L’ open source sta diventando un gran casino, vedo sempre il solito meccanismo degli sfruttati e degli sfruttatori. Andrebbe tutelato maggiormente a mio avviso.
Beh l'open source è bello e necessario, ma non deve spingere una persona ad andare in burn-out specialmente se lo sta facendo gratuitamente, e non deve spingere a cedere i permessi di scrittura ed esecuzione ad altre persone se non si fida completamente al 100%. Non sta scritto da nessuna parte che un software open-source deve essere completo, funzionante, aggiornato e sicuro.
Mi dispiace dirlo ma con questo andazzo mi sa che l'open source restará come una bella leggenda da raccontare a nostri nipoti. Le corporazioni che si stanno prendendo progetti open source che con gli anni e con la collaborazione della community sono diventati belli che robusti e maturi, vengono acquistati per derivare il tutto in un prodotto a pagamento. Succede adesso anche con librerie per lo sviluppo di software 😢
Ma lo fanno da sempre e non e' mai stato un problema. Si chiama forking, questa procedura. Quando c'e' la base legislativa di Stallman (GPL) non si appropriano di un cacchio, possono solo scopiazzare e poi andarsene per la loro strada da bravi piazzisti di licenze (come insegna Microsoft). Le comunita' di non piazzisti ci sono e ci saranno sempre, e' questione di filosofia applicata al commercio.
@@skeskeskes spetta, cos'altro ha coinvolto il 90% dei server mondiali? Sicuramente è stata una delle peggiori (e che solo per puro caso, con danni concreti quasi nulli).
XZ non era ancora in produzione quando è stata scoperta (rischiava seriamente di andarci), mentre Heartbleed lo era... Poi, se parliamo di danni, penso che la vulnerabilità su Citrix dello scorso anno (cve 2023-3519) sia stata alla base di molti attacchi ransomware degli ultimi mesi, e lì siamo su tutta un'altra scala. Lo stesso vale per quelle su VPN Ivanti di fine anno. XZ è grave "di concetto", mette in luce un problema culturale e di sistema importantissimo. Danni veri pochi, per non dire nulli. Responsabilità del mainteiner, poraccio lui, ancora meno.
Penso che più che vulnerabilità (codice scritto inavvertitamente male che genera un problema) sia stata una backdoor (codice scritto apposta per generare una porta di accesso ai sistemi).
Oddio, Hashicorp acquisita da IBM è proprio l'ultimo chiodo nella loro bara, già in RH stanno facendo disastri. La vedo molto male nell'open source. Invece, che ne pensi di run0, l'ultima trovata di Poettering come alternativa a sudo? Io non so davvero se vale la pena rompere la catena di ereditarietà e dare all'utente possibilità di fare partire processi direttamente da PID 1 pur di scamparsi da un binario SUID. E soprattutto utilizza polkit, che odio
Da quando ho scoperto che su Ubuntu dare un comando in apt può significare che venga eseguito in realtà snap... Ubuntu per me ha smesso di esistere. Se voglio delegare a terzi il controllo del sistema basta usare Windows.
Davvero impressionante come un singolo sviluppatore possa essere influenzato così tanto! La nuova vulnerabilità Spectre V2 su CPU Intel e AMD è inquietante. Speriamo che le nuove versioni di Fedora e Ubuntu possano migliorare la sicurezza!
Secondo me quella backdoor è stata inserita da qualche team collegato a grosse aziende, organizzazioni di qualche tipo o militari, un lavoro così complesso di analisi che ha richiesto mesi di lavoro continuo e su un software così importante a livello di diffusione. Poi come utilizzo della backdoor di sicuro non prendono di mira utenti a caso, molto probabilmente servizi pubblici, grosse aziende o militari.
Si ma non ci puoi lasciare cosi' con quella faccia che ride dicendo "ma per ora per fortuna le notizie sono finite e quindi ci vediamo al prossimo capitolo" 😯
Ti sei perso la notizia last minute che Immich è stato acquistato dall'organizzazione FUTO. Sembra una buona notizia, ma andrebbe approfondita. Io l'avrei preferito indipendente.
IBM non ha acquisito k8s, acquisendo Red Hat ha acquisito anche Openshift che non è la stessa cosa. K8s rimane della CNCF, una branca della Linux foundation.
