Alfonso Maruccia

I bachi del software? Un'arma della NSA

Continua la ridda di rivelazioni sul regime di sorveglianza globale messo in piedi dall'intelligence statunitense. Intelligence che ha accesso ai bug prima della loro disclosure ufficiale, dicono nuove fonti

Roma - Prima erano i metadati delle telefonate USA, poi è arrivato il programma di sorveglianza globale di tutte le comunicazioni digitali (PRISM) e ora si apre di un ulteriore, terzo fronte nel sempre più esteso scandalo delle intercettazioni pervsive dell'intelligence statunitense che coinvolge i produttori di software a stelle e strisce.

Fonti anonime in contatto con Bloomberg sostengono infatti che Microsoft e gli altri grandi soggetti del mercato del software globale siano soliti "condividere" le informazioni riservate su bachi e vulnerabilità nel codice con NSA, CIA, FBI e Pentagono prima della loro diffusione pubblica, un modo per avvantaggiare le autorità statunitensi e per garantire una migliore protezione contro gli agenti esterni.

Sarebbero migliaia le aziende coinvolte in questo passaggio di informazioni, un comportamento che risulterebbe perfettamente in linea con la legge statunitense - senza la necessità di scomodare richieste segrete e Patriot Act - e che vedrebbe in Microsoft uno dei "pesci grossi" dell'intera vicenda.
Stando alle fonti di Bloomberg, quindi, i bachi di Windows e degli altri software di Redmond come Office e Internet Explorer (per citarne solo un paio) diverrebbero noti all'intelligence USA prima di chiunque altro al mondo, e l'intelligence avrebbe a questo punto gioco facile - come nel caso già conclamato del super-worm Stuxnet - nello sfruttare le vulnerabilità per spiare i paesi stranieri e magari fare pure di peggio, come il programma PRISM insegna.

La NSA spia tutti, sempre e comunque in ogni parte del mondo, ha avvertito la talpa di PRISM Edward Snowden, ma secondo la politica di Washington le prove che tale estesa, costante e ubiqua violazione della privacy e delle leggi internazionali serva davvero a qualcosa continuano a latitare.

Preoccupa infine l'ennesima rivelazione del caso PRISM, questa volta riguardante il mezzo con cui Snowden avrebbe trafugato tutte le informazioni che sta ora mettendo a disposizione della stampa e dell'opinione pubblica di mezzo mondo: l'ex-analista della CIA ha usato nient'altro che una chiavetta USB, croce e delizia - ma soprattutto croce - dell'intelligence, che ha infatti messo al bando questo genere di dispositivi da parecchio tempo. Inutilmente, a quanto pare.

Alfonso Maruccia
Notizie collegate
  • AttualitàUSA: l'intelligence non ascolta le chiamatePrime dichiarazioni ufficiali dalla Casa Bianca dopo l'ordine segreto pubblicato dal Guardian. Le intercettazioni telefoniche servirebbero per proteggere la nazione dal terrorismo. E non saranno coinvolti i contenuti, ma solo i dati relativi alle comunicazioni
  • AttualitàPRISM, trasparenza e leggi di contenimentoIl fallout dell'atomica nota come PRISM o "Datagate" continua a generare dibattiti, invocazioni alla trasparenza, iniziative anti-sorveglianza globale. Nel mentre il "cloud" si fa locale e la talpa Snowden perde il posto
114 Commenti alla Notizia I bachi del software? Un'arma della NSA
Ordina
  • "Siamo sorvegliati, il governo dispone di un sistema segreto, una macchina, che ci spia ogni ora di ogni singolo giorno. Lo so perché l’ho costruita io, ho ideato la macchina per prevenire atti di terrorismo, ma vede ogni cosa. Crimini violenti che coinvolgono persone comuni, persone come voi. Crimini che il governo considera irrilevanti. E poiché loro non avrebbero agito, decisi di farlo io. Ma mi serviva un socio, qualcuno con le capacità per intervenire. Le autorità ci danno la caccia. Lavoriamo in incognito, non ci troverete mai. Ma che siate vittime o carnefici, se esce il vostro numero, noi troveremo voi"
    non+autenticato
  • La serie è "Person of interest", e Harold Finch è l'informatico che ha creato la macchina che mettendo il naso nelle e-mail e nelle comunicazioni dei newyorchesi prevede gli omicidi. In una puntata in particolare il personaggio dice "quello che fa la macchina è illegale".
    All'osservazione del sodale John Reese, che si chiedeva come mai la gente scrive tutti i razzi propri su Facebook, Finch risponde: "Facebook l'ho creato io".

