Тэо де Раадт (Theo de Raadt), лидер проекта OpenBSD, опубликовал (http://permalink.gmane.org/gmane.os.openbsd.tech/22557) в списке рассылки тревожное сообщение, в котором опубликовал письмо, свидетельствующее о том, что некоторые разработчики проекта, принимавшие участие в разработке IPSEC-стека OpenBSD на ранней стадии его развития, приняли от правительства США денежное вознаграждение за интеграцию в IPSEC-стек кода бэкдора.
Информация раскрыта Грегори Пири (Gregory Perry), бывшим техническим директором компании NETSEC, занимавшимся в 2000-2001 годах развитием поддержки шифрования в OpenBSD и работавшим совместно с ФБР над рядом проектов. Во время работы с ФБД Пири подписал соглашение о неразглашении информации в течение 10 лет, поэтому вынужден сообщить имеющие у него сведения только сейчас. По утверждению Пири, у него имеется информация, что ФБР была профинансирована работа по интеграции в IPSEC-стек OpenBSD техники, приводящей в определенных обстоятельствах к утечке ключей ши...URL: http://permalink.gmane.org/gmane.os.openbsd.tech/22557
Новость: http://www.opennet.me/opennews/art.shtml?num=28998
Вот вам и OpenBSD.
Вот вам и Open Source
Вот вам и строгий синтаксис, и однозначная семантика, и самодокументированный код на Си в больших проектах - ну всё под контролем, буквально всё.
А если б это было проприетарщина, то никто бы вообще ничего не узнал. Мы что, всерьез полагаете, что возможно добиться полной гарантии безопасности в какой-либо системе?
> А если б это было проприетарщина, то никто бы вообще ничего не узнал.Ха! Так это стало известно не благодаря открытым исходникам, а благодаря признанию разработчика! А исходники как лежали в открытом доступе, так никто в них за 10 лет ничего и не нашел! Вот вам и опен сорс...
> Вот вам и опен сорс...ну проприетарный код видимо надёжнее.. да?
там ведь точно нет бэкдоров :D :D :D :D
От того, что проприетарный код бывает ненадежным, открытый код более надежным не становится. А вы всё никак этого не поймете...
> От того, что проприетарный код бывает ненадежным, открытый код более надежным не
> становится. А вы всё никак этого не поймете...Ну так расскажите нам, как вы будете аудит закрытого кода проводить. Очень интересно. Не, если вы само АНБ, ФСБ и прочая - исходники вам, конечно, дадут. А остальным что делать? Если кто историю забыл, то коммерческий PGP после истории когда наши какие-то остатки чего-то типа бэкдора был вынужден выложить сорс коммерческой версии чтобы все могли убедиться что там все честно. Без этого им уже не верили. Лицензия ессно менее коммерческой не стала, но по крайней мере вы можее посмотреть что делает этот код и пересобрать из него бинарь.
P.S. и да, паранойя - профессиональное заболевание любого криптографа. В криптографии нет мелочей. Один мелкий ляп - и казалось бы хороший алгоритм идет псу под хвост.
Опять "закрытый код"! Да что вы к этому закрытому коду прицепились-то! Плевать я хотел на закрытый код! Меня волнует, что ОТКРЫТЫЙ код, при всех своих хваленых "прелестях", подвержен тем же болезням, что и закрытый. А вы всё думаете, что если 100 раз повторить мантру "закрытый код - плохой", то открытый код от этого станет лучше...
Не стоит метать бисер... нет смысла.
> Не стоит метать бисер... нет смысла.Да какой тут бисер -- человек сам себе тезис (согласен, бредовый) выдумал, сам его оппоненту приписал и сам же пританцовывает теперь вокруг. Ну вот что с него взять?
> А исходники как лежали в открытом доступе, так никто в них за 10 лет ничего и не нашел!Откуда такой вывод? Напротив, очень может быть, что нашли, признали багой, поправили и забыли.
Может быть. Но тогда мне хотелось бы увидеть ссылку на соответствующий коммит :)
Ага, в проприетарщине никогда бы ничего не обнаружили - даже прятать не надо было на самом деле.
Да что опен соурс. А что ты предложишь взамен. Закрытую Венду??? Я только могу представить сколько там бэкдоров.
Столько же, сколько локализаций и версий-)))
> Вот вам и Open SourceНу эти то хоть смогут проаудитить свой код после такого привлечения к себе внимания. А вот аудитить блобятину на предмет таких закладок - в разы более трудоемко и мало кто будет ковырять реализацию IPSec например в той же винде. Потому что мазохизм это.
