On 2018-02-08 09:52, mutek@??? wrote:
> Il 07/02/2018 23:04, sid ha scritto:
>> On 2018-02-07 21:23, mutek@??? wrote:
>>
>>> che ormai sono anni che mi sono impallato con il full disclosure di
>>> OpenBSD che son diventato sordo e cieco
>> ahah, dacci dentro
>>> Poi ogni tanto tra un meltdown ed uno spectre a rinforzo della tesi
>>> precedente...che ho perso completamente la lucidita
>>
>> che poi melte, slowdown per gli amici, e spectre (qualcuno suggerisca
>> dei pusher di qualità che ne hanno bisogno visti i nomi) hanno seguito
>> un embargo che di full-disclosure non ha proprio un cazzo. la dura
>> legge del business...
>>
>>>
>>> quindi a parte le etichette, per me è full disclosure a priori
>>>
>>
>> per me che ognuno faccia ciò con cui si sente più in serenità, non lo
>> giudicherei. nel mio, concordo in >>pieno con te.
>
> se non ci fosse stata la resistenza che fine avremmo fatto?
> ok per me vale a titolo personale il full-disclosure, però lo
> consiglio e lo spiego perche a fare ognuno come ci pare rifiniamo
> nella savana dove leone mangia gazella se non corre abbastanza veloce
> (ed in parte è anche cosi ora, vedi invisibili senzatetto alle
> stazioni dei treni o sotto i ponti del Tevere a Roma)
>
>> prendi bene questa mia provocazione, se tu fossi nella situazione
>> faresti full-disclosure di un RCE per tor?
>
> la prendo benissimo perche sono perennemente combattuto in questa
> fanta dicotomia
> Pero proprio con esempi tipo ste zozzate sulla CPU della serie prima
> gli amichetti e poi il resto...
> ma il resto ad esempio stiamo parlando che OpenBSD e FreeBSD stavano
> ancora aspettando che qualcuno li notificasse e notizie sui giornali
> piu che diffuse, campa cavallo!!
> Un conto è usare Windows su Intel che per definizione è un portatore
> sano di autolesionismo
> Un conto è che ti fai la tua banca dati super criptata con OpenBSD
> sempre su Intel...diciamo che quando ti polverizzano il castello ad
> hoc ci rimani un po male e ti rimane segnato (ok vai di FreeBSD su
> RaspberryPi o OpenWRT su MT7620 e te la cavi in lowcost)
> poi possiamo ragionare anche per questioni piu specifiche
> Ad esempio nel caso di spectre è talmente totalizzante che l'ultima
> cosa che mi viene in mente è parzializzare con embarghi
> quandocinali...li prima sai e prima ripari qualsiasi cosa
> Nel caso di tor che è praticamente una verticalizzazione allora forse
> una via di mezzo...del tipo comunichi in privato e ti accordi, trovi
> una via di mezzo temporale oltre la quale ritieni che il gruppo di
> riferimento non ha le risorse adeguate per affrontare la riparazione a
> quel punto con il full-disclosure chiedi aiuto a tutti, cone le ovvie
> conseguenze anche disastrose (ma su un progetto aperto e libero i fix
> tendono all'immediato)
ok quindi mi sembra di capire che la full-disclosure non sia proprio
giusta a priori.
ci sono differenze in base al software. questo dal mio punto di vista
non lo approvo, in primis perchè se viene pubblicata una RCE per il
kernel linux è molto più grave ed impattante di una RCE per tor, la
prima permette di violare ogni pc vuln su cui gira tor o meno, invece la
seconda ha solo maggiore impatto mediatico.
> Penso che questo ragionamento possa valere anche per i sistemi chiusi
> ma li devi pararti il ciulo e quindi comunichi in privato anonimamente
> aprendo una trattativa temporale ma poi una volta che arriva il
> timout...amico mio è andata
puoi fare full-disc di sistemi chiusi. dipende se vuoi il bounty o meno,
nel caso in cui sia previsto.
> Il concetto che mi ha urtato dei fatti di spectre e simili è proprio
> del tipo "prima i miei amichetti e gli altri...vabbe sticatzi poi si
> vedra..."
> Tra l'altro sti amichetti sono sempre quelli che con il 20% di leva
> spostano l'80% di tutti gli altri, sarà un caso?
>
> rileggendo il subject:
> ma che è l'etica? come si declina?
> è una cosa del tipo "ar cavajere -bianco- nun je devi cacarcà" o
> "padre nostro che sei..." comunque sa di clero
> in questa malafede sono l'unico che vede aureole?
>
per quel poco che ho studiato di filosofia mi pare che l'etica non sia
solo morale e sopratutto l'etica non è il diritto.
quindi segue che se la full-disc è il modo migliore per *tutti* di avere
una vuln fixata nel piu' breve tempo possibile, allora che sia tor o
meno frega cazzi.
Inoltre la full-discl permette anche che si possa scrivere il fix senza
aspettare quello ufficiale. infine, non puoi *mai* essere certo che la
vuln appena trovata non sia già nota a qualcun altro e/o sfruttata in
the wild (quando rilevi che lo era è già troppo tardi) .
nel caso di tor, se fai quella che è chiamata responsible-disclosure
(termine atroce) passera' magari del tempo X prima che questa venga resa
nota e fixata ed in questo tempo X se la vuln era già nota ad altri
questi continuano a sfruttarla. Mentre invece con una full-discl tutti
ne sono a conoscenza e ognuno puo' prendere la propria decisione nel
mentre che i devs fixano.
Sicuramente ci sono casi borderline quali appunto spectre e melt dove la
patch richiede mesi di ricerca/test e quindi la full-discl potrebbe non
essere il giusto compromesso. però sono appunto casi particolari.
happy hacking
> peek-a-booom
>
>
>> _______________________________________________
>> Hackmeeting mailing list
>> Hackmeeting@???
>> https://www.autistici.org/mailman/listinfo/hackmeeting
>
> _______________________________________________
> Hackmeeting mailing list
> Hackmeeting@???
> https://www.autistici.org/mailman/listinfo/hackmeeting