Morro a 7:55 il discorso ha qualche falla: Ansible core non é di RH (RH contribuisce in maniera maggioritaria cmq). Openshift é la distro RH di k8s ma c'è ne sono molte altre, non è vero che RH ha il monopolio di k8s . Quanto al discorso OpenTofu, penso verrà gestito come gli altri progetti cannibalizzati prima di lui: diventerà la versione upstream di Terraform, e come AWX, OKD, RDO, Foreman (e ci metterei anche CentOS) diventerà bleeding edge, ingiustificatamente instabile e complicato da usare, il che ne scoraggierà l'uso e il contributo da terzi, facendo quindi in modo che diventi un loro progetto a tutti gli effetti seppur open.
Purtroppo il mondo enterprise si è svegliato e vuole andare su Linux, se avessero continuato a comprare AS/400 la IBM stava apposto e non doveva venire a rompere le scatole a chi usava Linux. Francamente non mi piace la direzione in cui si sta andando, Red Hat, Redis, Terraform, mah. Tiene ancora botta PostgreSQL, ma comincio a temere che Oracle ci farà un pensierino, d'altronde un database open che ha oramai più feature di Oracle stesso che costa fior fior di quattrini... staremo a vedere.
Fantastico. La tecnologia dovrebbe rendere semplice la vita quotidiana sia agli utenti che agli sviluppatori, e invece no, complichiamo tutto e rendiamo tutto più complesso,grandi 👍 Sono ironico
Concordo in pieno; ormai Ubuntu non è più il "faro" di una volta Sto valutando LMDE, openSUSE, Manjaro Sono le uniche senza Snap tra le scatole già preinstallato e che ti installa le sue versioni e non quelle .Debian all'insaputa di un ignaro nebbie....
ti sei dimenticato di inception di amd, da quella patch ormai il mio sistema è diventato un lingotto di piombo, solo aprire il browser porta la cpu a 80 90%
non capisco perché certa gente, con queste abilità, che potrebbe creare un'app di successo, servizi, o fondare qualche startup, utilizzi queste conoscenze per creare backdoors e danneggiare gli altri 🤷🏻♂️
Beh, perché non è detto che non lo faccia in futuro... soprattutto se col portafoglio gonfiato da qualche Big-Tech magari cinese che con una vulnerabilità del genere abbia spiato adeguatamente la rivale obbiettivo (e se poi vengono infettati migliaia di altre realtà, chissene, anzi meglio così confondono le acque). Uno sviluppatore del genere lo farà soprattutto se sa di esser difficilmente scoperto, come evidentemente è capitato. La Storia è piena di imprenditori dal passato quantomeno fumoso.
Noi però non sappiamo chi ci sia dietro, può esserci una singola persona "a caso" così come un'organizzazione di qualche tipo, potenzialmente anche roba governativa militare, una backdoor del genere sarebbe stata estremamente potente da sfruttare su obiettivi specifici. Tuttavia una backdoor inserita di nascosto potrebbe essere usata anche a fin di bene anche se estremamente improbabile, anche in questo caso non è che vai dal mantainer principale e gli dici "hey bro, dammi una mano a mettere una backdoor nel codice".
@@jackzugna5830 è vero, non sappiamo niente, ma escluderei lo scenario del franco tiratore solitario perché creare un'identità fittizia, coprire le proprie tracce e creare (apparentemente) gratuitamente codice di ottimo livello senza appassionarsi al progetto, tramando nel buio per sferrare l'attacco che "o la va o la spacca", sono attività costose! Sembra proprio verosimile il caso alternativo e cioè che alle spalle ci sia qualcuno con capitali adeguati come (perché no?) apparati militari che abbiano sfruttato la vulnerabilità per carpire informazioni in strutture antagoniste basate su Linux.
Se ascoltate l’intervista recente di Tucker Carlson al fondatore di Telegram l’entrata di Jia Tan nel progetto sembrano leggermente nei canoni delle vicende che raccontate da Pavel, a pensar male ogni tanto ci si azzecca
Chi non ha capito subito che dietro Jia Tan c'è un team di esperti ben pagati da uno stato vive fuori dal mondo. E c'è solo uno stato che: 1) cercherebbe di far ricadere i sospetti sulla Cina 2) ha gli esperti di quel livello 3) ha precedenti di questo tipo Ma continuiamo a prenderci in giro da soli, dai!