Вот вам и PR-манеры Микрософта в полный рост. Именно эти гниды и стоят за этим вбросом. Нет там никаких бэкдоров. Вернее, все общедоступные средства шифрования уязвимы и всегда были открыты для заинтересованных гос. структур.
Очень сильно будет подпорчена репутация всей системы OpenBSD, если информация подтвердится.
а так же всех кто брал код у них, да?;-)
Но брали то У НИХ =)
Bнтересно, в win IPSEC копипастом реализовывали, надо будет проследить за обновлениями-фиксами :))))
И опенсорц тут ни при чём, в клоседсорсах можно сидеть всю жизнь на бакдорах и не знать пока массово лезть через них не начнут.
В винде фиксить ничего не будут, скорее юзать ;) Или давно уже знают и юзают)
А как вы думаете, если FBI озаботились OpenBSD, они остались совершенно равнодушны к более широко распространённым реализациям, в том числе и Линукс? Что более вероятно - странная забывчивость FBI или то, что NDA у некоторых других господ ещё просто не успели протухнуть?Это если предполагать, что обвинения правдивы.
> Очень сильно будет подпорчена репутация всей системы OpenBSD, если информация подтвердится.Никак она подмочена не будет. Это медийный вброс Микрософта против Линукса. Микрософтовские тролли на форумах начала муссировать данную тематику без конкретики ещё с сентября месяца. Теперь всё это вылилось в более конкретные формы. Сначала они напирали на некую никем не виденную ошибку, теперь вот на то, что в СПО все продались, а только их за деньги не купишь.
Противно всё это и омерзительно.
Исходники надо через сито пропускать...вот так кому и верить теперь в чистоте кода...?
Ага, через сито.Кто щас засядет аудировать код Линукса (3 ляма строчек)? Может ты?
Кстати, интересно, а как Линус свой американский паспорт получил? Что думаете, посоны?
> Ага, через сито.
> Кто щас засядет аудировать код Линукса (3 ляма строчек)? Может ты?
> Кстати, интересно, а как Линус свой американский паспорт получил? Что думаете, посоны?Кто знает, какие черти в блобах водятся)
А вы всерьёз думаете, что Линусу дали бы гражданство только за бэкдоры? )))
Если они внедряли код в такой малораспространенный дистр как Опёнок то в популярных типа FeeBSD и Linux он должен быть обязательно. И уверен что не только от ФБР, но и от спецслужб других государств.
Тут дело не в распостраннености опенка а в том, что Опенок был финансирован вояками из США в свое время.
Да, но..
Тут дело не только в финансировании, но еще в том, что код OpenBSD используется практически во всех дистрибутивах. Взять тот же OpenSSH.
неее, во FreeBSD его нет :D вон даже китайцы её выбрали как основу для государственной ОС...
наверняка каждый из китайцев взяли и проверили по пять строк кода! :D
http://docs.freebsd.org/cgi/mid.cgi?201012131957.33109.lobo
Респект китайцам.
> Если они внедряли код в такой малораспространенный дистр как Опёнок то в
> популярных типа FeeBSD и Linux он должен быть обязательно. И уверен
> что не только от ФБР, но и от спецслужб других государств.Не конфликтует ли код от разных спецслужб между собой? Может поэтому на винде часты БСОДы?
>Если они внедряли код в такой малораспространенный дистр как Опёнок то в популярных типа FeeBSD и Linux он должен быть обязательно. И уверен что не только от ФБР, но и от спецслужб других государств.И от марсианских велосипедистов. Точно.
Ну пока непонятно - мутное письмо без каких либо фактов или даже намеков на affected code, и вполне возможно, что это вброс для того, чтобы навредить OpenBSD и/или упомянутому разработчику (Jason Wright). Он, кстати, достаточно активен в сети, так что стоит дождаться его комментариев. А может и вброс.... Ждем результатов аудита.
> Ну пока непонятно - мутное письмо без каких либо фактов или даже
> намеков на affected code, и вполне возможно, что это вброс
> для того, чтобы навредить OpenBSD и/или упомянутому разработчику (Jason Wright). Он,
> кстати, достаточно активен в сети, так что стоит дождаться его комментариев.
> А может и вброс.... Ждем результатов аудита.Муть объясняется тем, что на информацию последних 10 лет все еще действует подписка о неразглашении, поэтому в словах нужно быть очень осторожным. У моего деда срок неразглашения был 40 лет, только последнее время стал рассказывать интересные вещи.