    Ma come faceva lo sceneggiatore Jonathan Nolan a sapere dell'esistenza di Prism già nel maggio 2011?
    non+autenticato
  • Se consideri che la prima puntata è andata in onda a Settembre 2011, sicuramente le riprese sono iniziate mesi prima, quindi come tempistica ci saremmo anche...
    non+autenticato
  • Gli USA (ed ogni nazione non supina ad un'altra) ha dei settori "strategici" che spinge, non solo perchè ha una convenienza strutturale nel far nascere un'impresa (od fienderla) ma perchè può avere interessi internazionali o di ricerca molto più importanti che non queli economici. Se poi con qualche aiutino, diventa pure un colosso globale che non ha bisogno di soldi ma può farti vari favori, l'investimento è pure conveniente. La storiella dei tizi che si fanno da soli nei garage* è appunto una storiella di supporto al mito americano (principalmente).
    basta vedere anche solo la storia di Myspace, mitizzato e spinto all'inizio, quando è passato in mani straniere, si è iniziato a parlare e spingere Facebook (di nuovo in mani "patriottiche") che dal nulla è diventato quel che è stato fino ad oggi.
    non+autenticato
  • - Scritto da: Surak 2.0
    > [...] Facebook (di nuovo in mani
    > "patriottiche") che dal nulla è diventato quel
    > che è stato fino ad oggi.

    dal nulla?
    http://www.guardian.co.uk/technology/2008/jan/14/f...
    non+autenticato
  • Ti sei risposto da solo:
    "The US intelligence community's enthusiasm for hi-tech innovation after 9/11 and the creation of In-Q-Tel, its venture capital fund,"
    Tra l'altro è il 2008...Murdoch ha comprato Myspace nel 2005.
    In pratica l'articolo prendeva punto da uno dei tanti trucchetti per rendere popolare una cosa fra le tante simili, ma su cui si punta di più (per i motivi che citavo). La cronologia degli eventi è importante.
    Guarda cosa faceva FB nel 2005, e se poi calcoli che un acquisto com'era quello di Myspace in quell'anno, non è che s'improvvisa, si può supporre che la CIA (o chi se ne occupa fra le varie agenzie americane) sapesse già che i proprietari di Myspace non erano "agganciabili" ed allo stesso tempo avevano visto il potenziale della cosa data la rapida crescita, si siano guardati attorno ed abbiano scelto un'idea simile ideata da un "patriota", il resto è fornire capitali, suggerimenti tecnici e propaganda gratuita.
    non+autenticato
  • - Scritto da: Surak 2.0

    > guardati attorno ed abbiano scelto un'idea simile
    > ideata da un "patriota", il resto è fornire
    > capitali, suggerimenti tecnici e propaganda
    > gratuita.

    e poi vengono a raccontarci la storiella del capitalista che si è fatto da solo, che il duro lavoro paga ( certo, certo ) e che noi non siamo miliardari perché troppo stupidi
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: Surak 2.0
    >
    > > guardati attorno ed abbiano scelto un'idea
    > simile
    > > ideata da un "patriota", il resto è fornire
    > > capitali, suggerimenti tecnici e propaganda
    > > gratuita.
    >
    > e poi vengono a raccontarci la storiella del
    > capitalista che si è fatto da solo, che il duro
    > lavoro paga ( certo, certo ) e che noi non siamo
    > miliardari perché troppo
    > stupidi

    e la terra è cava, ci sono dentro i rettiliani che ci irrorano con le scie chimiche in attesa che arrivi mork da ork e ci porti via tutti...
  • Mancanza di argomenti, vero?
    non+autenticato
  • > basta vedere anche solo la storia di Myspace,
    > mitizzato e spinto all'inizio, quando è passato
    > in mani straniere, si è iniziato a parlare e
    > spingere Facebook (di nuovo in mani
    > "patriottiche")