@@alxlg Io concordo e mi sento libero di dire che da denunce pubbliche di varia natura si deduce che gli Stati Uniti sono molto attivi in questo tipo di pratiche(probabilmente non solo loro), ingaggiare ingegneri che sono assunti presso produttori software per spingere ad utilizzare librerie o inserire determinate backdoor, purtroppo il fatto che il mondo dell' opensource non sia particolarmente "sotto attacco" politico (o perlomeno meno del passato) per me significa che hanno già quello che gli serve. Il mondo ha già preso la direzione sbagliata anche in questo settore. Comunque siamo in tema cantinaro o sbaglio?? 😁
@@alxlg Ma poi chi ci dice che lo stesso unico sviluppatore non sia anche Jia Tan che per pararsi il culo se salta fuori il problema non si è inventato questa scemenza, io immagino che non sia semplice stare alle pressioni di servizi nazionali che ti bussano alla posta. Sopratutto se hai qualcosa da perdere, casa famiglia figli gatti 😆
@@pinguinokde non si mettono in condizione di essere eventualmente sputtanati per nulla, per questo selezionano militari e agenti completamente convinti di star facendo quanto necessario a garantire la sicurezza della propria nazione e a loro si affidano per mettere in pratica operazioni delicate.
Anche io adoro andare sul tecnico ben che non sia esattamente una cima...ma tutto é politica, e anche queste cose vanno seguite, perché c'è sempre da capire la direzione di un progetto a cui dedicheremo tempo e energie, di un software che installeremo, di uno standard che adotteremo...se non ci si scrive da soli ogni cosa, bisogna vedere come lo fanno gli altri...
Ciao Moreno ho una domandina stupida, ma se la backdoor è stata rilevata sulle connessioni openssh effettuate sulle distro debian based ed essendo proxmox una di derivata debian, mi domando se di default anche quella distro ne è afflitta?? Perché da quel poco che ho capito sembrerebbe che le distribuzioni derivate da Debian personalizzano OpenSSH e queste modifiche si appoggiano a liblzma
La vulnerabilità di xz interessa dei numeri di versione più recenti di quello che possiamo trovare sulle distro a rilascio periodico, perciò non ha fatto in tempo ad intaccare alcun sistema in produzione, tantomeno proxmox.
Ottimo! Usando Mint l'uscita di Ubuntu mi interessa solo per tenere sotto controllo la situazione generale e capire se il momento in cui dovrò passare a LMDE si avvicina o no :P
L’ open source sta diventando un gran casino, vedo sempre il solito meccanismo degli sfruttati e degli sfruttatori. Andrebbe tutelato maggiormente a mio avviso.
Beh l'open source è bello e necessario, ma non deve spingere una persona ad andare in burn-out specialmente se lo sta facendo gratuitamente, e non deve spingere a cedere i permessi di scrittura ed esecuzione ad altre persone se non si fida completamente al 100%. Non sta scritto da nessuna parte che un software open-source deve essere completo, funzionante, aggiornato e sicuro.
Mi dispiace dirlo ma con questo andazzo mi sa che l'open source restará come una bella leggenda da raccontare a nostri nipoti. Le corporazioni che si stanno prendendo progetti open source che con gli anni e con la collaborazione della community sono diventati belli che robusti e maturi, vengono acquistati per derivare il tutto in un prodotto a pagamento. Succede adesso anche con librerie per lo sviluppo di software 😢
Ma lo fanno da sempre e non e' mai stato un problema. Si chiama forking, questa procedura. Quando c'e' la base legislativa di Stallman (GPL) non si appropriano di un cacchio, possono solo scopiazzare e poi andarsene per la loro strada da bravi piazzisti di licenze (come insegna Microsoft). Le comunita' di non piazzisti ci sono e ci saranno sempre, e' questione di filosofia applicata al commercio.
Ti prego Morro rifai il vecchio video dove spieghi Spectre e Meltdown, è inascoltabile, c'è un rumore di fondo fastidiosissimo!
