» »

Je FBI podtaknil stranska vrata v OpenBSD?

Je FBI podtaknil stranska vrata v OpenBSD?

OSNews - OpenBSD je operacijski sistem, ki je znan predvsem po obsedenosti z varnostjo, zato je bil relativno priljubljen kot osnova pri postavljanju varnostnih rešitev, npr. navideznih zasebnih omrežij (VPN) ali požarnih zidov. Vse pa kaže, da kljub najboljšim namenom tudi tu niso bili imuni pred namerno podtaknjenimi varnostnimi pomanjkljivostmi.

Pred približno desetimi leti je Gregory Perry, takrat tehnični direktor organizacije NETSEC, med drugim skrbel tudi za donacije projektu OpenBSD. Kot se je izkazalo, je v tistem času sodeloval tudi s FBI in podpisal sporazum o nerazkrivanju (NDA). Le ta se je po 10 letih iztekel in Gregory se je odločil "očetu" OpenBSD Theu de Raadtu razkriti nekaj zanimivih dejstev. Tako naj bi FBI imel na svojem plačilnem seznamu več razvijalcev, ki naj bi v ogrodje OpenBSD Cryptographic Framework (OCF) namerno podtaknili več stranskih vrat in mehanizmov za uhajanje ključev. Obenem naj bi bilo na plačilnem seznamu FBI nekaj znanih posameznikov, ki so aktivno promovirali rešitve na osnovi OpenBSD. Na koncu sporočila je še pošpekuliral, da je ta zarota verjetno tudi glavni razlog, da je ameriško obrambno ministrstvo nekaj časa finančno podpiralo OpenBSD (podporo so sicer umaknili v začetku leta 2003, ko se je de Raadt javno izrekel proti napadu na Irak, verjetno pa so do takrat že uresničili svoj namen). De Raadt se je v skladu z drugim členom temeljne filozofije svojega projekta, namreč ničesar se naj ne pometa pod preprogo, odločil v celoti objaviti Perryjevo sporočilo in nemudoma ukazal podroben pregled spornih delov izvorne kode.

Ob tem se lahko vprašamo, ali niso tajne službe na podoben način prodrle tudi v ostale odprtokodne projekte, spomnimo se samo, da je NSA sodelovala pri razvoju SELinux. In če bo pri odprtokodnih izdelkih še mogoče dokaj hitro preveriti obstoj teh "bombic" (in po potrebi izdati popravke), se lahko vprašamo, če se kaj podobnega ni dogajalo tudi pri zaprtokodnih rešitvah.

135 komentarjev

«
1
2 3

Blisk ::

To jst že neki časa trdim.

poweroff ::

We told you so.
sudo poweroff

guest #44 ::

To tud meni ni jasno. Open source zadeve so konceptualno zanimve, sam kdo pa ti garantira, da ni kdo kej podtaknu not? A kdo pa gre preverjat celotno kodo opensource zadev? Večina pač slepo zaupa IMO. Sicer pri zaprtokodnih zadevah, še vedno lahko kdo podtakne, ampak s tem podjetje lahko precej najebe če kdo odkrije.

Zgodovina sprememb…

  • spremenilo: guest #44 ()

poweroff ::

Res?

FBI podkupi enega zaposlenega (ali več njih), da vstavi kodo notri. Ali pa sklene "dogovor" s podjetjem.

In kaj se bo zgodilo s podjetjem? Nič.
sudo poweroff

Mavrik ::

poweroff je izjavil:

We told you so.


Hmm... zakaj niso vsevidni opensourcaši tega našli? ;)
The truth is rarely pure and never simple.

ABX ::

Mavrik je izjavil:

poweroff je izjavil:

We told you so.


Hmm... zakaj niso vsevidni opensourcaši tega našli? ;)


But the people who administer those checks are only human.
Once you doubt, you can't stop

Ghost in the Shell
Vaša inštalacija je uspešno spodletela!

guest #44 ::

poweroff je izjavil:

Res?

FBI podkupi enega zaposlenega (ali več njih), da vstavi kodo notri. Ali pa sklene "dogovor" s podjetjem.

In kaj se bo zgodilo s podjetjem? Nič.