    Murdoch ha preso la cittadinanza americana e grazie alla Fox news e molto bene ammanicato nei posti che contano. Il discorso sulle mani straniere e le mani patriottiche non ha senso.
    non+autenticato
  • - Scritto da: nome e cognome
    > non è un problema di chiuso o aperto, ma di
    > consapevolezza, tutto
    > qui.
    >
    > http://punto-informatico.it/3829945/PI/News/debian

    e che c'entra? lì si parla di un repository non ufficiale debian, che ha cambiato gestione

    appunto, gli uomini di debian hanno avuto talmente tanta consapevolezza da avvisare gli utenti per una cosa, tutto sommato, banale

    la ms invece spedisce per direttissima tutti i dettagli delle vulnerabilità alla NSA

    ti sembra la stessa cosa?
    non+autenticato
  • Ma tu gli stai pure a rispondere? Questo non ha capito nulla di quell'articolo...
    non+autenticato
  • - Scritto da: Fai il login o Registrati
    > Ma tu gli stai pure a rispondere? Questo non ha
    > capito nulla di
    > quell'articolo...

    no, è che i suoi tentativi di dimostrare che windows è il top, lo portano anche ad accettare di fare figure di paltaA bocca aperta
    non+autenticato
  • - Scritto da: nome e cognome
    > non è un problema di chiuso o aperto, ma di
    > consapevolezza, tutto
    > qui.
    >
    > http://punto-informatico.it/3829945/PI/News/debian
    Ma guarda, mi pareva di ricordare che da questo post fosse scaturita una discussione (neanche troppo lunga, in verita') il cui succo era "chi vuole restare ignorante e' meglio che non tocchi un computer", ma stranamene e' sparita....
    non+autenticato
  • - Scritto da: Trollollero
    > - Scritto da: nome e cognome
    > > non è un problema di chiuso o aperto, ma di
    > > consapevolezza, tutto
    > > qui.
    > >
    > >
    > http://punto-informatico.it/3829945/PI/News/debian
    > Ma guarda, mi pareva di ricordare che da questo
    > post fosse scaturita una discussione (neanche
    > troppo lunga, in verita') il cui succo era "chi
    > vuole restare ignorante e' meglio che non tocchi
    > un computer", ma stranamene
    > e'
    > sparita....

    Agli ignoranti piace crogiolarsi nell'ignoranza, fino a che non glielo fai notare. A quel punto si offendono.
  • "bachi (..) per avvantaggiare le autorità statunitensi "

    Storia cool per i giornalisti & co, utile per darsi un tono, MA in realta' e' tutto molto meno lineare di cosi.
    Il mantra del "quel bug/accesso lo conosciamo solo noi" era usato tra le crew che giravano su X.25 "ai bei tempi"... "sfortunatamente" NESSUNO puo sapere o dire se un altro, prima di lui, sapesse di quel determinato bug. Se non lo ha pubblicizzato da qualche parte, "tutti" credono di averlo scoperto per primo. vecchia storia.
    Ovviamente e' una storia separata da quella in cui, DI PROPOSITO, una qualche azienda inserisce un bug/backdoor, e poi lo comunica agli "amici".
    non+autenticato
  • Aspetta un attimo. Un team puó essere a conoscenza di qualche exploit.
    Ma chi fa il software riceve segnalazioni da tantissimi esperti di sicurezza che passano il tempo a cercare vulnerabilitá.