Считаю, что письмо того человека, своего рода подвиг, мало кто решится на такое. Вообщем, двоякое впечатление, хотелось бы верить, что фейк (настораживает, что письмо с левого домена GoVirtual.tv, хотя может это Тео реальный адрес убрал), но нет оснований не верить PerryGregory.Perry@netsec.net.
Gregory Perry
Chief Executive Officer
GoVirtual Education"VMware Training Products & Services"
> У моего деда срок неразглашения был 40 лет, только последнее время стал рассказывать интересные вещи.Бредятина полная, да хоть 80!
Все подписки, данные правительству СССР утратили силу - СССР более не существует.
Приличный человек свои обязательства старается выполнять в любой ситуации
Типа сторож охраняет ворота после того как весь склад вывезли?
> Типа сторож охраняет ворота после того как весь склад вывезли?Типа того.
Смешно
> СмешноНу и что? Смешным быть не страшно :) Смейтесь, ради бога, у нас свободная страна.
Недавно благодаря такому «сторожу» удалось спасти десятки человек от смерти, а вы смейтесь дальше.
>> У моего деда срок неразглашения был 40 лет, только последнее время стал рассказывать интересные вещи.
> Бредятина полная, да хоть 80!
> Все подписки, данные правительству СССР утратили силу - СССР более не существует.Россия — правопреемница СССР. Учите современную историю заново, раз уже всё забыли.
> Россия — правопреемница СССРНи в коем случае!
Только частично, все республики являются правопреемниками.
Кроме того в Беловежском соглашении ясно сказано: "Союз ССР как субъект международного права и геополитическая реальность прекращает свое существование", учите историю.
>> Россия — правопреемница СССР
> Ни в коем случае!
> Только частично, все республики являются правопреемниками.
> Кроме того в Беловежском соглашении ясно сказано: "Союз ССР как субъект международного
> права и геополитическая реальность прекращает свое существование", учите историю.Ох ты хоспади. Специально для тех, кто не читал внимательно конституцию собственной страны, отрывок из второго её раздела, «Заключительные и переходные положения» (прошу прощения за обильный оффтоп, но хочется тему закрыть сразу):
«2. Законы и другие правовые акты, действовавшие на территории Российской Федерации до вступления в силу настоящей Конституции, применяются в части, не противоречащей Конституции Российской Федерации».
Так как подписки давались в соответствии с нормативно-правовыми актами, регулирующими понятие государственной тайны и действовавшими в том числе на территории Российской Федерации на момент 12 декабря 1993 года (принятие Конституции РФ), то их (и правовых актов, и сделанных в соответствии с ними подписок) действие также никто не отменял.
Далее (тут будет чуть-чуть больше копипаста, надеюсь, никто не обидится). Россия официально выступила правопреемницей СССР на международной арене. Об этом официально было заявлено в письме МИД РФ от 13.01.1992 г. «Об осуществлении прав и выполнении обязательств, вытекающих из международных договоров, заключённых СССР». В письме этом в частности имеются такие строки:
«Российская Федерация продолжает осуществлять права и выполнять обязательства, вытекающие из международных договоров, заключенных Союзом Советских Социалистических Республик... <...> В этой связи Министерство просит рассматривать Российскую Федерацию в качестве Стороны всех действующих международных договоров вместо Союза ССР».
И эта просьба была удовлетворена всем мировым сообществом. В том числе Россия получила место в Совбезе ООН вместо СССР, например. Потому что не только забрала ядерное оружие с территории бывших республик СССР, но и взяла на себя все долги и обязательства СССР. В международном праве именно это называется правопреемством государств.
Остальные республики суть отделившиеся от СССР/РФ государства, бывшие ранее субьектами СССР. При этом, поскольку, например, УССР не была государством, то и нельзя сказать, что Республика Украина стала чьим-либо правопреемником. Это новое государство, которого не было на карте. Повторюсь, речь именно о государстве, как о субьекте (международного) права. Вопросы национального самоопределения и пр. отношения к этому не имеют. Важны лишь границы. Также отмечу, что подобное правопреемство не имело места быть, например, при образовании РСФСР из того, что называлось Россиийской Империей.
> то их (и правовых актов, и сделанных в соответствии с ними подписок) действие также никто не отменял.Не надо глупых спекуляций - военнослужащие присягали заново, Российской Федерации, т.к. старая присяга, не существующему более СССР, утратила силу.
Как и все подписки.
Т.к. возникло новое гражданство.