Più semplice aggiungere dei sottotitoli invece che rifarlo da capo
Dipende se ha voglia e tempo da sprecare per rifare un video che ha già fatto
programmatori di cose utili e medici sono le due categorie in cui il burnout è più pericoloso.
Cosa ne pensi del team di Immich che ora sarà pagato da FUTO?
Dal burnout ad attacchi di panico perché hai reso possibile la vulnerabilità peggiore mai esistita, è un attimo 😢
Non la peggiore mai esistita
@@skeskeskes spetta, cos'altro ha coinvolto il 90% dei server mondiali?
Sicuramente è stata una delle peggiori (e che solo per puro caso, con danni concreti quasi nulli).
XZ non era ancora in produzione quando è stata scoperta (rischiava seriamente di andarci), mentre Heartbleed lo era... Poi, se parliamo di danni, penso che la vulnerabilità su Citrix dello scorso anno (cve 2023-3519) sia stata alla base di molti attacchi ransomware degli ultimi mesi, e lì siamo su tutta un'altra scala. Lo stesso vale per quelle su VPN Ivanti di fine anno.
XZ è grave "di concetto", mette in luce un problema culturale e di sistema importantissimo. Danni veri pochi, per non dire nulli. Responsabilità del mainteiner, poraccio lui, ancora meno.
Penso che più che vulnerabilità (codice scritto inavvertitamente male che genera un problema) sia stata una backdoor (codice scritto apposta per generare una porta di accesso ai sistemi).
Oddio, Hashicorp acquisita da IBM è proprio l'ultimo chiodo nella loro bara, già in RH stanno facendo disastri. La vedo molto male nell'open source. Invece, che ne pensi di run0, l'ultima trovata di Poettering come alternativa a sudo? Io non so davvero se vale la pena rompere la catena di ereditarietà e dare all'utente possibilità di fare partire processi direttamente da PID 1 pur di scamparsi da un binario SUID. E soprattutto utilizza polkit, che odio
Run0 lo scopro oggi per la prima volta, la motivazione per cui è nato sembra sensata, no?
Grazie Moreno, come sempre al 🔝 che ne diresti di due chiacchiere su run0 e systemd v256?
Domanda: dove si trova la patch da installare su Ubuntu per mitigare la vulnerabilità a Spectre V2?
Da quando ho scoperto che su Ubuntu dare un comando in apt può significare che venga eseguito in realtà snap... Ubuntu per me ha smesso di esistere.
Se voglio delegare a terzi il controllo del sistema basta usare Windows.
IBM asso pigliatutto.
Davvero impressionante come un singolo sviluppatore possa essere influenzato così tanto! La nuova vulnerabilità Spectre V2 su CPU Intel e AMD è inquietante. Speriamo che le nuove versioni di Fedora e Ubuntu possano migliorare la sicurezza!
Secondo me quella backdoor è stata inserita da qualche team collegato a grosse aziende, organizzazioni di qualche tipo o militari, un lavoro così complesso di analisi che ha richiesto mesi di lavoro continuo e su un software così importante a livello di diffusione.
Poi come utilizzo della backdoor di sicuro non prendono di mira utenti a caso, molto probabilmente servizi pubblici, grosse aziende o militari.
Quindi ?
Nel senso, la considerazione che fai mi pare, se non per forza vera, sarebbe impossibile, comunque verosimile, ma poi tu quale giudizio dai ?
Si ma non ci puoi lasciare cosi' con quella faccia che ride dicendo "ma per ora per fortuna le notizie sono finite e quindi ci vediamo al prossimo capitolo" 😯
Non c'entra nulla ma sei il sosia di Pietro Michelangeli :D
Grazie per gli incubi, morro.
Ti sei perso la notizia last minute che Immich è stato acquistato dall'organizzazione FUTO. Sembra una buona notizia, ma andrebbe approfondita. Io l'avrei preferito indipendente.
IBM non ha acquisito k8s, acquisendo Red Hat ha acquisito anche Openshift che non è la stessa cosa. K8s rimane della CNCF, una branca della Linux foundation.
Morro a 7:55 il discorso ha qualche falla: Ansible core non é di RH (RH contribuisce in maniera maggioritaria cmq). Openshift é la distro RH di k8s ma c'è ne sono molte altre, non è vero che RH ha il monopolio di k8s .