    Spesso tra una segnalazione e il rilascio di una patch di tempo ne passa.
    non+autenticato
  • ed inoltre chi fa il software, può intenzionalmente introdurre bug e backdoor e di sicuro ce ne vorranno di mesi/anni prima che "gli altri" le trovino
    non+autenticato
  • - Scritto da: collione
    > ed inoltre chi fa il software, può
    > intenzionalmente introdurre bug e backdoor e di
    > sicuro ce ne vorranno di mesi/anni prima che "gli
    > altri" le
    > trovino
    eh.. l'ho scritto infatti
    "Ovviamente e' una storia separata da quella in cui, DI PROPOSITO, una qualche azienda inserisce un bug/backdoor, e poi lo comunica agli "amici"."
    Li' il vantaggio strategico/temporale e' totale e inconfutabile..
    non+autenticato
  • - Scritto da: qualcuno
    > Aspetta un attimo. Un team puó essere a
    > conoscenza di qualche
    > exploit.
    > Ma chi fa il software riceve segnalazioni da
    > tantissimi esperti di sicurezza che passano il
    > tempo a cercare
    > vulnerabilitá.
    >
    > Spesso tra una segnalazione e il rilascio di una
    > patch di tempo ne
    > passa.
    tutto cio non cambia il punto del mio discorso, pero'. Rileggilo, semmai...
    non+autenticato
  • Ripeto. Non importa chi viene a conoscenza per primo di un determinato bug. Di bug nei software ce ne sono tanti e sui grandi numeri i produttori stessi dei software sono avvantaggiati.
    Loro ne sanno piú di tutti gli altri team, perché raccolgono informazioni da tutti quanti. Quindi se loro passano le informazioni a qualce agenzia governativa pure quella agenzia é avvantaggiata rispetto a tutti gli altri.
    non+autenticato
  • - Scritto da: qualcuno
    > Ripeto. Non importa chi viene a conoscenza per
    > primo di un determinato bug.
    come no? e' proprio di questo che si sta parlandoA bocca aperta


    > agenzia governativa pure quella agenzia é
    > avvantaggiata rispetto a tutti gli
    > altri.
    come avvantaggiata, se hai appena detto che "non importa chi viene a conoscenza per primo"?
    non+autenticato
  • Trolla di meno e studia un po' di statistica.
    Forse alla fine capirai cosa significa un risultato sui grandi numeri.
    non+autenticato
  • - Scritto da: qualcuno
    > Trolla di meno e studia un po' di statistica.
    > Forse alla fine capirai cosa significa un
    > risultato sui grandi
    > numeri.

    Te lo spiego in due righe:
    "A partire da un file, si possono ricavare grandi numeri dello stesso file in tempo zero."

    Se non ti basta questo per capire che hai perso, allora continua pure a giocare la partita, e divertiti.

    Per quanto possa essere divertente perdere per grandi numeri a zero.
  • - Scritto da: panda rossa
    > - Scritto da: qualcuno
    > > Trolla di meno e studia un po' di statistica.
    > > Forse alla fine capirai cosa significa un
    > > risultato sui grandi
    > > numeri.
    >
    > Te lo spiego in due righe:
    > "A partire da un file, si possono ricavare grandi
    > numeri dello stesso file in tempo
    > zero."
    >
    > Se non ti basta questo per capire che hai perso,
    > allora continua pure a giocare la partita, e
    > divertiti.
    >
    > Per quanto possa essere divertente perdere per
    > grandi numeri a
    > zero.
    Rotola dal ridere
    non+autenticato
  • Quale parte di "Il software closed e' insicuro per definizione" non e' chiara ?
    Questa e' la dimostrazione lampante che fidarsi di roba closed (sopratutto di roba closed americana, visti gli ultimi sviluppi) e' un suicidio.
    non+autenticato
  • - Scritto da: Trollollero
    > Quale parte di "Il software closed e' insicuro
    > per definizione" non e' chiara
    > ?
    > Questa e' la dimostrazione lampante che fidarsi
    > di roba closed (sopratutto di roba closed
    > americana, visti gli ultimi sviluppi) e' un
    > suicidio.
    Dimmi che tu controlli linea per linea il codice del kernel che usi?
    E non hai driver closed di nessun tipo?
    non+autenticato
  • - Scritto da: astro
    > - Scritto da: Trollollero
    > > Quale parte di "Il software closed e' insicuro
    > > per definizione" non e' chiara
    > > ?
    > > Questa e' la dimostrazione lampante che fidarsi
    > > di roba closed (sopratutto di roba closed
    > > americana, visti gli ultimi sviluppi) e' un
    > > suicidio.
    > Dimmi che tu controlli linea per linea il codice
    > del kernel che
    > usi?
    > E non hai driver closed di nessun tipo?
    Ho parlato di "fiducia".
    E no, non mi fido di niente che non sia sotto il mio diretto controllo o che non dia la possibilita' di verificare a fondo il proprio funzionamento.
    Se e' minimamente possibile su sistemi non fidati non faccio niente di critico e/o non conservo dati personali non criptati.
    non+autenticato
  • - Scritto da: astro
    > - Scritto da: Trollollero
    > > Quale parte di "Il software closed e' insicuro
    > > per definizione" non e' chiara ?
    > > Questa e' la dimostrazione lampante che fidarsi
    > > di roba closed (sopratutto di roba closed
    > > americana, visti gli ultimi sviluppi) e' un
    > > suicidio.

