The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Новое заявление о бэкдоре в OpenBSD укрепило уверенность, что это лишь домыслы

15.01.2012 10:05

Спустя год с момента публикации заявления об инициативе ФБР по внедрению в IPSEC-стек OpenBSD кода бэкдора, Грегори Пири (Gregory Perry) вновь поднял эту тему и опубликовал дополнительные данные. Напомним, что детальный аудит коммитов, проведённый разработчиками OpenBSD, не выявил никаких фактов, свидетельствующих о попытках внедрения бэкдора, а упомянутые Пири разработчики отвергли высказанные в их адрес обвинения (Скот Лоу указал на то, что он вообще не участвовал в разработке OpenBSD, создавая только производные продукты, а Джейсон Райт отправил за время участия в проекте лишь несколько крохотных патчей к IPSec, которые может проанализировать любой желающий).

В итоге был сделан вывод, что прямых доказательств внедрения бэкдора в OpenBSD не представлено, а в коде не найдено никаких подозрительных участков, поэтому скорее всего опубликованная Пири информация касалась не непосредственно кода OpenBSD, а какого-то стороннего продукта, базирующегося на OpenBSD. В ответ Пири сообщил, что он не уверен, что ФБР санкционировало внедрение бэкдора и пообещал представить дополнительную информацию, собрав только достоверные факты.

Опубликованные несколько дней назад обновлённые данные только укрепили уверенность в том, что бэкдор в OpenBSD не более чем домыслы. В письме Пири опять фигурируют только косвенные данные, прямых доказательств так и не представлено. Более того, Пири, оправдывая свою позицию, теперь пытается свести проблему к уязвимости в алгоритме RSA, которая в изначальном заявлении не упоминалась и слабо коррелирует с первоначальной информацией о бэкдоре в OpenBSD.

  1. Главная ссылка к новости (http://cryptome.org/2012/01/00...)
  2. OpenNews: ФБР заподозрили в помещении бэкдора в IPSEC-стек OpenBSD
  3. OpenNews: Пресечена попытка помещения "Back Door" в Linux ядро
  4. OpenNews: О возможности создания и внедрения аппаратного бэкдора
  5. OpenNews: Поверхностный аудит OpenBSD пока не выявил наличие бэкдора
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/32809-openbsd
Ключевые слова: openbsd, ipsec, security, backdoor
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (30) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, б.б. (?), 10:56, 15/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    > Новое заявление о бэкдоре в OpenBSD укрепило уверенность

    Чью уверенность?

    Если бы я был спецслужбой, то я именно так и гасил бы утечки - дискредитацией огласившего. Отправил бы его бекать и мекать, чтобы аудитория поверила, что он полный дебил.

     
     
  • 2.6, Аноним (-), 14:21, 15/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А вполне может быть. Выставить сливающего неудобные факты идиотом - и как раз никто не будет искать бэкдор и быстро забьет на все это. Тем более что бэкдор может быть неочевидным, типа = вместо == или еще что-нибудь веселое.
     
     
  • 3.13, simpler (?), 16:40, 15/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Это лишний раз доказывает, что чем более система сложна, тем менее адекватна ее формальная якобы свобода и якобы открытость. И остается полагаться лишь на чью-то "уверенность", а не на факты.

    Если уж аудит кода затруднен в одной из наиболее простых ОСей, то что говорить о более сложных ОСях.

    Исли вспомнить историю этого инцидента, внимание к этому вопросу привлек сам Тео. Видимо его мотиватия как раз и была - привлечь внимание сообщества к проблеме неконтролируемого нарастания сложности открытых проектов.

     
     
  • 4.14, simpler (?), 16:50, 15/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Если уж аудит кода затруднен в одной из наиболее простых ОСей, то что говорить о более сложных ОСях.

    Правильнее было сказать разумеется - более простая, не наиболее простая. Есть ОСи гораздо проще.

     
  • 4.27, Аноним (-), 14:28, 16/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Это лишний раз доказывает, что чем более система сложна, тем менее адекватна
    > ее формальная якобы свобода и якобы открытость.

    IPSEc слишком навороченный и задрюченный протокол, это недостаток протокола вообще, а не операционок его реализующих. Там такой мегамонстр понавернут что надежно его проаудитить - тот еще геморрой. Тем не менее, при открытых исходниках к аудиту может подпрячься кто угодно из тех кто разбирается в вопросе. В случае закрытых блобов - нам предлагается верить индусам и их шефам на слово? Хаха, так не пойдет. В криптографии так не принято.

     
     
  • 5.29, simpler (?), 18:53, 16/01/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Это лишний раз доказывает, что чем более система сложна, тем менее адекватна ее формальная якобы свобода и якобы открытость.
    > IPSEc слишком навороченный и задрюченный протокол, это недостаток протокола вообще, а не операционок его реализующих.

    Понятно. Вы считаете, что проблема сложности не в самих операционках, а в том из чего они состоят. Интересный ход мысли.