Sigurno je več accountability v zaprti kodi. Sej lahko tožiš podjetje/odgovornega , mogoče ne bo s tem propadlo ampak vsaj dobiš kompenzacijo. Definitivno ugled tudi pade. Microsoft je mel tud nekaj cvetk v svojem času, ampak se je obdržal predvsem zato ker ni blo dovolj konkurence IMO. Dobro to je že druga tema.

poweroff ::

Mavrik je izjavil:

Hmm... zakaj niso vsevidni opensourcaši tega našli? ;)

Ker je očitno zadeva nek crypto backdoor. Sicer pa poznamo tudi OpenPGP bug, ki ga 10 let niso našli...

guest #44 je izjavil:

Sigurno je več accountability v zaprti kodi. Sej lahko tožiš podjetje/odgovornega

Lahko navedeš kakšen konkreten primer, ko se je to zgodilo?
sudo poweroff

morbo ::

Torej je tako početje legalno?

Poldi112 ::

Mavrik je izjavil:

poweroff je izjavil:

We told you so.


Hmm... zakaj niso vsevidni opensourcaši tega našli? ;)


Najprej je treba videti, če je sploh bilo kaj za najti.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Manu ::

Zanimivo je videti ta trend "puščanja" informacij, ki bi drugače verjetno ostale prikrite. Thači je mafijec, in zdaj še to.

Ta trend je dober in koristen. Svet je potreben čiščenja ...
:)

Kenpachi ::

se lahko vprašamo, če se kaj podobnega ni dogajalo tudi pri zaprtokodnih rešitvah.


Jah, mal je za počakat, da se vseh 250k kablov releasa. :)
Zaraki Kenpachi.

qwzyx ::

Poldi112 je izjavil:

Mavrik je izjavil:

poweroff je izjavil:

We told you so.


Hmm... zakaj niso vsevidni opensourcaši tega našli? ;)


Najprej je treba videti, če je sploh bilo kaj za najti.

Izjava bivšega FBI agenta.
I was one of the few FBI cyber agents when the coding supposedly happened. Experiment yes. Success No.

poweroff ::

Verodostojno. Twitter.
sudo poweroff

denial ::

@Matthai:
Nič manj verodostojno kot Perryjev email. Mene to spominja na _NSAKEY.
SELECT finger FROM hand WHERE id=3;

Mipe ::

Zakaj me to ne preseneča?

qwzyx ::

NSA je sodelovala tudi pri razvoju Windows 7 in Windows Vista.

denial ::

@qwzyx:
So what? Sodelovala ju tudi pri razvoju SELinuxa. To še nič ne pomeni.

Ko smo že pri vladnih institucijah in izvorni kodi: KLIK (paragraf 55, 56).
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

Okapi ::

In kaj se bo zgodilo s podjetjem? Nič.
Dokler tega ne odkrijejo, seveda nič. Kaj pa, ko odkrijejo? Bi ti kot lastnik podjetja tvegal, da tvojega izdelka, v katerega si vložil veliko denarja, ne bo nikoli več nihče kupoval?

O.

jype ::

Okapi> Bi ti kot lastnik podjetja tvegal, da tvojega izdelka, v katerega si vložil veliko denarja, ne bo nikoli več nihče kupoval?

Počaki na corporate leake in se čudi.

poweroff ::

denial je izjavil:

@Matthai:
Nič manj verodostojno kot Perryjev email. Mene to spominja na _NSAKEY.

Ja, samo Perry je vseeno malo bolj verodostojen kot nek anonimen Twitter user, domnevno agent FBI (po lastnih besedah).

Okapi je izjavil:

Bi ti kot lastnik podjetja tvegal, da tvojega izdelka, v katerega si vložil veliko denarja, ne bo nikoli več nihče kupoval?

Hmm, ja, tako kot se je to zgodilo z Microsoftom, ki je imel leta 2009 remote exploit v Winsih (Conficker)...
sudo poweroff

denial ::

Ja, samo Perry je vseeno malo bolj verodostojen kot nek anonimen Twitter user, domnevno agent FBI (po lastnih besedah).

Ne vidim razloga zakaj bi bil Perry nekoliko bolj kredibilen. Ker je poslal mejl De Raadtu? Ker ga Theo osebno pozna?
Zame sta oba enako (ne)kredibilna. Dokler se ne najde nek konkreten dokaz je vseskupaj le natolcevanje.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

MrStein ::

Okapi je izjavil:

In kaj se bo zgodilo s podjetjem? Nič.
Dokler tega ne odkrijejo, seveda nič. Kaj pa, ko odkrijejo? Bi ti kot lastnik podjetja tvegal, da tvojega izdelka, v katerega si vložil veliko denarja, ne bo nikoli več nihče kupoval?

Zakoni se ne kršijo, zaradi tveganja, da storilca ujamejo in kaznujejo.
Dedek Mraz deli bonbone ob 19-ih, potem pa bo zaplesal z Elvisom.

Vprašaj Hildo, Zidarja & co, kaj so tvegali in zakaj.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Okapi ::

Zakoni se ne kršijo, zaradi tveganja, da storilca ujamejo in kaznujejo.
Vedno daš na tehtnico pluse in minuse. Če te CIA s svojim denarjem reši iz finančnih težav, ali če te izsiljuje s kakšnimi skrivnimi posnetki, ali če ti da res zelo veliko denarja, potem seveda lahko tudi prihodnost podjetja tvegaš.

Podtaknjeni sodelavec je seveda čisto nekaj drugega. To je pravzaprav najpogosteje uporabljana taktika ameriških tajnih služb.

O.

MisterR ::

In znova se pokaže, zakaj je slepo zanašanje na benevolenco kupljenega zaprtega programja in strojne opreme slabo.


In če bo pri odprtokodnih izdelkih še mogoče dokaj hitro preveriti obstoj teh "bombic" (in po potrebi izdati popravke), se lahko vprašamo, če se kaj podobnega ni dogajalo tudi pri zaprtokodnih rešitvah.


Jaz pa sem mislil, da se backdoor v open source programju najde hitro, in ne šele čez 10let oz. ko komu poteče NDA pogodba.

retsom ::

poweroff je izjavil:

Hmm, ja, tako kot se je to zgodilo z Microsoftom, ki je imel leta 2009 remote exploit v Winsih (Conficker)...

Matthai sedaj pa malce bluziš. Conficker je izkoriščal bug, ki ga je Microsoft zakrpal mesec predno se je conficker prvič pojavil, tako da se je conficker širil zgolj zaradi malomarnosti/nevednosti uporabnikov. To, da nimajo samo windowsi sem pa tja kakšne remote code execution ranljivosti pa sigurno veš. Sicer pa tu ne bi o tem.

Ste pa tule s komentarji precej zapluli v vode 24ur.com in podobnih. Dokler mi nekdo konkretno ne pokaže, kje v kodi se nahaja backdoor, zadeva zame prestavlja zgolj in samo neko neosnovano natolcevanje in obrekovanje, ki mu nima smisla posvečati pozornosti.

LP

r0ker ::

Okapi pa kje se ti skrivaš da te ne vkradejo al pa vstrelijo? pa ti ja VSE VEŠ!?

denial ::

OpenBSD backdoor located:
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • zavarovalo slike: poweroff ()

Pyr0Beast ::

Še en razlog da se zapira vse neuporabljene porte ?
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

Poldi112 ::

Niso to windowsi, kjer po defaultu teče preveč procesov :)
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

LuiIII ::

Hm le zakaj se razne vojske in obveščevalne službe trudijo imeti svoje lastne operacijske sisteme za svoje operacijske sisteme?

Icematxyz ::

Zanimiva zadeva, ampak sam bom počakal, da se zadeve začnejo razpletati. Če prav razumem, področje šifriranja in "uhajanje" ključev je v igri in:

nemudoma ukazal podroben pregled spornih delov izvorne kode


Verjamem, da bo zadeva pod drobnogledom podolgem in počez.

Pa tudi, če se je nekdo odločil, da bo razkril takšne zadeve, bo verjetno povedal o tem tudi več. Se pravi če jim je uspelo v praksi kaj doseči ali je šlo le za poskus ali pa je vse skupaj izmišljeno. Zadeva je resna in verjamem, da se bo zadevi želelo priti do dna.

poweroff ::

retsom je izjavil:

Matthai sedaj pa malce bluziš. Conficker je izkoriščal bug, ki ga je Microsoft zakrpal mesec predno se je conficker prvič pojavil

Ja, ampak takrat se je pisalo 21. stoletje. Remote execution bug v 21. stoletju... Kar hočem reči je: koliko tožb je bilo proti Microsoftu zaradi tega?

Aha, hvala.
sudo poweroff

retsom ::

poweroff je izjavil:

... Remote execution bug v 21. stoletju...

Ne kapiram kaj s tem misliš? A da v 21. stoletju ne bi več smelo biti remote execution ranljivosti? Malce poglej semle.

Kar hočem reči je: koliko tožb je bilo proti Microsoftu zaradi tega?

Tu se pa povsem strinjam s tabo. Tako kot še nihče ni šel tožit joomlo, ker mu je nekdo s pomočjo SQL vrivanja pobral celotno bazo strank. Tole s tožarjenjem proizvajalca je bila brca v temo v tej temi.

LP

denial ::

More OpenBSD drama:

Perry's response: KLIK
Wright's response: KLIK
Lowe's response: KLIK
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

Poldi112 ::

LuiIII je izjavil:

Hm le zakaj se razne vojske in obveščevalne službe trudijo imeti svoje lastne operacijske sisteme za svoje operacijske sisteme?


Kaj je to operacijski sistem za operacijski sistem in katerega potem imajo?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Looooooka ::

but but...opensource is so much safer.zomfg!

LuiIII ::

Poldi112 je izjavil:

LuiIII je izjavil:

Hm le zakaj se razne vojske in obveščevalne službe trudijo imeti svoje lastne operacijske sisteme za svoje operacijske sisteme?


Kaj je to operacijski sistem za operacijski sistem in katerega potem imajo?


Samo lapsus seveda.

Poldi112 ::

Ok, potem pa samo povej, kaj uporabljajo, ker mi ni znano, da bi imeli svoje os-e.

Looooooka je izjavil:

but but...opensource is so much safer.zomfg!


Kaj je, kolega, a so se ti od obilice win exploitov skisali možgani?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Zgodovina sprememb…

  • spremenil: Poldi112 ()

Looooooka ::

Ja... Cist so se mi skisali. Zadnjih par let samo se berem o najnovejsih windows exploitih in sploh si ne upam stran od svoje masine :d
mislim, da je prav fino, da se je tole zgodilo. Prepricanje, da je opensource koda varna pred takimi zadevami(ker jo pregleduje tooooliko expertov in ker je vse crc checkano na koncu) se je men ze od nekdaj zdel iz riti potegnjen. Sj lepo, da nekdo nadzira kodo... Ampak kdo nadzira njih?
Na konc dneva se zmer raja ljudi verjame eni skupini, ko ta trdi, da je nekaj varno. Ko eno leto ne bo vec tistih neumnih komentarjev na koncu vsake microsoft/unix novice v kateri bo velecenjeni avtor napisal nekaj cez zaprto kodo in obenem koval odprto v nebo se mi bojo mozgani mogoce odkisali. Ampak dvomim da bo to kmalu. Bom se nekaj casa "kisel".

Zgodovina sprememb…

  • polepsal: Mavrik ()

lukaz ::

Looooooka je izjavil:

Ja...cist so se mi skisali.Zadnjih par let samo se berem o najnovejsih windows exploitih in sploh si ne upam stran od svoje masine :D
Mislim, da je prav fino, da se je tole zgodilo.Prepricanje, da je opensource koda varna pred takimi zadevami(ker jo pregleduje TOOOOLIKO expertov in ker je vse CRC checkano na koncu) se je men ze od nekdaj zdel iz riti potegnjen.Sj lepo, da nekdo nadzira kodo...ampak kdo nadzira njih?
Na konc dneva se zmer raja ljudi verjame eni skupini, ko ta trdi ,da je nekaj varno.Ko eno leto ne bo vec tistih neumnih komentarjev na koncu vsake microsoft/unix novice v kateri bo velecenjeni avtor napisal nekaj cez zaprto kodo in obenem koval odprto v nebo se mi bojo mozgani mogoce odkisali.Ampak dvomim da bo to kmalu.Bom se nekaj casa "kisel".


Najbolje, da si spišeš svoj OS, pa si lohk 100% da ni noben namerno dal lukenj not :)

Pyr0Beast ::

Pa imaš potem HW backdoor.
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

Spock83 ::

Dajte mi nekaj razložit. Se pač ne razmem v open software. A to kdo preverja? Mislim celotno kodo? Je možno, da je ta zadeva ima luknje, jo kakšen nadarjen heker najde (pač ima vpogled v kodo) in izkorišča? Če res obstajajo backdoori in jih še noben ni našel. Potem je tudi velika verjetnost, da so tudi luknje v slabo napisanih delih kode.

