GoldenLine
Zaloguj się

konto usunięte

Temat: Ciekawostka o FBI i OpenBSD

http://osnews.pl/fbi-zaplacilo-za-backdoora-w-openbsd/

jeszcze nie wiadomo ile w tym prawdy i czy wciąż aktualne. Theo zamieścił na grupie openbsd-tech mail, który otrzymał od osoby w to zamieszanej (skończyło się jej NDA z FBI): http://marc.info/?l=openbsd-tech&m=129236621626462&w=2

Ciekawe, nie powiem. Zmusza do refleksji co się dzieje w innych systemach - ile niewykrytych backdoorów tam siedzi? Pomijając systemy komercyjne, gdzie jest to prawie pewne.
Link do wypowiedziLink
Smaug T.

Smaug T.

Temat: Ciekawostka o FBI i OpenBSD

http://marc.info/?l=freebsd-security&m=129241739814666...
Link do wypowiedziLink

konto usunięte

Temat: Ciekawostka o FBI i OpenBSD

Coraz bardziej szemrane się okazują te oskarżenia.
Zamieszczam link do całej dyskusji:
http://thread.gmane.org/gmane.os.openbsd.tech/22557

proponuję zerknąć na odpowiedź Jasona L. Wrighta, który rzekomo miał wstawić backdoor. Dla mnie jest jednak bardziej wiarygodny niż osoba go oskarżająca.
Link do wypowiedziLink
Krzysztof Abramowicz

Krzysztof Abramowicz Opis niepotrzebny

Temat: Ciekawostka o FBI i OpenBSD

Powtórze to co trollowałem na osnews ;)

Jeśli ta pogłoska się okaże prawdą będzie to głównie ośmieszenie systemów zamkniętych czy masowo tworzonych przez korporacje (linux w mniejszym stopniu freebsd) ,bo tam bez trudu można wrzucić różne backdoory ;)
Link do wypowiedziLink
Smaug T.

Smaug T.

Temat: Ciekawostka o FBI i OpenBSD

Bartłomiej K.:
Coraz bardziej szemrane się okazują te oskarżenia.
Zamieszczam link do całej dyskusji:
http://thread.gmane.org/gmane.os.openbsd.tech/22557

proponuję zerknąć na odpowiedź Jasona L. Wrighta, który rzekomo miał wstawić backdoor. Dla mnie jest jednak bardziej wiarygodny niż osoba go oskarżająca.

Bo wszystkiemu zaprzeczył? A co innego mu pozostało... :)
Poczytaj trochę o tym co się działo w środowisku wywiadowczym podczas zimnej wojny to być może spojrzysz na te rzeczy w innym świetle. Systemy informatyczne stanowią teraz kluczową drogę pozyskiwania informacji przez agencje rządowe i służby wywiadowcze. Dziwnym by było gdyby nie wykorzystywali tej technologii do osiągnięcia swoich celów. Raczej powinniśmy zadać pytanie jak głęboko sięgają te macki...

Tak naprawdę istnieje jedynie dość wąski krąg osób, które mogą na tym poziomie znaleźć takiego backdoora. Theo pisze:

"You can say keep interpreting things so simplistically, but some of us
are not saying much because we are studying and re-learning the
workings of the ipsec and crypto layers works because that is what we
do."

Nie chcę tu nic przesądzać, ale nie możemy też niczego wykluczać...Andrzej Kosela edytował(a) ten post dnia 17.12.10 o godzinie 12:44
Link do wypowiedziLink

konto usunięte

Temat: Ciekawostka o FBI i OpenBSD

Andrzej Kosela:
Bo wszystkiemu zaprzeczył? A co innego mu pozostało... :)

Głównie dla tego, że podał odrobinę więcej konkretów niż ten, kto go oskarżał.

Dokładnie jest tak jak piszesz i jak pisałem wcześniej - trzeba się zastanowić ile takich ukrytych dziur na zlecenie organów rządowych, czy choćby samych producentów systemów jest zaszytych i wykorzystywanych.

Jak ktoś ładnie napisał w dyskusji na Osnews.pl - skoro nawet polska policja używa programu do szperania w systemie (który pomagał tworzyć Microsoft), to co dopiero FBI/CIA i inni? :D
Link do wypowiedziLink
Smaug T.

Smaug T.

Temat: Ciekawostka o FBI i OpenBSD

Bartłomiej K.:
Andrzej Kosela:
Bo wszystkiemu zaprzeczył? A co innego mu pozostało... :)

Głównie dla tego, że podał odrobinę więcej konkretów niż ten, kto go oskarżał.

A to czytałeś?

http://blogs.csoonline.com/1296/an_fbi_backdoor_in_ope...
Link do wypowiedziLink

konto usunięte

Temat: Ciekawostka o FBI i OpenBSD

Teraz już tak. Robi się ciekawie. Czyli stare indiańskie przysłowie znowu się sprawdza - nigdy nie można czuć się bezpiecznie :)
Link do wypowiedziLink
Smaug T.

Smaug T.

Temat: Ciekawostka o FBI i OpenBSD

Bartłomiej K.:
Teraz już tak. Robi się ciekawie. Czyli stare indiańskie przysłowie znowu się sprawdza - nigdy nie można czuć się bezpiecznie :)

Wbrew pozorom jakakolwiek by nie była prawda co do tych doniesień, to mam naprawdę wielki szacunek dla Theo za to, że to opublikował. Zawsze bardzo ceniłem OpenBSD, ale teraz reputacja tego systemu jeszcze bardziej wzrosła w moich oczach.
Link do wypowiedziLink
Krzysztof Abramowicz

Krzysztof Abramowicz Opis niepotrzebny

Temat: Ciekawostka o FBI i OpenBSD

Wbrew pozorom jakakolwiek by nie była prawda co do tych doniesień, to mam naprawdę wielki szacunek dla Theo za to, że to opublikował. Zawsze bardzo ceniłem OpenBSD, ale teraz reputacja tego systemu jeszcze bardziej wzrosła w moich oczach.


Trzeba przyznać że Theo Ma jaja i się nie cyka ;) w innych systemach całą sprawę by zatuszowano a on ją opublikował ;)
Link do wypowiedziLink
Smaug T.

Smaug T.

Temat: Ciekawostka o FBI i OpenBSD

Mi podoba się wypowiedź Martina Tarba:

Actually, when I would design such a backdoor, I wouldn't go for the item
getting highest attention and most difficult to crack. And because the crypto
stuff is getting most attention, it's highly likely it'll be replaced every now
and then with something "better": Backdoor gone.

I would do a "social engineering". Challenge the IPSec stack to tell me what I
want to know.

How:
- Try to setup a connection with the server you want to have the keys from.
- Make a "failure" with this connection.
- This failure would use an additional parameter in the setup payload and answer
with the info I want to have.

So where to look:
In the state machine to initiate/setup the IPSec connection, especially the
error/declines it sends out. Things like: "setup failure, invalid key:
&(Yourkey+"additional parameter")".

That'll be something very difficult to find in reviews (who does look at the
error notices, reviews are in general looking after the main functionality)

Stack state machines tend to be related to the protocol basics and these don't
change, so it's very unlikely a backdoor like this is overruled by a "better"
implementation, especially if the original implementation is decent and robust.

This mechanism would need a handfull of connection setup attempts to get
everything you need to decompose a recorded stream. No intrusions will be
detected ever, unless logging is at debug level and who does wade through that
amount of logging .......

In some situations, you might need to be able to spoof the originating IP,
though having access to the network infrastructure itself, will be enough.

Easy, hardly any code required, very difficult to detect and very likely to
survive for a long period.

Pamiętajmy, że kod IPSEC z OpenBSD znajdujemy dziś w większości implementacji tak systemów komercyjnych jak Windows jak i producentów hardware typu Cisco czy Juniper. Osobiście myślę, że gra była warta świeczki dla FBI...
Link do wypowiedziLink
Smaug T.

Smaug T.

Temat: Ciekawostka o FBI i OpenBSD

Robi się coraz ciekawiej:

http://extendedsubset.com/?p=43
Link do wypowiedziLink

konto usunięte

Temat: Ciekawostka o FBI i OpenBSD

Sprawa przycichła, nic się na portalach nie mówi. Może ktoś robił jakiś research i może coś się wyjaśniło?
Chociaż w obliczu: http://osnews.pl/fbi-dazy-do-luk-systemowych-w-narzedz...
pewnie duża część narzędzi, których używamy może mieć w sobie jakieś backdoory. W imię wolności internetu (podobno ustawa o internet kill switch również zmieniła nazwę, aby było w niej "internet freedom" [reddit.com]) i tak dalej.
Link do wypowiedziLink
Smaug T.

Smaug T.

Temat: Ciekawostka o FBI i OpenBSD

http://cryptome.org/2012/01/0032.htm
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

OpenBSD + serwer PPPoE + ALTQ




Wyślij zaproszenie do
Anuluj