>> то их (и правовых актов, и сделанных в соответствии с ними подписок) действие также никто не отменял.
> Не надо глупых спекуляций - военнослужащие присягали заново, Российской Федерации, т.к.
> старая присяга, не существующему более СССР, утратила силу.На 95% ложь. К присяге приводили заново в других странах. В России были отдельные моменты (особенно в 1991-м и 1993-м годах, во время известных событий), когда присягу новому командованию приносили отдельные офицеры (а присяга генерала ничего не меняет в присяге подчинённых ему солдат), а также ситуации принуждения к повторной присяге из-за некомпетентности и/или политизированности отдельных офицеров в отдельных местах (навскидку, что-то такое было в Севастополе), но не более.
> Как и все подписки.
> Т.к. возникло новое гражданство.Не возникло. Советские гражданские паспорта признавались и признаются до сих пор наравне с гражданскими паспортами собственно РФ. И, поскольку вы можете это припомнить в своём слепом упрямстве, уточню, что известное постановление Правительства РФ «Об утверждении положения о паспорте гражданина Российской Федерации, образца бланка и описания паспорта гражданина Российской Федерации» от 08.07.1997 г. №828 не отменяло действие старых паспортов, а лишь было указанием для МВД осуществить замену оных.
И ещё насчёт гражданства: как я понимаю, вы не осилили вторую часть моего прошлого сообщения, о правопреемстве государств?
P.S.: Гы, ещё один плюсоминусоман :)))
> На 95% ложь. К присяге приводили заново в других странах.Ложь на 100%.
ВСЕ офицеры подписали соответствующее обязательство.
Но торжественной повторной присяги действительно почти нигде не было.> Советские гражданские паспорта признавались и признаются
Ложь на 100%.
Попробуй зайти в самолет с ним.
Сам не хотел менять советский паспорт, но пришлось, не признают уже давно.
>> На 95% ложь. К присяге приводили заново в других странах.
> Ложь на 100%.
> ВСЕ офицеры подписали соответствующее обязательство.
> Но торжественной повторной присяги действительно почти нигде не было.Если присяги не было, то её не было. Точка. Не говоря о том, что в армии служат не только офицеры (сюрприз?).
>> Советские гражданские паспорта признавались и признаются
> Ложь на 100%.
> Попробуй зайти в самолет с ним.
> Сам не хотел менять советский паспорт, но пришлось, не признают уже давно.Увы нам. Указания Верховного Суда РФ до многих наших «товарищей на местах» доходят крайне туго. :( Погуглите определение КАС 04-234. В частности, там написано: «Оспариваемая заявителем норма адресована МВД РФ, не устанавливает сроки действия паспортов, не изменяет, не прекращает и не создает для заявителя каких-либо прав и обязанностей, его свобод и охраняемых законом интересов не затрагивает» (упомянутая норма — то самое постановление Правительства РФ №828 от 08.07.1997 г.).
А так-то, де-факто, а не де-юре, мы, конечно, живём в другой стране, чем двадцать лет назад. :)
> Если присяги не было, то её не было.Мой дядя (офицер) давал именно Присягу России, в виде обязательства.
Так что по крайней мере здесь ты соврал.> Не говоря о том, что в армии служат не только офицеры (сюрприз?).
А солдаты сразу присягают России.
> не устанавливает сроки действия паспортов
Это техническая недоработка, не более.
Потому это указание ВС никуда и никогда не дойдёт.> А так-то, де-факто, а не де-юре, мы, конечно, живём в другой стране, чем двадцать лет назад.
Де-юре точно также - Союзный договор 1922 года был денонсирован, СССР де-юре прекратил существование.
>> Если присяги не было, то её не было.
> Мой дядя (офицер) давал именно Присягу России, в виде обязательства.
> Так что по крайней мере здесь ты соврал.А если прочесть _внимательно_, что я писал двумя постами раньше? Об офицерах как раз?
>> Не говоря о том, что в армии служат не только офицеры (сюрприз?).
> А солдаты сразу присягают России.Не понял мысль. Те, которые присягали до 1991-го, присягали Советскому Союзу. Их (за редким исключением, об этом я опять же оговаривался, но кому интересно читать оговорки, куда интереснее выхватить слова из контекста...) не заставляли повторно присягать. И — да, я согласен, и я об этом говорил, что они автоматически считаются присягнувшими России после соответствующего постановления Верховного Совета СССР и признания России преемницей СССР.
>> не устанавливает сроки действия паспортов
> Это техническая недоработка, не более.