Mr.B ::

DA,DA,DA,DA razlika je le ta za pri zaprti kodi imaš "omejeno" število ljudi vpoled, pri odprti pa vsi. Potem je pa zgolj od fetiša in $ odvisno kako se lotiš problema.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

poweroff ::

Looooooka je izjavil:

Sj lepo, da nekdo nadzira kodo... Ampak kdo nadzira njih?
Na konc dneva se zmer raja ljudi verjame eni skupini, ko ta trdi, da je nekaj varno.

Ta argument seveda velja tudi za zaprto kodo, pa saj to najbrž veš, ne?

No, pri odprti je še ena finta. Ne rabiš verjeti eni skupini, ko ta trdi, da je nekaj varno. Lahko preveriš sam.

Ampak pol je pa še ena finta. Noben tega ne počne... ;)
sudo poweroff

Blisk ::

Mavrik je izjavil:

poweroff je izjavil:

We told you so.


Hmm... zakaj niso vsevidni opensourcaši tega našli? ;)



V opensource lahko zadevo pogledaš, v Windowse kjer je 100% ta zadeva noter, tega ne moreš!

Looooooka je izjavil:

Ja... Cist so se mi skisali. Zadnjih par let samo se berem o najnovejsih windows exploitih in sploh si ne upam stran od svoje masine :d
mislim, da je prav fino, da se je tole zgodilo. Prepricanje, da je opensource koda varna pred takimi zadevami(ker jo pregleduje tooooliko expertov in ker je vse crc checkano na koncu) se je men ze od nekdaj zdel iz riti potegnjen. Sj lepo, da nekdo nadzira kodo... Ampak kdo nadzira njih?
Na konc dneva se zmer raja ljudi verjame eni skupini, ko ta trdi, da je nekaj varno. Ko eno leto ne bo vec tistih neumnih komentarjev na koncu vsake microsoft/unix novice v kateri bo velecenjeni avtor napisal nekaj cez zaprto kodo in obenem koval odprto v nebo se mi bojo mozgani mogoce odkisali. Ampak dvomim da bo to kmalu. Bom se nekaj casa "kisel".


Pa ti mogoče veš, da je verjetnost, da je ta zadeva zmontirana v Plačljive programe kot so WINDOWS 1000x večja iz razloga, ker tam ima vpogled samo peščica ljudi in zadevo razvijajo v ameriki, ki itak hoče imeti cel svet pod nadzorom! Kot pa naprimer v open source, kjer lahko vsak preverja kodo, tam je noben ne more zunaj microsofta!

Zgodovina sprememb…

  • spremenil: Blisk ()

Matevžk ::

Seveda je pri kriptografskih postopkih težava, da tudi če pogledaš, najbrž ne vidiš. :) Pogosto je z manjšim matematičnim ali statističnim trikom mogoče narediti algoritem kriptografsko popolnoma neuporaben, a še vedno delujoč (v smislu neokvare podatkov). No, morda sem preveč pesimist in se tudi take "napake" da hitro odkriti z unit testi ...
lp, Matevžk

dëych ::

Osprey ::

Mislim, da bi morali ločit 2 zadevi: za navadne uporabnike odprta koda, kar se tiče varnosti, nima toliko prednosti. Vseeno si upam trditi, da je še zmeraj varnejša od close-source. Največja prednost odprte kode se pa IMHO izkaže pri podjetjih ali ustanovah, ki dejansko morajo poskrbeti za veliko stopnjo varnosti svojih sistemov in tudi imajo zaposlene strokovnjake za to. Oni pa dejansko ne rabijo razvijati programske opreme iz nule, ampak lahko vzamejo open-source rešitev, jo prečekirajo po dolgem in počez, po potrebi kaj popravijo in potem uporabljajo.
«
1
2 3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

OpenBSD praznuje 20 let

Oddelek: Novice / Operacijski sistemi
139435 (6662) opeter
»

Izšel OpenBSD 4.9

Oddelek: Novice / Operacijski sistemi
175634 (4541) Poldi112
»

Je FBI podtaknil stranska vrata v OpenBSD? (strani: 1 2 3 )

Oddelek: Novice / Varnost
13533820 (28769) antonija
»

OpenBSD 3.9

Oddelek: Novice / Ostala programska oprema
194067 (2817) nejc_
»

OpenBSD 3.5

Oddelek: Novice / --Nerazporejeno--
92668 (2668) Road Runner

Več podobnih tem