openPGP в России / Новости / 2010 / ФБР заподозрили в помещении бэкдора в IPSEC-стек OpenBSD

15.12 // ФБР заподозрили в помещении бэкдора в IPSEC-стек OpenBSD

Тэо де Раадт (Theo de Raadt), лидер проекта OpenBSD, опубликовал в списке рассылки тревожное сообщение, в котором опубликовал письмо, свидетельствующее о том, что некоторые разработчики проекта, принимавшие участие в разработке IPSEC-стека OpenBSD на ранней стадии его развития, приняли от правительства США денежное вознаграждение за интеграцию в IPSEC-стек кода бэкдора.

Информация раскрыта Грегори Пири (Gregory Perry), бывшим техническим директором компании NETSEC, занимавшимся в 2000-2001 годах развитием поддержки шифрования в OpenBSD и работавшим совместно с ФБР над рядом проектов. Во время работы с ФБР Пири дал подписку о неразглашении информации в течение 10 лет, поэтому вынужден сообщить имеющие у него сведения только сейчас. По утверждению Пири, у него имеется информация, что ФБР профинансировал работу по интеграции в IPSEC-стек OpenBSD техники, приводящей в определенных обстоятельствах к утечке ключей шифрования и возможности мониторинга трафика внутри шифрованных VPN-соединений.

В письме также выдвигаются предположения о том, что агентство по оборонным разработкам DARPA прекратило финансирование OpenBSD после того, как по внутренним каналам была получена информация о внедрении бэкдора. Также подозрение вызывает активная позиция ФБР в плане продвижения использования OpenBSD для создания VPN и межсетевых экранов.

Пока не ясно удалось ли на самом деле внедрить бэкдор и работоспособен ли он в настоящее время. Пири сообщил какой именно разработчик OpenBSD занимался внедрением бэкдора и порекомендовал провести аудит коммитов данного человека. С момента первого выпуска IPSEC-стека от проекта OpenBSD прошло более 10 лет, с тех пор код был подвергнут многочисленным изменениям, поэтому степень опасности можно определить только после проведения полного аудита. Вызывает опасение также то, что некоторые большие части кода IPSEC от OpenBSD были заимствованы в других открытых проектах и проприетарных продуктах.

Источник: http://www.opennet.ru/opennews/art.shtml?num=28998

На страницу: 1, 2 След.

Комментарии [скрыть комментарии/форму]

—	SATtva (17/12/2010 16:30) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

представитель Федерального бюро расследований США подтвердил существование технологии слежки в интернете под кодовым названием "Волшебный фонарь".

https://secure.wikimedia.org/w.....ntern_%28software%29

—	unknown (21/12/2010 10:05) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Переписка Грегори Перри (так настоящий он или нет?) с Джоном Янгом на Cryptome.org.

—	*Гость* (21/12/2010 17:49) <#>

так настоящий он или нет?

Бэкдор-та? Ну поживём — увидим :)

—	*Гость* (22/12/2010 20:15) <#>

Для тех кто не читает obsd.ru решил перепостить:

Видел я эту информацию. Какие бэкдоры? О чем вы? Есть исходники :) Время пройдет – и ничего не найдут – вот увидите :)

А все "бэкдоры" "появились" после этого, например, http://www.newsland.ru/News/Detail/id/595436/cat/94/

Это – политика, и я думаю, что политика – не тема обсуждения на этом сайте. "Бэкдоры" – элемент антипиара против выражающих поддержку Викиликс.

Я не против обсуждения данной темы – как есть – так есть.
Как появилась эта информация буквально в первые числа (лично я об этом узнал еще 2 декабря) первым желанием было разместить новость на эту тему. Но после обсуждения и сопоставления имеющейся информации:

OpenBSD "не американская" ОС
инормация о "бэкдорах" весьма сомнительна и достоверность исходящей информации не подтверждена
информация исходит от "бывших сотрудников" спецслужб, которые "никогда не являются бывшими", что наводит на мысль о "вбросах" информации с весьма конкретными целями
Тео ПЕРЕД ПОЯВЛЕНИЕМ данной информации весьма конкретно выразил несколько дней назад позицию относительно Викиликс
подобные случаи уже ранее имели место ранее
в случае, если ничего не подтвердится – "осадок останется", как и в результате ранее имевших случаев, что и является конечной целью
Мы решили данную новость не размещать в ленте новостей и никак не реагировать на публикации. Но если есть интерес – ради бога, можно и обсудить. Но мое личное мнение – это СУГУБО ПОЛИТИЧЕСКИЙ вопрос, никакого отношения к теме сайта отношения не имеющий. Что не исключает возможности обсуждения данной темы. Викиликс, как говорится, покажет, и шила в мешке не утаишь.

—	*Гость* (22/12/2010 20:52) <#>

Дополнение от 06.12.2010: OpenBSD так же ищет сейчас способы отказаться от PayPal, по аналогичным причинам (PayPal прекратил прием денег с пожертвованиями для WikiLeaks).

—	unknown (22/12/2010 20:57, исправлен 22/12/2010 21:04) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Джону Янгу этот неуловимый Перри так и написал, что в следующий раз он сам сольёт сведения на Викиликс открыткой, поскольку Тео обещал не разглашать его email, но своих слов не сдержал.

[off]Викиликс уже обсуждают бабушки на лавочке, но говорят в следующем сезоне более модным будет http://openleaks.org/ [/off]

—	*Гость* (22/12/2010 21:20) <#>

этот неуловимый Перри

Говорят, что не такой уж и неуловимый:

Журналистам удалось связаться с Грегори Пири, который подтвердил отправку сообщения Тэо де Раадту.

—	*Гость* (23/12/2010 18:33) <#>

Ещё немного новых ~~вборосов~~ мнений — тут.

—	*Гость* (27/12/2010 22:08) <#>

Для тех кто не читает obsd.ru решил перепостить:

Как-то при этом вместо "14 декабря" появилось "2 декабря", "информация о" превратилась в "инормация о" (буква "ф" исчезла), "мы" в "Мы".

Джону Янгу этот неуловимый Перри так и написал, что в следующий раз он сам сольёт сведения на Викиликс открыткой, поскольку Тео обещал не разглашать его email, но своих слов не сдержал.

Ещё не хватало, чтобы здесь начали перевирать слова. Theo de Raadt ничего не обещал, но он опубликовал пришедшее ему письмо в листе рассылки. Против обычного негласного соглашения о том, что частная переписка должна оставаться частной. Объяснил он это так:

Of course I don't like it when my private mail is forwarded. However the "little ethic" of a private mail being forwarded is much smaller than the "big ethic" of government paying companies to pay open source developers (a member of a community-of-friends) to insert
privacy-invading holes in software.

"Разумеется, я не люблю, когда моя личная почта пересылается.
Но "маленькая этика", относящаяся к пересылке частных писем – это гораздо менее серьёзно, чем "большая этика" правительства, платящего корпорациям, чтобы те заплатили разработчикам свободного софта (членам сообщества друзей) за вставку в программы дыр, уничтожающих приватность."

А на xakep.ru, ИМХО, ссылаться вообще не стоит :-/

spinore, Вы не могли бы рассказать о том, как разочаровались в OpenBSD?

—	*Гость* (27/12/2010 22:43) <#>

Для тех кто не читает obsd.ru решил перепостить:
Как-то при этом вместо "14 декабря" появилось "2 декабря", "информация о" превратилась в "инормация о" (буква "ф" исчезла), "мы" в "Мы".

Всё очень просто. На obsd.ru задним числом авторы/модераторы отредактировали сообщения, я же поместил их такими, какими они были на момент перепоста. На obsd.ru можно редактировать свои ~~и чужие посты (уже пофиксили)~~ посты, а информация о времени последней правки не сохраняется. На pgpru отредактировать можно только свой пост, только написанный не под гостём, и только если он последний в треде, поэтому, если хотите, чтобы справедливость восторжествовала, пишите прошение отредактировать в высшие инстанции.

А на xakep.ru, ИМХО, ссылаться вообще не стоит

Лень было гуглить оригинал. Если что, обще-негативная характеристика какого-то ресурса не означает, что на нём не может быть ни одной интересной статьи.

Вы не могли бы рассказать о том, как разочаровались в OpenBSD?

Нигде здесь не описывал ни "очарований", ни "разочарований" — это ваши домыслы, и, более того, оффтоп тут.

—	unknown (28/12/2010 10:57, исправлен 28/12/2010 11:11) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

>Ещё не хватало, чтобы здесь начали перевирать слова.

Если находите любую явную неточность — это всегда хорошо.

From: Gregory Perry <Gregory.Perry[at]GoVirtual.tv>
To: John Young <jya[at]pipeline.com>
Subject: RE: OpenBSD Crypto Framework
<...>

I really wish Theo hadn't made that email public, it's really stirred up things quite a bit in the mainstream media.

1) I sent a private letter to Theo Deraadt, urging him to perform a source code audit of the OpenBSD Project based upon the allegations contained within the original email you referenced;

2) Theo then sent, without my permission and against my wishes, the entire contents of that email with my contact particulars to a public listserver, which ignited this firestorm of controversy that I am now seemingly embroiled in;

3) If I had this to do over again, I would have sent an anonymous postcard to Wikileaks probably;

<...>

Although I don't agree with what Theo did last week, I will say that he is a brilliant and very respected individual in the computer security community <...>

Вроде как не обещал, действительно, просто "поступил против желания" и "без разрешения" всего-лишь. В следующий раз с него расписку потребуют.

На страницу: 1, 2 След.

Ваша оценка документа [показать результаты]