> Потому это указание ВС никуда и никогда не дойдёт.1. Что значит «техническая недоработка»? Хотите сказать, что Правительство РФ на самом деле хотело отменить паспорта? Доказательства, пожалуйста.
2. Дойдёт или нет, оно остаётся истиной в последней инстанции. От того, что требовать смены паспорта будут многие, это требование не станет более законным. Большинство пешеходов нарушает ПДД — печальный факт, но этот факт не отменяет правила дорожного движения.
>> А так-то, де-факто, а не де-юре, мы, конечно, живём в другой стране, чем двадцать лет назад.
> Де-юре точно также - Союзный договор 1922 года был денонсирован, СССР де-юре
> прекратил существование.Здесь не совсем корректно выразился, признаю: имел в виду, что нынешняя Россия по факту имеет не слишком много общего с СССР. Но, надеюсь, вопроса о преемственности всё же больше не стоит? Именно он поднимался изначально, если помните.
> Их (за редким исключением,Да-да, редким!
Не ври уж - повторно присягали все офицеры!> что они автоматически считаются присягнувшими России
А на сборах снова присягают.
> Хотите сказать, что Правительство РФ на самом деле хотело отменить паспорта? Доказательства, пожалуйста.
Доказательства в том, что советский паспорт _не_действует_.
Ни в каких сферах.
В Росии - Российское гражданство и де-юре и де-факто.> Но, надеюсь, вопроса о преемственности всё же больше не стоит?
А когда он стоял?
Все бывшие республики частичные правопреемники СССР, это очевидно.
> А на сборах снова присягают.Как сравнительно недавно ушедший в отставку офицер, служивший в российское и советское время, могу сказать, что повторная присяга не более чем показуха по личной инициативе отдельных частей.
Те, кто отказался от повторной присяги (в штабе бумажкой, не обязательно перед строем) больше не служат, всё просто.
Перерезус прав. Присягу повторно приносили по другой причине - потому что поменялись видимо некоторые пункты. В противном случае это бы не потребовалось, т.к. советская присяга была в силе.
> потому что поменялись видимо некоторые пункты.Детский сад, штаны на лямках, в Армии не служил.
Нет там никаких пунктов.> cоветская присяга была в силе.
Только СССР прекратил своё существование.
Присягали новому государству - России!
> Детский сад, штаны на лямках, в Армии не служил.Я не думал что среди айтишников так распространено явление - делать поспешные выводы. Я приносил присягу в Казахстане. После распада СССР - вот там она новая, т.к. РК не является правопреемником Союза.
> Нет там никаких пунктов.
Для тебя слово "пункт" имеет только одно значение - часть нумерованного списка? А вроде говорят что русский язык богатый и могучий.
> Только СССР прекратил своё существование.
> Присягали новому государству - России!Да, новые призывники, не приносившие присяги, должны бы ее принести. А все те военнослужащие, находящиеся в запасе и приносившие присягу только СССР и являющиеся ныне гражданами РФ, не пойдут защищать Россию? Пойдут, т.к. их присяга действительна и к правопреемнице - РФ. Аналогия: если брал кредит в одном банке, то должен отдавать его банку-правопреемнику?
>> Их (за редким исключением,
> Да-да, редким!
> Не ври уж - повторно присягали все офицеры!Вы читать умеете? Разницу между словами «солдат» и «офицер» знаете?
>> что они автоматически считаются присягнувшими России
> А на сборах снова присягают.См. выше.
>> Хотите сказать, что Правительство РФ на самом деле хотело отменить паспорта? Доказательства, пожалуйста.
> Доказательства в том, что советский паспорт _не_действует_.
> Ни в каких сферах.Расскажете моей бабушке. Нет, серьёзно. У неё советский паспорт, и он прекрасно действует. В этом году вот в гости со своего Урала приезжала. Так что врёте — вы, вдобавок смешивая закон и его массовое нарушение.
> В Росии - Российское гражданство и де-юре и де-факто.
Да. Граждане СССР (жившие на территории РСФСР, а также пожелавшие стать гражданами России) стали называться гражданами России. Или в гугле забанили (про школьную программу/собственную память я вообще молчу) и надо ещё одну историческую справку привести?
>> Но, надеюсь, вопроса о преемственности всё же больше не стоит?
> А когда он стоял?Да вот прямо даже не знаю, что сказать. Вы бы к 215-му комментарию вернулись, что ли...
> Все бывшие республики частичные правопреемники СССР, это очевидно.
