spaventosa situazione con android, Re: [Soci SLIP] Il rapporto Juniper [Era: spaventosa situazione con android]

[Lucio Crusca]

> E fare un passettino avanti? 

Facciamo così, di passi avanti facciamone due, o meglio, facciamo tutti quelli 
che servono per arrivare al traguardo. Credo che la nostra reciproca posizione 
sia stata ben rappresentata con tutti questi messaggi, quindi non sto più a 
risponderti sulle parti che non condivido.

Ti rispondo solo alle cose che mi hai chiesto e che richiedono una spiegazione 
tecnica, il resto credo che sia inutile ripeterlo.

> No, scusa. Fammi capire. Se io non uso le applicazioni disponibili
> tramite il market, non ho il kill switch NE' google ha alcun modo di
> mettersi a far qualcosa sul mio dispositivo? In nessun modo, per nessuna
> ragione? Uhm...

Non deve esserci l'applicazione Market installata e a quel punto sì, non hai 
il kill switch (almeno questo è quanto ho capito stando alla documentazione 
che ho trovato, personalmente non ho fatto la prova perché non ho tempo di 
disinstallare il market, sniffarmi il traffico di rete, etc... etc... mi sembra 
comunque ragionevole che sia così, visto che, Market ed altre app di Google a 
parte, il resto di Android come distribuito da Google è software libero, 
ovvero Linux e Java).

> Ma un utente potrebbe rinunciare al market? Ha senso? Chiedo perche' non
> so. 

Pensa al Market come ad un repository di software. Se preferisci puoi usare un 
repo diverso (che non è un mirror del Market, ma ha proprio contenuti 
diversi). Io per esempio ho anche le app per accedere al repo di Samsung  ed 
al repo di 3, che non so più come si chiamano perché non le ho mai usate. 
Resta ovviamente da chiedersi se non si stia cadendo dalla padella alla brace. 

> Se l'utente e' comunque costretto ad usare il market per far
> qualsiasi cosa sensata, perche' e' li' che ci sono le applicazioni,

Dipende dalla tipologia di utente. Il telefono può fare il telefono anche 
senza Market. Se però vuoi sincronizzare l'agenda con quella online di Google 
sei costretto ad usare il Market. Se invece vuoi installare software di terze 
parti (non Google intendo), beh, dipende se tale software viene distribuito 
anche fuori dal Market oppure no. In ogni caso per chiamare, ricevere e usare 
SMS/MMS il Market non serve.

> E poi, ripeto, se non e' il kill switch (e ci mancherebbe ancora che
> google avesse il diritto di disattivare le applicazioni di altri, magari
> la mia, che mi faccio da me) siamo sicuri che non ci siano altri
> meccanismi di penetrazione indebita?

Come dicevo, Android alla base è software libero, quindi direi che non ha 
altre backdoors. Di app non libere che aprono backdoors ce ne possono essere a 
migliaia, ma sono da installare a parte. Può essere che il kill switch sia 
implementato in una qualche altra app di Google distribuita di default da 
Google oltre al Market, ma una volta tolte tutte le app di Google direi che si 
può stare ragionevolmente tranquilli.

> Comunque, io non discuto se e' piu' pericoloso un virus o un trojan, so
> solo che con un virus e il corrispondente antivirus che lo rileva su un
> pc su cui sono sicura non ci sia un trojan mi sento relativamente
> tranquilla, con un trojan no, raso tutto a zero e riinstallo.

Non dovresti sentirti tranquilla, il virus può fare tutto quello che può fare 
un trojan, compreso agire come root, installare altri malware, aprire 
backdoors, sostituire le form di login etc...

> A me pare che ci si arrampichi un pochino sui vetri. Il virus, come ci
> arriva sul pc? Magari perche' l'utente clicca su quel bel video
> craccato? 

Non necessariamente. Ci sono vari altri modi, Phrack Magazine 
(http://www.phrack.com) in questo caso è una lettura molto istruttiva.

> Resta comunque il fatto che un trojan, se vuole, apre la porta
> del retro a tutti i virus di questo mondo.

Sì, ma anche il contrario, ovvero anche un virus può tranquillamente aprire la 
porta a tutti i malware di questo mondo.
Forse però non ci stiamo solo capendo sulla terminologia, perché a seconda di 
dove lo leggi, alcuni classificano i "virus" come quelli che si riproducono ma 
non comunicano in rete mentre altri li classificano come quelli che sono in 
grado di autoriprodursi ed infettare altri sistemi con vari mezzi, fra cui 
anche la rete.

> Se richiede solo la registrazione e' in pubblico dominio. 

In generale questa assunzione è pericolosa. Nel caso specifico al fondo di ogni 
pagina c'è scritto "Copyright © 2011, Juniper Networks, Inc.".

> Mandarlo a me in privato, poi, non mi pare che equivalga a diffonderlo.
> Ci sta con il fair use.

No non ci sta. Con il fair use ci sta qualche citazione come ho fatto.

> Vorrei leggerlo tutto. Scusa, ma mi fido solo di quel che leggo con i
> miei occhietti seppur malandati. Tu magari non ci dici tutto, ma solo
> quello che piace a te e serve alla tua causa, che maligna :) Me lo
> mandi? Che ti costa?

Infrangere il copyright! A te cosa costa registrarti e scaricartelo? Non puoi 
mettere un filtro sulla tua casella di email così qualsiasi cosa ti arrivi da 
loro va direttamente nel cestino?

>> > Io lo trovo allucinante. I certificati, che per buona norma dovrebbero
>> > essere autenticati da una certification authority, vengono invece
>> usati
>> > solo per distinguere un autore dall'altro. Piu' diseducativo di cosi'
>> > non so cosa si possa inventare. Cosi' se c'era ancora un utente in
>> giro
>> > e un browser configurato come si deve per avvertire che ci si trovava
>> di
>> > fronte a qualcosa di potenzialmente insicuro e da verificare,
>> > quell'ultimo saggio ce lo perdiamo. E adesso non mi dire che questo e'
>> > necessario per il bene dell'open source. Ci sono altre vie, senza
>> > togliere significato ai certificati di sicurezza.
>>
>> Con tutto l'impegno, non capisco di cosa stai parlando.
> 
> Fammi una domanda piu' precisa. Non capisci cosa, in particolare? A me
> sembra chiaro, quello che ho scritto, ma forse non lo e'.

Non capisco in che senso dici che i certificati non sono autenticati. È Google 
che li autentica. È vero che gli sviluppatori creano un certificato digitale 
autofirmato, ma poi pubblicando la app abbinano quel certificato al loro account 
Google, quindi è solo un modo tecnicamente diverso dal PKI per Google di 
autenticare i certificati.

> Non mi spieghi cos'e', percio' non capisco. La backdoor e' installata
> dove? Non da chi, dove? E cos'e'? E perche' non potrebbe essere violata?

Nel caso specifico la backdoor non è una porta di rete aperta. È l'applicazione 
Market che, attraverso il protocollo GTalk, chiede periodicamente al server 
Google, via HTTPS, se deve installare o rimuovere qualcosa in modo automatico, 
ovvero senza chiedere conferma all'utente. Se il server Google risponde "Sì, 
rimuovi DroidDream", l'applicazione Market lo fa.

> E perche' non potrebbe essere craccato il server di google? Hanno
> craccato quello di debian, per dirne una, lasciamo pure stare i 77
> milioni di utenti sony, se vuoi. E da dove ci dovrebbero venire queste
> certezze infinite?

Certo che è possibile, non metto mica in dubbio. Dico solo che è diversa da 
una backdoor che ti installa un trojan, la quale è aperta per chiunque.

> 
> Sto dicendo che se il meccanismo c'e', e' un problema per la privacy e
> per la sicurezza. Tu vuoi proprio insistere che non lo e', disquisendo
> se spaccare il capello in due oppure in quattro? (cosa peraltro
> anch'essa utile, a modo suo)

Veramente no, stavo solo spiegando la differenza fra le due backdoor. Pura 
spiegazione tecnica che mi hai chiesto tu ("Non credo di confondermi ma, se e' 
cosi', correggi").

> come farebbe mai a proteggersi da se'? Corre dietro a tutti gli
> sviluppatori di tutte le applicazioni sperando che sappiano cosa sia la
> sicurezza e se ne occupino al posto suo, per il suo specifico
> dispositivo? Se volessi esser pestifera, ti ricorderei che ci hai appena
> detto di averla sviluppata tu, un'applicazione non sicura. E tu non sei
> certo il peggiore che abbiamo.

Dicevo anche che la mia app legge un'agenda pubblica (nessun dato personale) 
che è disponibile anche attraverso RSS. L'avevo solo portata come esempio per 
dire è possibile e semplice per terzi fare app non sicure con il protocollo di 
comunicazione Google.

> Io non sono un tecnico, parla per te :)
> 
> Non c'e' nulla di male, ad aver le idee confuse. 

Di ciò non davo mica la colpa ai curiosi, la davo a me stesso!