    На самом деле я говорил об ОСях, только в контексте темы. Это не только проблема ОСей, это проблема всего софта и даже "железа", как только его разработчиками становится слишком много людей под предлогом открытости и всеобщей полезности.

    "Закрытость" возникает неожиданно, когда внезапно выясняется, что никто из разработчиков не в состоянии понять, что внутри проектов происходит.

    Хотя решение как правило находится в модульном проектировании и в старом добром принципе UNIX, когда каждый компонент выполняет ровно одну функцию, может быть использован отдельно или легко заменен другим компонентом. А также регулярный рефакторинг и чистка кода, с целью его упрощения и сокращения, повыщения качества, а не количества. И без профанации на тему какое большое количество функций и фич содержится в проекте.

    Видимо Тео - один из немногих, кто это понимает, если поднял проблему на примере возглавляемой им же системы.

     
     
  • 6.31, Аноним (-), 19:53, 16/01/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, кому сильно надо, тот с большой долей вероятности найдет вредноносныей код, к счастью для этого не надо лопатить все 15 000 000 строк кода.

    А так, да, если что софтом лучше вообще не пользоватся, жить себе в пустине или с какими нибуть сыроедами счасливо ждать смерти.

     
     
  • 7.32, simpler (?), 01:23, 17/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну, кому сильно надо, тот с большой долей вероятности найдет вредноносныей код, к счастью для этого не надо лопатить все 15 000 000 строк кода.
    >
    > А так, да, если что софтом лучше вообще не пользоватся, жить себе в пустине или с какими нибуть сыроедами счасливо ждать смерти.

    Так рассуждают когда не умеют ни делать качественные вещи, ни выбирать.
    Кто не умеют, обычно еще упирают на большое количество функции и большие сообщества таких же как они сами, и популярность среди них.

    Не обязательно уметь делать самому, достаточно уметь выбирать и отличать.

     

  • 1.2, Аноним (-), 12:09, 15/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    ложечки нашлись, а осадок остался
     
  • 1.4, Аноним (-), 12:56, 15/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
      Неизвестно кто (и от чьего имени) и что пообещал и кто позже (и от чьего имени) и что написал насчет RSA. Но (судя по сообщению) есть только факты попыткы дискредитации позиции Грегори Пири. Утверждать что это подстава - ровно так же глупо как и утверждать что это правда.
     
  • 1.5, Аноним (-), 14:21, 15/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Может быть это попытка привлечь общественность для того, что бы многие поняли, что по определению открытое ПО безопаснее так как есть возможность ознакомится с исходным кодом, а не смотря на все уверения закрытое ПО по определению не может быть безопасным.
     
     
  • 2.7, Аноним (-), 14:22, 15/01/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Может быть это попытка привлечь общественность для того, что бы многие поняли,
    > что по определению открытое ПО безопаснее так как есть возможность ознакомится
    > с исходным кодом, а не смотря на все уверения закрытое ПО
    > по определению не может быть безопасным.

    Попытка пиара OpenBSD? Хм :)

     

  • 1.10, Михрютка (?), 15:40, 15/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >4) One of the investors in Premenos was a fellow by the name of Ross Pirasteh, who was either the Prime Minister of Finance for the Shah of Iran or actually the Shah of Iran himself.  As the story goes, Ross and his family were snuck out of Iran rolled up in Persian rugs just prior to or during the 1979 revolution headed by Ayatollah Ruhollah Khomeini; once Ross and his family emigrated to the United States, the FBI gave him and his family new identities for obvious reasons.

    Прекрасно же. Где он берет такую забористую траву?

     
  • 1.12, XoRe (ok), 15:59, 15/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Факты подтверждают, что бекдора нет.
    Но они ничего не говорят о том, были ли попытки.
     
  • 1.17, Аноним (-), 17:37, 15/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Думается, что ещё при первом упоминании, те, кому было интересно именно наличие бэкдора, а не позиция кого бы то ни было по этому вопросу, уже почитали исходники еще разок.
     
  • 1.19, fork (??), 19:16, 15/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Маска – это функциональный комплекс, возникающий для удовлетворения потребности в адаптации или для обеспечения некоторых других удобств, но отнюдь не идентичный личности как таковой.
    К.Г. Юнг

    Для чёрного пиара ценнейшее средство.

     
  • 1.21, Аноним (-), 20:45, 15/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >детальный аудит коммитов, проведённый разработчиками OpenBSD, не выявил никаких фактов, свидетельствующих о попытках внедрения бэкдора

    Кто-то реально полагает, что бэкдоры будут внедрять способом, который можно обнаружить?

     
     
  • 2.24, Fyjybv (?), 07:02, 16/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Для начала хотя бы обнаружте, что OpenBSD собирается из исходных текстов и никак иначе )
     
  • 2.25, Клыкастый2 (?), 13:23, 16/01/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    "суслика видишь?"
    "нет"
    "и я - нет. а он - ЕСТЬ!"
     

