Per rispondere a mtt sulla questione dipendenti, io posso solo dirti che so che ci sono persone che fanno per lavoro questo genere di cose: persone che sono pagate per avere identità false tenute su anche per 5-6 anni se non oltre, infiltrarsi in aziende medie e grandi, e finito il task migrano in altri posti e ricominciano con altri target.
Non è roba da film o 007, ma esistono, è un mercato anche questo, non dovremmo stupircene, non mi pare che qui siamo un consesso di verginelle.
Backdoor di un certo livello possono essere inserite anche in grandi produzioni, di sicuro non devono lavorare di social engineering come hanno fatto con xz, ma di certo hanno difficoltà tecniche maggiori, ma non insormontabili, ogni processo, una volta conosciuto a fondo, dall’interno, può essere bucato.
Come ti hanno fatto notare altri, per la natura stessa di una produzione closed source, all’esterno non si potrà mai verificare perchè manca la trasparenza, e l’unico strumento che ti rimane è la “fiducia” nel brand… oppure c’è solo da sperare che i processi interni di sicurezza siano sufficienti.
auguri
E non è roba che possiamo trovare centinaia di link in giro che te lo spiegano, capisci che sono cose che vengono tenute riservate ovviamente, e altrettanto ovviamente non è roba che è diffusa (oppure si, e chi cazzo lo sa, non puoi verificare!)
E’ anche il motivo per cui la cybersecurity sta diventando molto più complessa e si comincia da diversi anni a valutare altri parametri (vedi score dei dipendenti, con indagini anche approfondite nel passato e familiari).
Ad ogni modo, per concludere sul confronto che si stava facendo fra closed e open source su questi temi, personalmente preferisco rischiare ma avere trasparenza che fidarmi di qualcuno che in fin dei conti mi vede solo come una vacca da mungere.