ФБР заподозрили в помещении бэкдора в IPSEC-стек OpenBSD

image

Теги: ФБР, OpenBSD

Тэо де Раадт, лидер проекта OpenBSD, опубликовал в списке рассылки тревожное сообщение, в котором опубликовал письмо, свидетельствующее о том, что некоторые разработчики проекта, принимавшие участие в разработке IPSEC-стека OpenBSD на ранней стадии его развития, приняли от правительства США денежное вознаграждение за интеграцию в IPSEC-стек кода бэкдора.

Тэо де Раадт, лидер проекта OpenBSD, опубликовал в списке рассылки тревожное сообщение, в котором опубликовал письмо, свидетельствующее о том, что некоторые разработчики проекта, принимавшие участие в разработке IPSEC-стека OpenBSD на ранней стадии его развития, приняли от правительства США денежное вознаграждение за интеграцию в IPSEC-стек кода бэкдора.

Информация раскрыта Грегори Пири, бывшим техническим директором компании NETSEC, занимавшимся в 2000-2001 годах развитием поддержки шифрования в OpenBSD и работавшим совместно с ФБР над рядом проектов. Во время работы с ФБР Пири дал подписку о неразглашении информации в течение 10 лет, поэтому вынужден сообщить имеющие у него сведения только сейчас. По утверждению Пири, у него имеется информация, что ФБР профинансировал работу по интеграции в IPSEC-стек OpenBSD техники, приводящей в определенных обстоятельствах к утечке ключей шифрования и возможности мониторинга трафика внутри шифрованных VPN-соединений.

В письме также выдвигаются предположения о том, что агентство по оборонным разработкам DARPA прекратило финансирование OpenBSD после того, как по внутренним каналам была получена информация о внедрении бэкдора. Также подозрение вызывает активная позиция ФБР в плане продвижения использования OpenBSD для создания VPN и межсетевых экранов.

Пока не ясно, удалось ли на самом деле внедрить бэкдор и работоспособен ли он в настоящее время. Пири сообщил какой именно разработчик OpenBSD занимался внедрением бэкдора и порекомендовал провести аудит коммитов данного человека. С момента первого выпуска IPSEC-стека от проекта OpenBSD прошло более 10 лет, с тех пор код был подвергнут многочисленным изменениям, поэтому степень опасности можно определить только после проведения полного аудита. Вызывает опасение также то, что некоторые большие части кода IPSEC от OpenBSD были заимствованы в других открытых проектах и проприетарных продуктах.


или введите имя

CAPTCHA
Страницы: 1  2  
15-12-2010 12:01:56
девиз опененка "SECURE by DEFAULT" как то не актуален после таких новостей
0 |
Valid
15-12-2010 12:20:15
То что нас имеют во все дыры понятно. История с Stuxnet говорит о том, что дело поставлено на государственный уровень, хакеры не более как прикрытие деятельности серьезных ДЯДЕЧЕК. Статьи по гипердрайверу на VMGU.RU говорят о уровне используемых технических приемов и полной беспомощности России в вопросах ИБ. Ссылки : http://www.vmgu.ru/articles/tpm-virtualization-security http://www.vmgu.ru/articles/red-pill-virtualization-security
0 |
а вот вам
15-12-2010 13:19:50
и полной беспомощности России в вопросах ИБ. зато мы макбуки в школы пачками закупаем...
0 |
15-12-2010 17:21:51
Прочитал статьи по ссылкам и стало совсем густно...
0 |
11111111
16-12-2010 11:16:31
Статьи по гипердрайверу на VMGU.RU говорят о уровне используемых технических приемов и полной беспомощности России в вопросах ИБ. Зато пыщ-пыщ лицензии ФСБ на криптографию, пыщ-пыщ, нотификации чтобы ввезти wi-fi модуль к видеоплееру. Пыщ-пыщ нормальных топографических карт нет потому что низззя! И геоинформационная деятельность, аааа низззяяяя без лицензий. И еще: пыщ-пыщ есть исходные коды виндовс и она пыщ-пыщ сертифицирована.
0 |
Noway
16-12-2010 15:47:44
Intel еще умудрился договориться о провозе своего шифрованного добра
0 |
65138
15-12-2010 12:35:17
Вот вам и опен соурс... И что за 10 лет ни кто из красноглазых так и не поковырялся в исходниках IPSEC-стека OpenBSD???
0 |
15-12-2010 13:57:02
Пример из истории Linux - http://anticopyright.ru/wiki/Wait4%28%29 Заметьте тут всего лишь 2 строки. А ведь исходников -- миллионы строк и надо еще понимать как оно все работает, и если ФБР или еще кто подкупает разработчиков, то становится как-то грустно...
0 |
69346
15-12-2010 23:17:37
>Вот вам и проприетарное ПО, в твой ОС куча уязвимостей уже на протяжении многих лет, а в M$ ни кто даже не читал исходники. fix
0 |
15-12-2010 12:43:45
Вывод один,- если писать собственную ОС, то ни на какие сборки импортного Линукса надеяться нельзя. Нужно все писать самим с НУЛЯ, причем действительно, мощь технологий виртуализации такова, что без них не обойтись, Рутковская показала как это делается. Радует, что и в у нас есть специалисты по виртуализации мирового уровня.
0 |
uss
15-12-2010 13:15:08
да специалистов по виртуализации у нас достаточно, виртуализуют любой денежный проект;) А по теме, я всегда говорил,что опенсоурс это поделие не лучше закрытого кода, все равно большинство не смотрит в код, включая самих разработчиков...
0 |
BSOD
15-12-2010 13:49:40
Как раз на линукс то и вся надежда. А bsd всегда была тормозом прогресса.
0 |
15-12-2010 14:40:08
До всех линуксоидов туго доходит, поэтому обьясняю популярно : В материале поднята тема умышленного помещения бекдора в опенсорсе. Есть подозрение, что это делается целенаправленно, на государственном уровне. На что у Вас есть надежда в таком случае, непонятно,- по прошествии некоторого времени, алгоритмы и код их реализующий, во многих случаях не могут разобрать даже авторы.
0 |
15-12-2010 14:53:07
Если ещё вспомнить, кто является разработчиком SELinux... Это покруче ФБР будет
0 |
15-12-2010 16:08:19
Бекдоров полно, еще один тип такой уязвимости - недокументированные возможности. Вроде без явного умысла, а пользоваться может только сведущий. Особенно этим прославились AMD и INTEL, по последней есть рускоязычная статья, примечательная тем, что в коментариях к ней официальный представитель ИНТЕЛ подтверждает наличие недокументированных возможностей в их аппаратуре.
0 |
15-12-2010 16:11:07
Ссылка : http://www.risspa.ru/node/313
0 |
Engineer
15-12-2010 13:18:28
Есть Российская ОС - http://www.elbrus.ru
0 |
Страницы: 1  2