Quanto al discorso OpenTofu, penso verrà gestito come gli altri progetti cannibalizzati prima di lui: diventerà la versione upstream di Terraform, e come AWX, OKD, RDO, Foreman (e ci metterei anche CentOS) diventerà bleeding edge, ingiustificatamente instabile e complicato da usare, il che ne scoraggierà l'uso e il contributo da terzi, facendo quindi in modo che diventi un loro progetto a tutti gli effetti seppur open.
CentOS con le modifiche al licensing di pubblicazione dei sorgenti è borderline definirlo Opensource oramai... almeno a mio parere.
Burnout = esaurimento
Purtroppo il mondo enterprise si è svegliato e vuole andare su Linux, se avessero continuato a comprare AS/400 la IBM stava apposto e non doveva venire a rompere le scatole a chi usava Linux.
Francamente non mi piace la direzione in cui si sta andando, Red Hat, Redis, Terraform, mah. Tiene ancora botta PostgreSQL, ma comincio a temere che Oracle ci farà un pensierino, d'altronde un database open che ha oramai più feature di Oracle stesso che costa fior fior di quattrini... staremo a vedere.
IBM ha acquisito OpenShift con RedHat, non Kubernetes, occhio che a sentire solo l'audio si può fraintendere la news
Fantastico. La tecnologia dovrebbe rendere semplice la vita quotidiana sia agli utenti che agli sviluppatori, e invece no, complichiamo tutto e rendiamo tutto più complesso,grandi 👍
Sono ironico
Ciao Moreno! Parliamo di Ubuntu e della filosofia OpenSource: che ne pensi di Snap? Ciao Roberto
Non sono Moreno, ma finchè di snap non c'è pubblicato il codice del server non so quanto si possa parlare di opensource riferito a snap.
Concordo in pieno; ormai Ubuntu non è più il "faro" di una volta
Sto valutando LMDE, openSUSE, Manjaro
Sono le uniche senza Snap tra le scatole già preinstallato e che ti installa le sue versioni e non quelle .Debian all'insaputa di un ignaro nebbie....
Per quanto ho usato Ubuntu, non l'ho mai pensato come un faro. Cfr il fallimento di un DE piuttosto... Problematico
ti sei dimenticato di inception di amd, da quella patch ormai il mio sistema è diventato un lingotto di piombo, solo aprire il browser porta la cpu a 80 90%
non capisco perché certa gente, con queste abilità, che potrebbe creare un'app di successo, servizi, o fondare qualche startup, utilizzi queste conoscenze per creare backdoors e danneggiare gli altri 🤷🏻♂️
Beh, perché non è detto che non lo faccia in futuro... soprattutto se col portafoglio gonfiato da qualche Big-Tech magari cinese che con una vulnerabilità del genere abbia spiato adeguatamente la rivale obbiettivo (e se poi vengono infettati migliaia di altre realtà, chissene, anzi meglio così confondono le acque). Uno sviluppatore del genere lo farà soprattutto se sa di esser difficilmente scoperto, come evidentemente è capitato. La Storia è piena di imprenditori dal passato quantomeno fumoso.
Noi però non sappiamo chi ci sia dietro, può esserci una singola persona "a caso" così come un'organizzazione di qualche tipo, potenzialmente anche roba governativa militare, una backdoor del genere sarebbe stata estremamente potente da sfruttare su obiettivi specifici.
Tuttavia una backdoor inserita di nascosto potrebbe essere usata anche a fin di bene anche se estremamente improbabile, anche in questo caso non è che vai dal mantainer principale e gli dici "hey bro, dammi una mano a mettere una backdoor nel codice".
@@jackzugna5830 è vero, non sappiamo niente, ma escluderei lo scenario del franco tiratore solitario perché creare un'identità fittizia, coprire le proprie tracce e creare (apparentemente) gratuitamente codice di ottimo livello senza appassionarsi al progetto, tramando nel buio per sferrare l'attacco che "o la va o la spacca", sono attività costose! Sembra proprio verosimile il caso alternativo e cioè che alle spalle ci sia qualcuno con capitali adeguati come (perché no?) apparati militari che abbiano sfruttato la vulnerabilità per carpire informazioni in strutture antagoniste basate su Linux.
