software libero attualmente vigenti potrebbe indurci a pensare che abbiamo ottenuto qualche successo, ma i dati obiettivi ci dicono che quei risultati sono praticamente irrilevanti. Ad esempio, la capitalizzazione ossia il valore economico di uno solo dei produttori di software proprietario è 50 volte superiore a quello di FIAT Chrysler. Quasi tutte le scuole italiane usano per la teledidattica software proprietario in clamorosa violazione della legge. Comunque, vorrei provarci ancora, per cui entro nel tema di questo mail: il Recovery Fund. Stiamo assistendo al dibattito politico sulla futura cabina di regia, ma la "conoscenza dei miei polli" mi induce a temere che, indipendentemente dal fatto che la cabina di regia sia quella di Conte oppure quella di Renzi, il Recovery Fund si tradurrà in una clamorosa opportunità di business per i soliti noti. Ad esempio, ho letto in Rete la proposta di una collaborazione con Google avanzata da un ministro. Al contrario, il software libero potrebbe essere l'anima dei progetti che saranno finanziati dal Recovery Fund, e in particolare dei seguenti progetti: digitalizzazione 4.0 e internazionalizzazione (35,5 miliardi); pubblica amministrazione (10,1 miliardi); potenziamento didattico e diritto allo studio (10,1 miliardi); ricerca (9,1 miliardi); assistenza medica di prossimità e telemedicina (4,8 miliardi). Per questa ragione, con la presente mail io vi propongo di scrivere collegialmente una lettera al Presidente del Consiglio e ai Ministri competenti in cui richiedere che non sia finanziabile il ricorso ad aziende straniere e che sia data la priorità ai progetti più importanti dal punto di vista scientifico-tecnico. Per iniziare il nostro dibattito mi permetto di formularvi una prima richiesta: cosa chiedereste al Governo e com quali motivazioni? Vi ringrazio molto Raf -- Se cerchi informazioni o vuoi vedere se qualcuno le ha già trattate prova ad iniziare da qui: [ https://groups.google.com/d/forum/lavagnalibera | https://groups.google.com/d/forum/lavagnalibera ] --- Hai ricevuto questo messaggio perché sei iscritto al gruppo "Lavagna libera" di Google Gruppi. Per annullare l'iscrizione a questo gruppo e non ricevere più le sue email, invia un'email a [ mailto:lavagnalibera+unsubscribe@googlegroups.com | lavagnalibera+unsubscribe@googlegroups.com ] . Per visualizzare questa discussione sul Web, visita [ https://groups.google.com/d/msgid/lavagnalibera/CAHT1Fk8APPuu6Do1%3Df0UiRoRB... | https://groups.google.com/d/msgid/lavagnalibera/CAHT1Fk8APPuu6Do1%3Df0UiRoRB... ] .
Buongiorno a tutte, chiedo umilmente scusa per l'incursione non richiesta nelle vostre caselle di posta personali, ma così ho ricevuto questo messaggio (via lista nexa). Giuro che è l'unico messaggio che riceverete da me in questo modo. Avrei tre modeste proposte, nulla di nuovo e soprattutto nulla da me cogitato. [...]
Il giorno lun 21 dic 2020 alle ore 12:33 Angelo Raffaele Meo <meo@polito.it> ha scritto:
[...]
Al contrario, il software libero potrebbe essere l'anima dei progetti che saranno finanziati dal Recovery Fund, e in particolare dei seguenti progetti: digitalizzazione 4.0 e internazionalizzazione (35,5 miliardi); pubblica amministrazione (10,1 miliardi); potenziamento didattico e diritto allo studio (10,1 miliardi); ricerca (9,1 miliardi); assistenza medica di prossimità e telemedicina (4,8 miliardi).
[...]
Per iniziare il nostro dibattito mi permetto di formularvi una prima richiesta: cosa chiedereste al Governo e com quali motivazioni?