    > Dimmi che tu controlli linea per linea il codice
    > del kernel che usi?

    Diverse aziende ed universita' controllano le piu' diverse parti del kernel per motivi di ricerca e sviluppo, quindi ?

    > E non hai driver closed di nessun tipo?

    Basta usare debian.
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: astro
    > > - Scritto da: Trollollero
    > > > Quale parte di "Il software closed e'
    > insicuro
    > > > per definizione" non e' chiara ?
    > > > Questa e' la dimostrazione lampante che
    > fidarsi
    > > > di roba closed (sopratutto di roba
    > closed
    > > > americana, visti gli ultimi sviluppi)
    > e'
    > un
    > > > suicidio.
    >
    > > Dimmi che tu controlli linea per linea il
    > codice
    > > del kernel che usi?
    >
    > Diverse aziende ed universita' controllano le
    > piu' diverse parti del kernel per motivi di
    > ricerca e sviluppo, quindi
    > ?
    >
    > > E non hai driver closed di nessun tipo?
    >
    > Basta usare debian.
    Quale, quella con i repository inaffidabili?A bocca aperta
    non+autenticato
  • - Scritto da: astro
    > - Scritto da: krane
    > > - Scritto da: astro
    > > > - Scritto da: Trollollero
    > > > > Quale parte di "Il software closed
    > e'
    > > insicuro
    > > > > per definizione" non e' chiara ?
    > > > > Questa e' la dimostrazione
    > lampante
    > che
    > > fidarsi
    > > > > di roba closed (sopratutto di roba
    > > closed
    > > > > americana, visti gli ultimi
    > sviluppi)
    > > e'
    > > un
    > > > > suicidio.
    > >
    > > > Dimmi che tu controlli linea per linea
    > il
    > > codice
    > > > del kernel che usi?
    > >
    > > Diverse aziende ed universita' controllano le
    > > piu' diverse parti del kernel per motivi di
    > > ricerca e sviluppo, quindi
    > > ?
    > >
    > > > E non hai driver closed di nessun tipo?
    > >
    > > Basta usare debian.
    > Quale, quella con i repository inaffidabili?A bocca aperta
    Nessun repo ufficiale di Debian e' inaffidabile.

    I repository esterni, non ufficiali e mantenuti da terzi, (tipo quello che hai "citato") e che vanno aggiunti a mano dall'utente che li vuole utilizzare sono un altro discorso.


