[MontelLUG] Aggiornamenti misteriosi...

Samuele samuele.zanin a tiscali.it
Sab 18 Dic 2010 10:08:34 CET 

On 18/12/2010 09:36, Davide Rondini wrote:
> Giusto perché la mailing list sta dibattendo di barriere linguistiche,
> dialetti e quant'altro, forse è il caso di tradurre (in italiano) per chi non
> parla l'idioma della perfida Albione.
>
> "Aggiornato il firmware Qlogic 2400 e 2500 alla versione 5.03.13. Che cosa fa
> la 5.03.13? Nessuno lo sa, trannel Qlogic, e non ce lo dicono. L'ho chiesto, e
> mi hanno risposto che quell'informazione è disponibile solo sotto NDA (Non
> Disclusre Agreement = accordo di non divulgazione). Quindi, vi incoraggio a
> immaginare cosa faccia questo firmware, e quali bug corregge. Mentre lo fate,
> immaginate un mondo in cui i produttori rilasciano il codice sorgente dei
> prori firmware".
>
> A proposito: come se dise "firmware" in diaeto? ;-)
>    
Grassie par a tradusion che mi l'inglese so intrigà a capirlo.

Aggiungo un paio di link di mail più o meno attinenti a questo 
argomento, delle quali quella su ipsec, se vera, fa abbastanza venire i 
penotti e fa venire il dubbio: in punti del codice abbastanza complessi, 
come la crittografia, dove solo un numero limitato di persone sa 
metterci le mani pur se open source, come fare a garantire che non ci 
siano backdoor/key escrow o altre cose malevole?

http://www.debian.org/News/2010/20101215
http://www.vicenza.linux.it/pipermail/lugvi-fans/2010-December/025163.html

e

"We received plenty of e-mail alerting us of a mailing list post [1] 
alleging a backdoor in the Open BSD IPSec code. The story is too good to 
pass up and repeated on twitter and other media. However, aside from the 
mailing list post, there is little if any hard evidence of such a 
backdoor. The code in question is 10 years old. Since then, it has been 
changed, extended, patched and copied many times. I personally do not 
have the time nor the skill to audit code of the complexity found in 
modern crypto implementations. But my gut feeling is that this is FUD if 
not an outright fraud.
Keep using VPNs, if you are worried, limit the crypto algorithms used to 
more modern once. It is always a good idea to build additional defensive 
layers and review configurations from time to time. But at some point, 
you have to decide who you trust in this game and how paranoid you can 
afford to be.
[1] http://marc.info/?l=openbsd-tech&m=129236621626462&w=2"

http://isc.sans.edu/diary.html?storyid=10087&rss

More information about the montellug mailing list