Discussione Articolo Chiude Porchetta Industries! Qual è il futuro di CrackMapExec?

Stato
Discussione chiusa ad ulteriori risposte.

0xbro

Super Moderatore
24 Febbraio 2017
4,461
179
3,763
1,825
Ultima modifica:
Dal 30 Settembre chiude Porchetta Industries, una delle principali risorse per lo sviluppo e il supporto di tool open-source in ambito sicurezza informatica. Qual è il futuro dei tools da loro supportati?​
176895328-f7db8421-4dee-469c-8e1e-ae5c377756b8.png

Chiude Porchetta Industries! Qual è il futuro di CrackMapExec?​





1    L'annuncio su Discord

Per chi non conoscesse Porchetta Industries, si tratta di una delle principali risorse (tra l'altro italiana) per il supporto e lo sviluppo di strumenti open-source da utilizzare in ambito sicurezza informatica. Tra i vari tools supportati da Porchetta c'era anche il famoso CrackMapExec; c'era perchè appunto dal 30 Settembre Porchetta cesserà la propria attività, così come annunciato sul server Discord ufficiale.​

1695641499755.png
"Porchetta sospenderà tutte le operazioni entro il 30 settembre e questo server discord sarà cancellato. Se siete abbonati dovreste aver già ricevuto il rimborso o lo riceverete entro la fine del mese prossimo. Apprezziamo il supporto che ci avete dimostrato."​

I motivi per cui il progetto chiude sono stati chiariti da byt3bl33d3r in un messaggio successivo all'annuncio, ed hanno a che fare con discussioni interne al team (che non andremo ad approfondire) e la perdita di fiducia nei progetti OSS da parte del fondatore di Porchetta:​

1695641753501.png

"Stiamo sospendendo le operazioni per alcune ragioni:

1. Dopo una serie di strane interazioni con diversi membri della "comunità", culminate con una discussione con le persone che hanno deciso di creare un fork ostile di CME, ho personalmente perso ogni desiderio di continuare a lavorare con l'open source. Non lo trovo più divertente e sono particolarmente stanco di avere a che fare con le persone dello spazio open source.

2. Mi sembra abbastanza chiaro che molti degli stessi sviluppatori open source non considerano prezioso quello che stiamo facendo qui e preferiscono l'attenzione che un progetto OSS dà loro rispetto ai soldi reali. La sostenibilità non sembra essere qualcosa a cui la maggior parte di loro è interessata o almeno non è impegnata ad agire concretamente su questo tema.

Ci sono altre ragioni e potrei continuare, ma queste sono le principali.

Per quanto riguarda il futuro di CME, probabilmente ne realizzerò una versione completamente commerciale, perché in qualche modo è più accettabile per tutti. Potrebbe esserci un'edizione comunitaria che sarà open source, ma non ho idea di come potrebbe essere. Non c'è una data di scadenza per tutto questo."​

2    I dubbi della community

La principale preoccupazione della community ora è rivolta alla fine che faranno i vari tools supportati da Porchetta, tra cui il rinomato CrackMapExec - strumento fondamentale per l'analisi e l'attacco in ambiente Active Directory - ma anche altri, come Chameleon, Inceptor, ecc.​

1695642165581.png

Questa la risposta da parte di Porchetta:
"The respective owners of the private tools on porchettas git will decide what to do with them if anything at all"

Insomma, i rispettivi developers avranno modo di decidere cosa fare dei loro strumenti. Questo, però, fa sorgere un grosso interrogativo: saranno disposti ad aggiornare e mantenere i loro software senza più ricevere sostegni economici da parte di qualcuno? Oppure ci troviamo al capolinea dello sviluppo della maggior parte di essi?​

2.1    Il futuro di CrackMapExec

Per quanto riguarda CrackMapExec, il tool per cui la community è maggiormente preoccupata, è da un paio di settimane che è in corso una discussione su GitHub, in cui si discute se rendere CME un progetto closed-source oppure scegliere un differente modello di business. La discussione la trovate al link sottostante, assieme al commento-chiave da parte del maintainer:​

Premetto questo lungo commento con il fatto che non è assolutamente sostenibile per me mantenere questo progetto gratuitamente.

Ho scelto specificamente il modello sponsorware qualche anno dopo aver creato CME perché è un buon compromesso:

- Mi permette di essere compensato per i miei sforzi, cosa che ritengo più che giusta considerando la quantità di organizzazioni e consulenti che utilizzano questo strumento.
- Mi permette di condividere tutti gli aggiornamenti e le nuove funzionalità con la comunità open source, anche se con un certo ritardo (che onestamente non credo sia un grosso problema, soprattutto perché lo si usa gratuitamente).

Sono più che disposto a rendere CME completamente open source senza questo modello se questo è ciò che la comunità vuole veramente. Tuttavia vedo solo due opzioni per farlo:
1. Mantenere e aggiornare CME dovrebbe diventare il mio lavoro a tempo pieno, il che significa che dovrei essere pagato per farlo (e pagato bene, dato che attualmente sono nella zona di Los Angeles, dove il solo respirare sembra costare 50$).
2. Regalo completamente CME alla comunità e inizio a cercare attivamente dei manutentori che siano disposti a mantenere e aggiornare questo strumento gratuitamente fino alla fine dei tempi.

(Entrambe le opzioni comporterebbero la chiusura di Porchetta Industries (cosa effettivamente avvenuta, ndr.), dato che CME è il motore principale delle entrate che finanziano l'azienda e gli altri progetti open source che supportiamo).​

Insomma, si presenta un futuro molto incerto per uno degli strumenti maggiormente apprezzati dalla community, e al contempo si ri-apre (per l'ennesima volta) il dibattito sulla fattibilità e sui valori che circondano il mondo open-source.

3    Conclusioni

Voi cosa ne pensate?
Quale sarebbe, secondo voi, la strada migliore da intraprendere in questo caso?
E' giusto che grandi big-tech lucrino sui progetti open source mentre i singoli developers non ricevono un soldo per il tempo da loro dedicato?
Il software open source è, effettivamente, una realtà sostenibile?

Mentre riflettete su queste domande vi lascio con una sola, triste, certezza: il 30 settembre chiude Porchetta Industries, una bellissima realtà dagli altrettanti bellissimi valori che, purtroppo, non ce l'ha fatta.


Made with ❤ for Inforge

 
Anche se non conoscevo Porchetta industries è davvero un peccato, oltretutto è un progetto italiano...
Darò un'occhiata al tool CrackMap che deve essere interessante.

E' giusto che grandi big-tech lucrino sui progetti open source mentre i singoli developers non ricevono un soldo per il tempo da loro dedicato?
direi proprio di no!
 
Stato
Discussione chiusa ad ulteriori risposte.