    Discorso che non hai capito, tra l'altro.
    Non e' il repository ad essere inaffidabile, ma il dominio a cui si appoggiava il repo che ha cambiato proprietario. Il repo continua ad essere affidabile, anche se su un altro dominio.
    non+autenticato
  • - Scritto da: Trollollero
    > - Scritto da: astro
    > > - Scritto da: krane
    > > > - Scritto da: astro
    > > > > - Scritto da: Trollollero
    > > > > > Quale parte di "Il software
    > closed
    > > e'
    > > > insicuro
    > > > > > per definizione" non e'
    > chiara
    > ?
    > > > > > Questa e' la dimostrazione
    > > lampante
    > > che
    > > > fidarsi
    > > > > > di roba closed (sopratutto di
    > roba
    > > > closed
    > > > > > americana, visti gli ultimi
    > > sviluppi)
    > > > e'
    > > > un
    > > > > > suicidio.
    > > >
    > > > > Dimmi che tu controlli linea per
    > linea
    > > il
    > > > codice
    > > > > del kernel che usi?
    > > >
    > > > Diverse aziende ed universita'
    > controllano
    > le
    > > > piu' diverse parti del kernel per
    > motivi
    > di
    > > > ricerca e sviluppo, quindi
    > > > ?
    > > >
    > > > > E non hai driver closed di nessun
    > tipo?
    > > >
    > > > Basta usare debian.
    > > Quale, quella con i repository inaffidabili?
    >A bocca aperta
    > Nessun repo ufficiale di Debian e' inaffidabile.
    >
    > I repository esterni, non ufficiali e mantenuti
    > da terzi, (tipo quello che hai "citato") e che
    > vanno aggiunti a mano dall'utente che li vuole
    > utilizzare sono un altro
    > discorso.
    >
    >
    > Discorso che non hai capito, tra l'altro.
    > Non e' il repository ad
    > essere inaffidabile, ma il dominio
    >
    a cui si appoggiava il repo che ha
    > cambiato proprietario. Il repo continua ad essere
    > affidabile, anche se su un altro
    > dominio.
    Ah già che tu controlli anche il filo da cui scarichi le distro, ma arrivi fino al server di partenza o ti fermi sulla spiaggia?A bocca aperta
    non+autenticato
  • - Scritto da: astro
    > - Scritto da: Trollollero
    > > - Scritto da: astro
    > > > - Scritto da: krane
    > > > > - Scritto da: astro
    > > > > > - Scritto da: Trollollero
    > > > > > > Quale parte di "Il
    > software
    > > closed
    > > > e'
    > > > > insicuro
    > > > > > > per definizione" non e'
    > > chiara
    > > ?
    > > > > > > Questa e' la
    > dimostrazione
    > > > lampante
    > > > che
    > > > > fidarsi
    > > > > > > di roba closed
    > (sopratutto
    > di
    > > roba
    > > > > closed
    > > > > > > americana, visti gli
    > ultimi
    > > > sviluppi)
    > > > > e'
    > > > > un
    > > > > > > suicidio.
    > > > >
    > > > > > Dimmi che tu controlli linea
    > per
    > > linea
    > > > il
    > > > > codice
    > > > > > del kernel che usi?
    > > > >
    > > > > Diverse aziende ed universita'
    > > controllano
    > > le
    > > > > piu' diverse parti del kernel per
    > > motivi
    > > di
    > > > > ricerca e sviluppo, quindi
    > > > > ?
    > > > >
    > > > > > E non hai driver closed di
    > nessun
    > > tipo?
    > > > >
    > > > > Basta usare debian.
    > > > Quale, quella con i repository
    > inaffidabili?
    > >A bocca aperta
    > > Nessun repo ufficiale di Debian e'
    > inaffidabile.
    > >
    > > I repository esterni, non ufficiali e
    > mantenuti
    > > da terzi, (tipo quello che hai "citato") e
    > che
    > > vanno aggiunti a mano dall'utente che li
    > vuole
    > > utilizzare sono un altro
    > > discorso.
    > >
    > >
    > > Discorso che non hai capito, tra l'altro.
    > > Non e' il repository
    > ad
    > > essere inaffidabile, ma il dominio
    > >
    a cui si appoggiava il repo che
    > ha
    > > cambiato proprietario. Il repo continua ad
    > essere
    > > affidabile, anche se su un altro
    > > dominio.
    > Ah già che tu controlli anche il filo da cui
    > scarichi le distro, ma arrivi fino al server di
    > partenza o ti fermi sulla spiaggia?
    >A bocca aperta
    Ok, non hai idea di cosa sia un repo debian e di come funzioni.
    non+autenticato
  • - Scritto da: Trollollero
    > Ok, non hai idea di cosa sia un repo debian e di
    > come
    > funzioni.
    Dai, spiega, facci rideA bocca aperta
    non+autenticato
  • - Scritto da: astro
    > - Scritto da: Trollollero
    > > Ok, non hai idea di cosa sia un repo debian
    > e
    > di
    > > come
    > > funzioni.
    > Dai, spiega, facci rideA bocca aperta

    Se proprio ci tieni ti spiego: al mondo ci sono persone ignoranti che vogliono restare ignoranti, e persone che invece vogliono imparare e capire.

    Tu non appartieni al secondo gruppo di persone.
    E adesso ridi. Rotola dal ridere
  • - Scritto da: panda rossa
    > Se proprio ci tieni ti spiego: al mondo ci sono
    > persone ignoranti che vogliono restare ignoranti,
    > e persone che invece vogliono imparare e
    > capire.
    >
    > Tu non appartieni al secondo gruppo di persone.
    > E adesso ridi. Rotola dal ridere
    E se te lo dice la persona che detiene la verità assoluta c'è poco da fare
    non+autenticato