Рейтинг темы:
  • 0 Голос(ов) - 0 в среднем
  • 1
  • 2
  • 3
  • 4
  • 5
Безопасность открытого ПО - миф?
#1
Безопасность открытого ПО - миф?

ФБР заподозрили в помещении бэкдора в IPSEC-стек OpenBSD

Тэо де Раадт (Theo de Raadt), лидер проекта OpenBSD, опубликовал в списке рассылки тревожное сообщение, в котором опубликовал письмо, свидетельствующее о том, что некоторые разработчики проекта, принимавшие участие в разработке IPSEC-стека OpenBSD на ранней стадии его развития, приняли от правительства США денежное вознаграждение за интеграцию в IPSEC-стек кода бэкдора.

Информация раскрыта Грегори Пири (Gregory Perry), бывшим техническим директором компании NETSEC, занимавшимся в 2000-2001 годах развитием поддержки шифрования в OpenBSD и работавшим совместно с ФБР над рядом проектов. Во время работы с ФБР Пири дал подписку о неразглашении информации в течение 10 лет, поэтому вынужден сообщить имеющие у него сведения только сейчас. По утверждению Пири, у него имеется информация, что ФБР профинансировало работу по интеграции в IPSEC-стек OpenBSD техники, приводящей в определенных обстоятельствах к утечке ключей шифрования и возможности мониторинга трафика внутри шифрованных VPN-соединений.

В письме также выдвигаются предположения о том, что агентство по оборонным разработкам DARPA прекратило финансирование OpenBSD после того, как по внутренним каналам была получена информация о внедрении бэкдора. Также подозрение вызывает активная позиция ФБР в плане продвижения использования OpenBSD для создания VPN и межсетевых экранов.

Пока не ясно, удалось ли на самом деле внедрить бэкдор и работоспособен ли он в настоящее время. Пири сообщил, какой именно разработчик OpenBSD занимался внедрением бэкдора и порекомендовал провести аудит коммитов данного человека. С момента первого выпуска IPSEC-стека от проекта OpenBSD прошло более 10 лет, с тех пор код был подвергнут многочисленным изменениям, поэтому степень опасности можно определить только после проведения полного аудита. Вызывает опасение также то, что некоторые большие части кода IPSEC от OpenBSD были заимствованы в других открытых проектах и проприетарных продуктах.

Дополнение 1: Джейсон Райт (Jason Wright), которому вменялось добавление бэкдора, принял участие в дискуссии, полностью отвергнув все высказанные в его адрес обвинения и выразив недоумение по поводу столь лживого заявления в его адрес. По словам Джейсона, он работал в основном над кодом поддержки crypto-фреймворка в драйверах устройств и не касался кода, связанного с обработкой ключей шифрования (процессы isakmpd и photurisd). Он внес несколько улучшений в код IPSEC (cryptodev и cryptosoft), но эти изменения были безобидны, в чем может убедиться любой желающий, просмотрев список его коммитов. Что касается обвинения Грегори Пири, то Джейсон Райт требует принести ему публичные извинения.

Дополнение 3: Один из разработчиков FreeBSD утверждает, что если информация о бэкдоре верна, то она затрагивает и ОС FreeBSD, поддержка IPSEC в которой была заимствована из OpenBSD. Большинство экспертов склоняются к мысли, что заявление является провокацией. Если все же информация подтвердится, то вероятно и в Linux следует искать бэкдор, так как код многих криптоподсистем данной ОС создан при непосредственном участии Агентства национальной безопасности США.


Дополнение 4: Фигурирующий в письме Скот Лоу (Scott Lowe) также отверг заявление об его сотрудничестве с ФБР, более того он отметил, что не написал ни одной строчки кода для OpenBSD, все его участие в проекте сводилось к продвижению решений на базе OpenBSD.

Источник
Ответ
#2
Более десяти лет назад их пиндосская фбр столкнулась с проблемой - криптосистема линукса оказалась им не по зубам...  События тех лет чуть было не привели к запрету на использование линукса. Пиндосы - они и есть пиндосы, они могут и дышать запретить - дерьмократия же, а не х. собачий.
Проблема заключалась в том, что фбр-овцы не смогли дешифровать зашифрованный раздел хоум, на винте, на котором, по их "сведениям", содержались материалы "экстремистского характера". С тех пор, видимо, они спят и видят, как берут под "крылышко"  петуха своего говнофлага весь опенсорсный мир.
  Тут есть один нюанс, сделать с которым они ничего не могут.  дело в том, что реальный программист, для которого линукс - рабочая машина, он скомпилирует лично для себя свою систему, сам соберет, исключив все, что покажется ему ненадежным, и тогда доступа к нему у пиндосов не будет.
А способов передачи и криптования данных, и кроме впн достаточно.

Надо, как говорится, и на бога надеятся, и самим не робеть - не надо доверять полностью ни системам криптования, ни открытому коду, ни чему еще другому, сделанному другими. Всегда использовать несколько ступеней защиты. (если что-то действительно серьезное).

Если, например, передавать данные по шифрованному каналу впн, предварительно уже зашифрованные, то это сильно затруднит ребятам из конторы работу. А если к тому же, информация устаревает через день-два, например о проведении акции, месте и времени - то понятно, что проблем точно не будет. На вскрытие время нужно...
Ответ
#3
Сама концепция такого подхода глупа, главная цель всех червей это 1. Перехват трафика 2. Мониторинг действий пользователя на Пк 3.Определение его ip по данным переданным через закладку или троя., но все это обес смысмысливетеся если  использовать проксифицированую виртуальную  машину. Поскольку в этом случае червь сможет передать только ip  левого прокси и все. если настроить  все нормально и закрыть все лишние порты то и вообще ничего никуда не уйдет. А что касается данного случая то такая вероятность есть, так как ось малораспространенная и соответственно мало людей проверяли ее код. Смысл открытого По не только втом что оно открытое, а в том что 1. код ясен 2. к коду идет нормальная документация 3. программа широко распространенная и много кодеров смотрели и проверяли код  4.Программа имеет ключ подтверждающий ее подлинность при скачивании.
  А этим параметрам не так много По отвечает с открытыми исходниками.  Исходники винды тоже есть у многих, но кто в состоянии перерыть столько кода ? проверить все ходы, это нужно несколько лет работы коллектива независимых программистов, то бишь несколько десятков миллионов долларов.
Ответ


Перейти к форуму:


Пользователи, просматривающие эту тему: 1 Гость(ей)