Infatti tranne che per i top gamma intel, vedo molte più offerte, secondo me dovute allo spectre
.
bellissimo format, magari lo si continuasse anche dopo la collaborazione
Se ascoltate l’intervista recente di Tucker Carlson al fondatore di Telegram l’entrata di Jia Tan nel progetto sembrano leggermente nei canoni delle vicende che raccontate da Pavel, a pensar male ogni tanto ci si azzecca
Chi non ha capito subito che dietro Jia Tan c'è un team di esperti ben pagati da uno stato vive fuori dal mondo.
E c'è solo uno stato che:
1) cercherebbe di far ricadere i sospetti sulla Cina
2) ha gli esperti di quel livello
3) ha precedenti di questo tipo
Ma continuiamo a prenderci in giro da soli, dai!
@@alxlg Io concordo e mi sento libero di dire che da denunce pubbliche di varia natura si deduce che gli Stati Uniti sono molto attivi in questo tipo di pratiche(probabilmente non solo loro), ingaggiare ingegneri che sono assunti presso produttori software per spingere ad utilizzare librerie o inserire determinate backdoor, purtroppo il fatto che il mondo dell' opensource non sia particolarmente "sotto attacco" politico (o perlomeno meno del passato) per me significa che hanno già quello che gli serve. Il mondo ha già preso la direzione sbagliata anche in questo settore. Comunque siamo in tema cantinaro o sbaglio?? 😁
@@alxlg Ma poi chi ci dice che lo stesso unico sviluppatore non sia anche Jia Tan che per pararsi il culo se salta fuori il problema non si è inventato questa scemenza, io immagino che non sia semplice stare alle pressioni di servizi nazionali che ti bussano alla posta. Sopratutto se hai qualcosa da perdere, casa famiglia figli gatti 😆
@@pinguinokde non si mettono in condizione di essere eventualmente sputtanati per nulla, per questo selezionano militari e agenti completamente convinti di star facendo quanto necessario a garantire la sicurezza della propria nazione e a loro si affidano per mettere in pratica operazioni delicate.
Solo belle notizie comunque
OT: vogliamo cose più tecniche, queste sembrano cose di politica commerciale.
Vogliamo... tu e chi?
@@morrolinux sulle questioni piu tecniche si puo fare ricerca e studio, ma sulle politiche commerciali ce ne possiamo infischiare.
Hahahaha mia nonna è una carriola
Anche io adoro andare sul tecnico ben che non sia esattamente una cima...ma tutto é politica, e anche queste cose vanno seguite, perché c'è sempre da capire la direzione di un progetto a cui dedicheremo tempo e energie, di un software che installeremo, di uno standard che adotteremo...se non ci si scrive da soli ogni cosa, bisogna vedere come lo fanno gli altri...
@@andreamaccio8628esatto.
Ciao Moreno ho una domandina stupida, ma se la backdoor è stata rilevata sulle connessioni openssh effettuate sulle distro debian based ed essendo proxmox una di derivata debian, mi domando se di default anche quella distro ne è afflitta?? Perché da quel poco che ho capito sembrerebbe che le distribuzioni derivate da Debian personalizzano OpenSSH e queste modifiche si appoggiano a liblzma
La vulnerabilità di xz interessa dei numeri di versione più recenti di quello che possiamo trovare sulle distro a rilascio periodico, perciò non ha fatto in tempo ad intaccare alcun sistema in produzione, tantomeno proxmox.
@@morrolinux grazie mille
E' un mondaccio.
Morro qual'è l'estensione che usi per evidenziare sul browser?
Textmarker
@@morrolinux grazie mille
Grazie.
Ottimo! Usando Mint l'uscita di Ubuntu mi interessa solo per tenere sotto controllo la situazione generale e capire se il momento in cui dovrò passare a LMDE si avvicina o no :P
Secondo me Mint ha capito l'andazzo di Ubuntu e porterà gradualmente armi e bagagli sotto LMDE.
@@davidecarollo70 penso sia quello che pensiamo tutti
Tira una brutta aria...
Non guardate me, io non sono stato.
😂