Re: [Hackmeeting] A proposito di reti distribute

このメッセージを削除

このメッセージに返信
著者: vecna
日付:  
To: hackmeeting
古いトピック: Re: [Hackmeeting] A proposito di GlobaLeaks
題目: Re: [Hackmeeting] A proposito di reti distribute
Robert J. Newmark wrote:
> nop, in realta' lo so bene cosa e',


me ne scuso

> e' che il concetto "questo e'
> codice, chi lo fa non e' interessante, possa essere anche Ratzinger" e'
> un atteggiamento pericoloso.


e invece, per noi è sia un atteggiamento coerente, sia un atteggiamento
disilluso:

. coerente perché se diffondiamo un progetto che ha come cardine,
l'anonimato ad ogni livello, spiegando che "anche se una cosa è anonima,
non vuol dire che non sia giusta ed utile", non possiamo non accettare
contributi anonimi. quindi, che dietro l'anonimo ci possa essere uno
come me, o Iannone di casapound, automaticamente diventa irrilevante.

. disilluso perché una rete distribuita viene attaccata
dall'infiltrazione, ma piuttosto che risolve la cosa con sistemi
proprietari, chiusura, livelli di fiducia elevanti, abbiamo aperto il
piu' possibile. chiunque contribuisce e mette risorse. E se tra i server
tor2web che ci hanno offerto (oltre a quelli del CCC :) ci sono anche
quelli dell'NSA, eh pace, semplicemente diffonderemo un software che
permette all'utente e al sistemista di usare quello di cui si fidano.

*L'infiltrazione è inevitabile* la protezione sta nel far si che il
danno non si propaghi.

non puoi elaborare un sistema di rete distribuita, pensando che qualcosa
possa essere chiuso all'elite ristretta. i directory server di Tor, i
potenziali point of failure della rete, prevedono comunque che qualche
nodo possa essere corrotto, è irrilevante: una rete è robusta se riesce
ad aggirare questa possibile compromissione.

e così la rete globaleaks, la rete Tor, il frontend Tor2web, gli
sviluppatori di GL.

> Se TOR lo avesse scritto (anche opensource) l'NSA, tu ti fideresti a
> usarlo? magari si perche' ti vai a leggere il codice, ma siamo sicuri
> che tutti si guardano il codice nel mondo opensource? io uso 99% codice
> opensource, ma ne avro' letto mezzo Mega di codice, usandone svariate
> Giga.


"la comunità" serve a questo, tu non puoi leggere il codice, mia mamma
non puo' leggersi il codice, se credo in questa comunità, leggo la mia
0.05% di codice, pubblico i bug, e sto garantendo che è sicuro.

la risposta per tor fatto dall'NSA ? certo che lo userei, perché parto
dal presupporto che tor-dev possa anche essere infiltrata, (è
pubblica!), e con quest'apertura è pubblicamente evidente se una scelta
critica viene fatta non su base scientifica, ma per altri motivi
(l'effetto della corruzione, infiltrazione, etc)

> Insomma, opensource non significa sicuro, significa che puoi
> controllarlo, ma poi chi usera' GL quel codice non sa manco leggerlo,
> quindi magari guarda la lista di quelli che ne fanno parte e decide se
> si puo' fidare o meno.


ok, io controllo il codice, tu mi conosci, tu ti fidi. GL non è fatto
per chi conosciamo direttamente, ma per la stragrande maggioranza di
utenti che non ci conoscono direttamente.

come devono fidarsi loro ? con il meccanismo comunità e revisione che ha
portato fiducia a Linux, a Tor, a PGP. stesso meccanismo, anche se
Ratzinger, matteoflora, Iannone e un anonimo hanno scritto il plugin per
far ricevere le segnalazione provenienti da GlobaLeaks, verso facebook.

> Lo sto dicendo proprio per fare un Endorsement al progetto e proporvi un
> accurata linea di controllo di chi ci mette le mani dentro, perche'
> rischia di 'fallire' solo per la presenza di persone che con la libera
> circolazione dei saperi hanno poco a che fare.


Questo è un problema che vorrei veder risolto, ma non risolto creando la
lista di prerequisiti minimi e di divieti minimi, ambisco al fatto che
ti fidi di una tecnologia se qualcuno che rietieni di riferimento ti ha
detto "è sicura".

ciao,
v