Premessa: i ricercatori italiani *e* l'industria dovrebbero avere queste tre priorità sistemiche e partecipare ai relativi progetti con le proprie competenze e le proprie risorse, anche finanziarie. Le risorse finanziarie dovrebbero essere assegnate esclusivamente sulla base del ritorno di valore _pubblico_ dei progetti, va da se che ogni finanziamento a servizi (basati su) e software proprietari dovrebbe essere accuratamente evitato e sarebbe un imperdonabile spreco di risorse. Tre modeste proposte: 1. hardware: norme che obblighino i produttori a fornire documentazione sull'hardware ai clienti I sistemi operativi possono accedere (utilizzare) all'hardware solo se viene fornita adeguata documentazione su come attivare e/o configurare le sue funzioni; tali informazioni sono utilizzate dagli sviluppatori per sviluppare i c.d. device drivers. Ciascun utilizzatore dell'hardware deve avere il diritto di poter sviluppare - in proprio o con l'aiuto di terzi - i device drivers per il sistema operativo di sua scelta e quindi aver libero accesso a tali informazioni. Con queste informazioni molti sviluppatori software italiani (ed europei) sarebbero in grado di scrivere il sofware che consenta ai cittadini *e* all'indistria di utilizzare il proprio hardware in modo interoperabile e senza vincoli a specifici produttori di software proprietario. In subordine, assegnare adeguate risorse ai progetti di reverse engineering dei device drivers per consentire l'interoperabilità dell'hardware. 2. software: supporto alla ricerca ed implementazione delle tecniche "reproducible builds" e "bootstrappable builds" Il recentissimo data breach mondiale causato dall'inserimento di malware nel software Orion di SolarWinds [1] è dipeso da un "supply chain attack" che ha compromesso il sistema di build (non il codice sorgente, non il sistema di distribuzione) del software Orion [2]. Attacchi di questo genere sono noti dal 1974 e descritti nello storico discorso di Ken Thompson “Reflections on Trusting Trust.” del 1984 [3]. Le enormi risorse finanziarie raccolte dal 1984 e le enormi competenze delle persone impiegate nella ricerca e nell'industria non sono riuscite ad affrontare adeguatamente, spesso ignorandolo, questo problema ontologico del software. Oggi i progetti https://reproducible-builds.org/ e https://bootstrappable.org/ stanno sviluppando gli strumenti adeguati per proteggersi da attacchi come quello effettuato attraverso Orion di SolarWinds. Per dirla con il ricercatore David A. Wheeler: [4] The long-term goal should be that “we can ensure that all OSS compiled code is accurately represented by its source code”. The source code may include malicious statements, but source code is what developers review, so we’ve fundamentally changed the game to ensure that “what is reviewed is what is run”. Il software libero con le quattro associate libertà fondamentali è condizione sine qua non affinché ogni cittadino, impresa o istituzione possa applicare le tecniche sopra citate e verificare autonomamente la sicurezza del software che utilizza. 3. rete: supporto alla ricerca ed implementazione di Next Generation Internet Lo so che fa specie sentirselo dire, ma Internet è irrimediabilmente compromessa e deve essere rifatta, *quasi* da zero in termini di protocolli e software infrastrutturale. Non lo dico io, lo dice il progetto Next Generation Internet nel suo studio del 2017 [5] The NGI study investigates how to deal with this urgent multi-faceted crisis, and will support the EC in understanding how to re-engineer the internet and subsequently rebuild trust in the post-Snowden internet — where necessary from the ground up. Dei progetti che ho avuto modo di analizzare ritengo che il più promettente e scientificamente solido sia GNUnet https://gnunet.org/en/. Il progetto secushare.org ha prodotto un interessante schema (https://secushare.org/broken-internet) su come dovrebbe essere l'architettura della prossima Internet, dove _non_ va assolutamente tralasciato un adeguato "strato" multicasting. Una rete neutrale _e_ scalabile, nella quale l'identità _e_ i dati di chi vi accede sono protetti *by design* è condizione sine qua non alla partecipazione egualitaria dei cittadini, imprese e altre forme associative alla vita sociale, politica _ed_ economica, quindi alla piena cittadinanza, della quale la "forma digitale" è parte integrante. Ratio: non che altri progetti (es. "un cloud alternativo") non siano importanti, ma questi tre elementi - hardware, software e rete - determinano tutto quello che succede nell'universo digitale, liberare queste, renderle patrimonio comune, significa dare la possibilità di liberare _tutto_ quello che ci si può "costruire sopra", dai sistemi operativi alle applicazioni, dalle comunicazioni personali alle reti sociali. Ecco le tre modeste proposte. Cordiali saluti. Giovanni. [1] https://en.wikipedia.org/wiki/2020_United_States_federal_government_data_bre... [2] https://lists.reproducible-builds.org/pipermail/rb-general/2020-December/002... [3] https://www.schneier.com/blog/archives/2006/01/countering_trus.html http://users.ece.cmu.edu/~ganger/712.fall02/papers/p761-thompson.pdf [4] https://lists.reproducible-builds.org/pipermail/rb-general/2020-December/002... [5] https://www.ngi.eu/about/ngi-study -- Giovanni Biscuolo
Vi invito a rileggere la prolusione di Ken Thompson (creatore di Unix e C), al Turing Award 1998 (https://www.cs.cmu.edu/~rdriley/487/papers/Thompson_1984_ReflectionsonTrusti... <https://www.cs.cmu.edu/~rdriley/487/papers/Thompson_1984_ReflectionsonTrusti...>) in cui spiega che non basta disporre de codice sorgente di un SW per essere sicuri che non includa malware, ma bisogna controllare tutta la catena verticale, dall’HW ai compilatori. Il caso SolarWinds rientra in questa casistica. — Beppe
On 22 Dec 2020, at 12:47, Giovanni Biscuolo <giovanni@biscuolo.net> wrote:
Per dirla con il ricercatore David A. Wheeler: [4]
The long-term goal should be that “we can ensure that all OSS compiled code is accurately represented by its source code”. The source code may include malicious statements, but source code is what developers review, so we’ve fundamentally changed the game to ensure that “what is reviewed is what is run”.
Buongiorno Giuseppe, Giuseppe Attardi <attardi@di.unipi.it> writes: [...]
in cui spiega che non basta disporre de codice sorgente di un SW per essere sicuri che non includa malware, ma bisogna controllare tutta la catena verticale, dall’HW ai compilatori.
