Il Linux Day visto da me.

Alessandro mailthrottle-glug@yahoo.it
Mer 1 Nov 2006 20:19:05 CET 

Questo messaggio é certamente logorroico e
sconclusionato, eventualmente passate subito alla
seconda parte "osservazioni" per risparmiarvi un po'
di fatica.

Sabato scorso, per la prima volta nella mia vita ho
partecipato (da spettatore) al Linux Day.
La prima difficoltá è stata trovare il posto: ok,
Palazzo Ducale lo conoscono tutti ma, complice il
Festival della Scienza, non ho trovato alcuna
indicazione dei locali dove si svolgeva. Arrivato a
dubitare anche della data (era di sabato o domenica?)
sono passato dal gabbiotto dell'informagiovani in
piazza Matteotti a caccia di indizi ma non ho trovato
nulla di scritto e c'era troppa coda per chiedere.
Alla fine sono andato all'ingresso della mostra sui
materiali e ho chiesto li': fortunatamente c'era uno
che c'era stato l'altr'anno e mi ha indicato (più a
gesti che a parole :-) dove avrebbe potuto essere:
dalle spiegazioni intuisco dovevo guardare in fondo al
cortile interno.
Raggiunta finalmente la meta (possibile che nessuno
avesse un pinguino da mettere fuori?) ho trovato un
sala affollata con diversi computer sistemati intorno
a ferro di cavallo (per le demo, immagino) ed un
tavolo con del materiale in esposizione. In un angolo
un banco con dei case aperti che suppongo
rappresentasse  la mostra di retrocomputing. Piú
avanti ho intravisto un'aula dove presumo venissero
fatte le presentazioni del percorso introduttivo al
mondo Linux. Qualcuno prontamente mi porge una copia
omaggio di una rivista su Linux, io sorpreso
dall'inaspettata offerta,  accetto: passero' il resto
della mattinata a cercare un modo comodo per
traspotarla.
Nella bolgia qualcuno mi chiede se so dove sia la sala
B, intuisco che si tratta della sala dove si svolgono
le presentazioni per aziende e professionisti alla
quali anche io ero interessato ma rispondo che anche
io sono appena arrivato e non ne so nulla. Il tizio
chiede poi a qualcun altro che gli cerca di
spiegargli, un altro si offre di accompagnarlo, li
seguo.
La sala B si trova ai piani superiori, non é piena ma
abbastanza popolata, le presentazioni mediamente sono
abbastanza interessanti (le ho seguite quasi tutte,
più o meno sono stato li' dalle 10:30 alle 13:00 e,
dopo pranzo, dalle 15:00 in poi).

Osservazioni:

In altra sede ho parlato di "approssimazione e qualche
svarione (sulla sicurezza in particolare)" e mi é
stato chiesto di spiegare questa affermazione. Mi
direte che si tratta di dettagli ma sono cose che non
ho potuto fare a meno di notare.

1) Partiamo forse dal più banale. Davanti al banco con
materiale in esposizione al piano terreno ho captato
il dialogo seguente:
-cos'e linux?
-un sistema operativo alternativo a windows
-niente problemi di virus?
-certo!
La risposta non è sbagliatissima, rende abbastanza
bene l'idea e per una risposta "al volo" era difficile
fare di meglio, però si presta facilmente ad essere
smentita. In teoria sarebbe stato più corretto
rispondere qualcosa del tipo "praticamente zero".

2) Presentazione Gentoo in azienda.

Ho assistito solo alla parte finale ma mi sembrava che
si fosse tralasciato l'argomento sicurezza (importante
soprattuto in ambito aziendale). Per questo ho posto
una domanda al riguardo e la risposta mi è sembrata
abbastanza esauriente.

3) Sicurezza nella rete aziendale.

Ad un certo punto si è fatto riferimento alla notizia
di qualche tempo fa della compromissione di un server
utilizzato dalla distribuzione Debian (credo ci si
riferisse a questo
http://www.debian.org/News/2006/20060713) asserendo da
questo una maggiore sicurezza dell'installazione dei
programmi ricompilati da sorgente rispetto quelli
precompilati scaricati dai repository delle
distribuzioni. Questa volta l'obiezione è arrivata da
più parti e l'affermazione é stata più o meno
rettificata e, visto che non era un dibattito, è
finita li'.
A posteriori preciserei che:
- Il server compromesso, a quanto pare, non era quello
contenente i pacchetti della distribuzione. Certo, non
si può escludere che possa accadere anche sul server
dei pacchetti o su un mirror, ma, come già
evidenziato, questo può accadere anche per i sorgenti.
- MD5 o altro checksum non garantisce che il pacchetto
sia buono ma serve solo per verificare che il download
sia avenuto correttamente. Per avere certezza
dell'origine occorre la firma digitale e non so quanti
sorgenti siano distribuiti con firma. Di certo, in
linea di principio, verificare le firme dei diversi
sorgenti può essere più oneroso/complicato che
verificare i pacchetti della distribuzione con la
firma della stessa.
- Durante la presentazione sono intervenuto affermando
che Debian ha adottato la firma dei pacchetti per
garantirne l'autenticità. In realtà temo che l'uso dei
pacchetti firmati sia stato introdotto per ora solo in
testing (prossima stable, il rilascio dovrebbe
avvenire a breve).

Ho apprezzato molto le critiche sulla pericolosità
potenziale dei kernel modulari, rimane il fatto che in
caso di compromissione l'intruso potrebbe anche
sostituire direttamente il kernel (certo, occorrerebbe
un vistoso riavvio ma, se il server non è così
critico, potrebbe anche passare inosservato). A tal
proposito mi domando se la paranoia potrebbe spingermi
a scrivere il kernel su CD e configurare i server in
modo che facciano il boot da questo.

Parlando di sicurezza in rete mi aspettavo che si
parlasse di IDS (argomento che ignoro quasi
completamente).

4) Trusted computing.

Secondo me l'esposizione doveve essere un po' più
ragionata, non prospettare solo il caso peggiore (i
cattivoni ci spieranno e noi non ci potremo fare
nulla) ma anche quelli meno peggio che però non ci
piacciono lo stesso (perdita della libertà di
scegliere).

Infine una curiosità: le presentazioni del pomeriggio
sono state fatte su un PC con Windows XP (oppure un
clone veramente ben fatto :-). Ok, non siamo talebani,
ma possibile che a nessuno sia venuto in mente di
mettere l'applicazione a tutto schermo, non dico per
salvare le apparenze, ma almeno nascondere
quell'orrendo tasto verde? :-)

Alessandro.


__________________________________________________
Do You Yahoo!?
Poco spazio e tanto spam? Yahoo! Mail ti protegge dallo spam e ti da tanto spazio gratuito per i tuoi file e i messaggi 
http://mail.yahoo.it

Maggiori informazioni sulla lista glug