  • 1.22, evgeny_t (ok), 01:31, 16/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    да всё всем ясно
    хочешь спать спокойно имей свой ssh со стюардесами
     
  • 1.23, evgeny_t (ok), 01:35, 16/01/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ФБР постаралось ? )
    как то так получается
    1) ФБР никогда не вносит бэкдор в OpenBSD
    2) если ФБР вносит бэкдор, смотри правило 1)
     
     
  • 2.26, Клыкастый2 (?), 13:25, 16/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > ФБР постаралось ? )
    > как то так получается
    > 1) ФБР никогда не вносит бэкдор в OpenBSD
    > 2) если ФБР вносит бэкдор, смотри правило 1)

    получается так.
    кто-то пустил слух. слух не подтвердился, но конспирогнутые хомячки уже никогда не успокоятся. теперь можно пускать слух про FreeBSD, ядро Linux и Android.


     
     
  • 3.28, AdVv (ok), 18:27, 16/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А что , здравый смысл не подсказывает,что из огромного стада разработчиков с большой вероятностью присутствует паршивая овца ? Подход найти можно всегда, неважно будет это крупная сумма, смазливая девица или патриотический бред. Да я думаю их там не одна и не две. При объеме кода в одном тлько ядре в 15000000 строк https://www.opennet.ru/opennews/art.shtml?num=32816 шансы обнаружить внедренный спецом бэкдор стремяться к нулю. Тем более что-то доказать потом проблематично, всегда можно скахать "Ой! Какая неочевидная ошибка, я видимо плохо выспался в ту ночь...".
    Да, я понимаю что не все 15кк отвечают за критически важные с точки зрения безопасности процессы, но объем кода для аудит все равно огромен. Можно уверенно сказать, что спецслужбы позаботились о закладке, так, на всякий пожарный случай. В случае с любым достаточно крупным продуктом это не так уж и сложно, особенно это касается OpenSource. Так что суслик есть. И в Windos, и в *BSD, и уж тем более в Linux.
     
     
  • 4.30, Клыкастый2 (?), 19:34, 16/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А что , здравый смысл не подсказывает,что из огромного стада разработчиков с
    > большой вероятностью присутствует паршивая овца ? Подход найти можно всегда, неважно
    > будет это крупная сумма, смазливая девица или патриотический бред.

    Я не знаю, где вы приобретали смысл и кто вам продал его как здравый. Здравый смыслм удерживает от домыслов. У вас они фонтанируют, как у заштатного конспиролога.


    > Можно уверенно сказать, что спецслужбы позаботились о закладке,

    На основании чего?


    > так, на всякий пожарный случай. В случае с любым достаточно крупным продуктом это не так уж и сложно, особенно это касается OpenSource. Так что суслик есть. И в Windos, и в *BSD, и уж тем более в Linux.

    Мой здравый смысл говорит что со спецслужбами вы плотно не общались, информацию черпаете из кино и статеек "пострадавших от спецслужб".


     
     
  • 5.33, AdVv (ok), 14:46, 17/01/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это не я конспиролог, это ты не желаешь видеть дальше собственного носа. Я тут не про про всемирный заговор Массонов пишу, а про вполне очевидные вещи.
    Хотелось бы узнать где ты собственно видишь ошибочность в моих рассуждениях.
    Спецслужбам неинтересно получить неограниченный доступ к системам на базе определеоонй OS ?
    Спецслужбы не в состоянии технически грамотно подготовить бэкдор ?
    Спецслужбам проблематично оказать давление на одного из разработчиков для его внедрения ?
    А теперь, сложив три этих предположения, что-же собственно может их остановить ?
    Сам я сотрудником спецслужб не являюсь, но этого и не нужно для того, чтобы иметь представление о целях и методах их работы. Почитайте про СОРМ, почитайте про Stuxnet и DUQU. 2 zeroday эксплоита и подлинная ЭЦП в одном трояне и деструктивная часть, ориентированная на промышленные системы - это мало похоже на работу кулхацкера. Или у меня опять приступ паранойи ?
     
     
  • 6.34, arisu (ok), 03:00, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Или у меня опять приступ паранойи ?

    ага.

     
  • 6.35, Клыкастый2 (?), 04:08, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да просто у меня нос нормальных размеров, и видеть за океаном не получается, а д... большой текст свёрнут, показать
     
     
  • 7.36, AdVv (ok), 15:44, 18/01/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Очень ограниченная позиция Не спорю Не нужно путать теплое с мягким, это во пер... большой текст свёрнут, показать
     
     
  • 8.37, Клыкастый2 (?), 22:08, 23/01/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Тут я следую дедушке Оккаму в плане самоограничения Суровый старичок, не даёт р... большой текст свёрнут, показать
     

  • 1.38, Аноним (-), 19:30, 19/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вот эти бэкдоры, там есть на солярку и онебсд, фряху, мак

    http://www.nullsecurity.net/tools/backdoor.html

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру