[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: fwupd* -> aggiornamenti firmware

Mattia Rizzolo ha scritto:

> On Thu, Aug 10, 2023 at 10:20:18AM +0200, Davide Prina wrote:
>> Se usi Gnome3 ti rimuove alcuni metapacchetti che permettono di tenere
>> aggiornato Gnome3.

> Fortunatamente qualcuno di sano ancora esiste, e la relativa modifica è
> stata richiesta e giù preparata:
>     https://bugs.debian.org/1042781
>     https://salsa.debian.org/gnome-team/gnome-control-center/-/commit/67c01f6a892336376d0bf16e48c8c52054351a97

ok l'ho rimosso :-)

Ho notato una cosa: con questo "aggiornamento" nelle "impostazioni di
Gnome -> Privacy" è apparso un nuovo elemento che è "Device security"
Se sono installati i famigerati pacchetti del thread, allora verifica
se è stato avviato con secure boot, se hai UEFI abilitato, ...
mentre se non hai i pacchetti installati, allora ti dice che non è
stato rilevato nessun hardware fisico e quindi è una macchina virtuale.

A me sembra un po' assurdo che si indichi come sicuro un sistema che
ha quelle parti e relativi pacchetti... basti pensare che in un
articolo di sicurezza avevo letto qualche mese fa che probabilmente
il 50-60% dei portatili (se non ricordo male) avevano tutto questo
stack di "sicurezza" che in realtà non funzionava, quindi il tuo
sistema ti diceva che tutto questo era funzionante e attivo, ma in
realtà non era così, era come se non vi fosse tale stack.

Inoltre in m$ hanno un grosso problema: hanno dichiarato che hanno
rubato delle chiavi di firma per la generazione di token di sicurezza
e che hanno acceduto a delle caselle di posta di governativi USA.
Ma poi se vai a vedere il NIST ti consiglia di mettere in sicurezza
tutto quello che è m$ on-line e m$ stessa ti chiede di segnalare
eventuali anomalie che i sistemisti riscontrano... quindi da quello
che capisco non sanno come hanno fatto ad entrare, non sanno cosa
hanno fatto, non sanno cosa potrebbero ancora fare, non sanno da
quanto tempo abbiano avuto accesso e non sono in grado di fermali...
e poi ci sono aziende che si sentono sicure solo perché hanno lo
stack di sicurezza m$ sui dispositivi aziendali.

Tenendo conto che una società ha consegnato ad un esperto di sicurezza
un portatile aziendale con secure boot, UEFI, ... con installato
uindous... e questo nel giro di 15 o 45 minuti (ora non ricordo) è
riuscito ad avere una console e l'accesso alla rete aziendale...

Come diceva qualcuno: un falso senso di sicurezza è peggiore di non
avere nessuna sicurezza.
Nel senso che se sai di non avere nessuna sicurezza stai più attento.

Inoltre, secondo me, l'apertura dell'informatica alle masse sta
portando l'informatica verso il baratro: si fanno sempre più
cose insicure by design e si richiedono sempre più cose per
mitigare il punto precedente, senza mai risolverlo.
E ci sono una marea di esperti che di informatica non ne capiscono
nulla... anche nei corsi aziendali che ho seguito recentemente
ci sono persone "super esperte" che dicono di quelle cose
assurde (tipo l'hash genera codici univoci... sentito sia
recentemente che qualche anno fa da un esperto di sicurezza. Nel
secondo caso ho dissentito, ma questo ha detto a che a lui non
risultava quello che gli dicevo io, nel primo caso ho evitato,
anche perché il corso era on-line e si poteva solo scrivere e la
docente aveva una preparazione informatica... diciamo approssimativa.

Ciao
Davide

--
La mia privacy non è affar tuo
https://noyb.eu/it
- You do not have my permission to use this email to train an AI -
If you use this to train your AI than you accept to distribute under AGPL
license >= 3.0 all the model trained, all the source you have used to
training your model and all the source of the program that use that model
Reply to: