15.12 // ФБР заподозрили в помещении бэкдора в IPSEC-стек OpenBSD
Тэо де Раадт (Theo de Raadt), лидер проекта OpenBSD, опубликовал в списке рассылки тревожное сообщение, в котором опубликовал письмо, свидетельствующее о том, что некоторые разработчики проекта, принимавшие участие в разработке IPSEC-стека OpenBSD на ранней стадии его развития, приняли от правительства США денежное вознаграждение за интеграцию в IPSEC-стек кода бэкдора.
Информация раскрыта Грегори Пири (Gregory Perry), бывшим техническим директором компании NETSEC, занимавшимся в 2000-2001 годах развитием поддержки шифрования в OpenBSD и работавшим совместно с ФБР над рядом проектов. Во время работы с ФБР Пири дал подписку о неразглашении информации в течение 10 лет, поэтому вынужден сообщить имеющие у него сведения только сейчас. По утверждению Пири, у него имеется информация, что ФБР профинансировал работу по интеграции в IPSEC-стек OpenBSD техники, приводящей в определенных обстоятельствах к утечке ключей шифрования и возможности мониторинга трафика внутри шифрованных VPN-соединений.
В письме также выдвигаются предположения о том, что агентство по оборонным разработкам DARPA прекратило финансирование OpenBSD после того, как по внутренним каналам была получена информация о внедрении бэкдора. Также подозрение вызывает активная позиция ФБР в плане продвижения использования OpenBSD для создания VPN и межсетевых экранов.
Пока не ясно удалось ли на самом деле внедрить бэкдор и работоспособен ли он в настоящее время. Пири сообщил какой именно разработчик OpenBSD занимался внедрением бэкдора и порекомендовал провести аудит коммитов данного человека. С момента первого выпуска IPSEC-стека от проекта OpenBSD прошло более 10 лет, с тех пор код был подвергнут многочисленным изменениям, поэтому степень опасности можно определить только после проведения полного аудита. Вызывает опасение также то, что некоторые большие части кода IPSEC от OpenBSD были заимствованы в других открытых проектах и проприетарных продуктах.
Источник: http://www.opennet.ru/opennews/art.shtml?num=28998
комментариев: 11558 документов: 1036 редакций: 4118
https://secure.wikimedia.org/w.....ntern_%28software%29
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 9796 документов: 488 редакций: 5664
Джону Янгу этот неуловимый Перри так и написал, что в следующий раз он сам сольёт сведения на Викиликс открыткой, поскольку Тео обещал не разглашать его email, но своих слов не сдержал.
[off]Викиликс уже обсуждают бабушки на лавочке, но говорят в следующем сезоне более модным будет http://openleaks.org/ [/off]
вборосовмнений — тут.Ещё не хватало, чтобы здесь начали перевирать слова. Theo de Raadt ничего не обещал, но он опубликовал пришедшее ему письмо в листе рассылки. Против обычного негласного соглашения о том, что частная переписка должна оставаться частной. Объяснил он это так:
"Разумеется, я не люблю, когда моя личная почта пересылается.
Но "маленькая этика", относящаяся к пересылке частных писем – это гораздо менее серьёзно, чем "большая этика" правительства, платящего корпорациям, чтобы те заплатили разработчикам свободного софта (членам сообщества друзей) за вставку в программы дыр, уничтожающих приватность."
А на xakep.ru, ИМХО, ссылаться вообще не стоит :-/
spinore, Вы не могли бы рассказать о том, как разочаровались в OpenBSD?
и чужие посты (уже пофиксили)посты, а информация о времени последней правки не сохраняется. На pgpru отредактировать можно только свой пост, только написанный не под гостём, и только если он последний в треде, поэтому, если хотите, чтобы справедливость восторжествовала, пишите прошение отредактировать в высшие инстанции.Лень было гуглить оригинал. Если что, обще-негативная характеристика какого-то ресурса не означает, что на нём не может быть ни одной интересной статьи.
Нигде здесь не описывал ни "очарований", ни "разочарований" — это ваши домыслы, и, более того, оффтоп тут.
комментариев: 9796 документов: 488 редакций: 5664
Если находите любую явную неточность — это всегда хорошо.
Вроде как не обещал, действительно, просто "поступил против желания" и "без разрешения" всего-лишь. В следующий раз с него расписку потребуют.