Ottimo invito, grazie! Io e Andrea Trentini abbiamo discusso diverse volte sulla possibilità concreta di fare "embedding" di malware nell'hardware, proprio hardcoded nei circuiti logici (che nerd che siamo! :-D )... diciamo che la cosa è IMHO assai difficile ma la sostanza è che sì, va tenuto sotto controllo anche l'hardware. Thompson, in quel paper (sezione "Moral"), dice testualmente: --8<---------------cut here---------------start------------->8--- In demonstrating the possibility of this kind of attack, I picked on the C compiler. I could have picked on any program-handling program such as an assembler, a loader, or even hardware microcode. As the level of program gets lower, these bugs will be harder and harder to detect. A well-installed microcode bug will be almost impossible to detect. --8<---------------cut here---------------end--------------->8--- Mi permetto di parafrasare: «A well-installed microcode malware will be almost impossible to detect». I processori moderni, senza microcode (tutto software propietario AFAIU), non funzionano; quindi sì, anche il microcode dovrebbe essere software libero. Spero che questo renda ulteriormente chiaro di quali rischi stiamo parlando. Tuttavia, la buona notizia è: ESISTONO strumenti e tecniche per ridurre il rischio di introduzione di malware, _quasi_ fino ad azzerarlo :-D ! [...] Grazie, Giovanni. -- Giovanni Biscuolo
On Tue, 22 Dec 2020 15:13:38 +0100 Giovanni Biscuolo wrote:
Giuseppe Attardi <attardi@di.unipi.it> writes:
in cui spiega che non basta disporre de codice sorgente di un SW per essere sicuri che non includa malware, ma bisogna controllare tutta la catena verticale, dall’HW ai compilatori.
Io e Andrea Trentini abbiamo discusso diverse volte sulla possibilità concreta di fare "embedding" di malware nell'hardware, proprio hardcoded nei circuiti logici (che nerd che siamo! :-D )... diciamo che la cosa è IMHO assai difficile ma la sostanza è che sì, va tenuto sotto controllo anche l'hardware.
Il software libero è condizione necessaria ma non sufficiente per un'infrastruttura informatica sicura (e democratica). Servono: - software comprensibile (e concretamente modificabile) - hardware ispezionabile - reti ad alta portata e velocità ma a basso costo Attenzione però che software ed hardware libero non offrono veri vantaggi rispetto ai sistemi proprietari se sono fisicamente inaccessibili alle persone che li usano. O se queste persone non sono capaci di comprenderne il funzionamento. Il cloud, come modello architetturale, è l'antitesi del software libero. Poi certo, un cloud pubblico come quello che proponesti al GARR sarebbe molto migliore di un cloud privato in mano ad una multinazionale straniera, soprattutto per le pubbliche amministrazioni. Ma non può costituire l'obiettivo ultimo. Perché se accettiamo supini il cloud come modello prevalente di esecuzione, stiamo concedendo un enorme vantaggio competitivo alle piattaforme attuali: quello di dettare l'agenda per restare al centro di un sistema accentrante. Mai mettere tutte le uova in un paniere. Meglio avere milioni di panieri. Dai server domestici ai data center privati e pubblici, federati o meno. Chiamiamola European Grid, Freedom Peer Network, Human Cloud... non sono buono ad inventare le buzzword. Ma non facciamoci convincere che l'unico possibile futuro per l'informatica sia nel cloud. Giacomo PS: mi riaggancio da qua, scusandomi con chi ha ricevuto un'altra copia di questa email.
Se volete continuare questa meritoria sequenza di messaggi per favorre togliete l'indirizzo della lista nexa dai cc, oppure togliete tutti gli altri indirizzi e lasciate solo quello della lista. Il mix è deleterio. grazie molte, jc On 22/12/20 12:57, Giuseppe Attardi wrote:
Vi invito a rileggere la prolusione di Ken Thompson (creatore di Unix e C), al Turing Award 1998 (https://www.cs.cmu.edu/~rdriley/487/papers/Thompson_1984_ReflectionsonTrusti... <https://www.cs.cmu.edu/~rdriley/487/papers/Thompson_1984_ReflectionsonTrusti...>)
in cui spiega che non basta disporre de codice sorgente di un SW per essere sicuri che non includa malware, ma bisogna controllare tutta la catena verticale, dall’HW ai compilatori.
Il caso SolarWinds rientra in questa casistica.
— Beppe
On 22 Dec 2020, at 12:47, Giovanni Biscuolo <giovanni@biscuolo.net <mailto:giovanni@biscuolo.net>> wrote:
Per dirla con il ricercatore David A. Wheeler: [4]
The long-term goal should be that “we can ensure that all OSS compiled code is accurately represented by its source code”. The source code may include malicious statements, but source code is what developers review, so we’ve fundamentally changed the game to ensure that “what is reviewed is what is run”.
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
participants (6)
-
Amministrazione - Giorgio Favaro -
Francesco Fusillo -
Giacomo Tesio -
Giovanni Biscuolo -
Giuseppe Attardi -
J.C. DE MARTIN