News Ticker

La questione NSA e Red Hat: di chi fidarsi?

nsa

Parlavamo pochi giorni fa della lettera aperta scritta dai ricercatori americani e contenente una forte presa di posizione contraria all'influenza dell'NSA all'interno dello sviluppo dei software.

Si diceva anche di come il mondo informatico sia piuttosto in subbuglio, in particolare sulla questione della fiducia. Esistono ancora garanzie? Un articolo di Roy Schestowitz si è però spinto un po' più in la: ha affermato senza mezzi termini che se si vuol essere certi della propria sicurezza, utilizzare CentOS invece di Red Hat è obbligatorio. L'articolo titola esattamente:

"For Real Security, Use CentOS — Never RHEL — and Run Neither on Amazon’s Servers"

"Per la vera sicurezza, usate CentOS - mai RHEL - e non fate girare nulla sui server di Amazon"

Ora, tralasciando Amazon, per cui andrebbe affrontato un discorso totalmente a parte, l'affondo dell'articolo recita che in sostanza essendo Red Hat una distribuzione basata su binari, questi potrebbero contenere ogni tipo di backdoor.
A rispondere a queste "accuse" ci ha pensato Christine Hall che specifica come nel riflettere sugli argomenti illustrati andrebbero considerati diversi aspetti, tra cui il fatto che se è vero che Red Hat distribuisce binari di contro offre sempre anche il sorgente ad essi associato.

Certo, l'obiezione nasce spontanea: alzi la mano chi si ha mai compilato Red Hat manualmente partendo dai sorgenti, dopo peraltro aver controllato che nessuna backdoor sia inclusa.

Da quale parte schierarsi quindi? Il mio suggerimento, come per qualsiasi cosa, è sempre lo stesso: usare il buon senso, tanto nelle accuse, quanto nel vedere cose che non ci sono. E tenere gli occhi, e tcpdump, sempre aperti.