Частичной правопреемственности как таковой в международном праве не бывает. Бывает разделение государства, бывает выделение одного государства из состава другого. В 1991-м году имело место быть именно второе: союзные республики объявили именно о выходе из состава СССР. Образовались новые государства, с определёнными границами. В том числе образовалось государство Россия, которое тут же объявило себя продолжателем СССР, со всеми его долгами и активами. Поэтому то, что раньше относилось к СССР, стало относиться к России. Те, кто заключал договора с СССР, теперь работали точно так же с Россией. И те, кто присягал СССР, теперь так же считались присягнувшими России. Приводить кого-либо повторно к присяге с юридической точки зрения _не_требовалось_. Иначе бы повторно присягали _все_, а не только упомянутые вами офицеры.
> Вы читать умеете? Разницу между словами «солдат» и «офицер» знаете?Знаю! А ещё я в Армии служил!
> В этом году вот в гости со своего Урала приезжала.
Так пускай попробует слетать на самолёте.
Или продать дом.
Узнает всё на практике.
То что у чукчей не все паспорта сменили ни очём не говорит.> жившие на территории РСФСР, а также пожелавшие стать гражданами России
Неправильно
> Частичной правопреемственности как таковой в международном праве не бывает.
В гугле забанили?
"Правопреемство возможно в том случае, если есть определенная общность между государством-предшественником и государством-правопреемником — территории, населения, собственности и т. п. Эту общность иногда называют идентичностью. Она может быть относительно полной или частичной. Например, при распаде Чехословакии одну часть ее территории и граждан «унаследовала» Чехия. а другую — Словакия."
>> Вы читать умеете? Разницу между словами «солдат» и «офицер» знаете?
> Знаю! А ещё я в Армии служил!Раз за вас.
>> В этом году вот в гости со своего Урала приезжала.
> Так пускай попробует слетать на самолёте.На поезд без паспорта тоже не пускают, не в курсе? Однако ж принимают. При том, что РЖД — 100% государственная компания, в отличие от большинства авиаперевозчиков.
> Или продать дом.
> Узнает всё на практике.
> То что у чукчей не все паспорта сменили ни очём не говорит.Повторюсь, требование сменить паспорт НЕЗАКОННО. Да, я понимаю, что юридически теория расходится с практикой. Но это уже совсем другой разговор, о котором я опять же специально оговаривался уже несколько раз. Но нежелающий слышать забьёт уши ватой...
>> жившие на территории РСФСР, а также пожелавшие стать гражданами России
> НеправильноЧто неправильно? ФЗ «О гражданстве Российской Федерации» неправильный?
«Иностранные граждане и лица без гражданства, достигшие возраста восемнадцати лет и обладающие дееспособностью, вправе обратиться с заявлениями о приеме в гражданство Российской Федерации в упрощенном порядке без соблюдения условий, предусмотренных пунктом "а" части первой статьи 13 настоящего Федерального закона, если указанные граждане и лица:
а) имеют хотя бы одного родителя, имеющего гражданство Российской Федерации и проживающего на территории Российской Федерации;
б) имели гражданство СССР, проживали и проживают в государствах, входивших в состав СССР, не получили гражданства этих государств и остаются в результате этого лицами без гражданства;
в) являются гражданами государств, входивших в состав СССР, получили среднее профессиональное или высшее профессиональное образование в образовательных учреждениях Российской Федерации после 1 июля 2002 года.2. Иностранные граждане и лица без гражданства, проживающие на территории Российской Федерации, вправе обратиться с заявлениями о приеме в гражданство Российской Федерации в упрощенном порядке без соблюдения условия о сроке проживания, установленного пунктом "а" части первой статьи 13 настоящего Федерального закона, если указанные граждане и лица:
а) родились на территории РСФСР и имели гражданство бывшего СССР;
б) состоят в браке с гражданином Российской Федерации не менее трех лет
...»>> Частичной правопреемственности как таковой в международном праве не бывает.
> В гугле забанили?
> "Правопреемство возможно в том случае, если есть определенная общность между государством-предшественником
> и государством-правопреемником — территории, населения, собственности и т. п. Эту
> общность иногда называют идентичностью. Она может быть относительно полной или частичной.
> Например, при распаде Чехословакии одну часть ее территории и граждан «унаследовала»
> Чехия. а другую — Словакия."В процитированном вами же тексте различаются понятия «идентичность» и «правопреемство», и «частичной» названа именно идентичность. А случае «СССР => Россия» имел место быть континуитет. Некоторые его считают частным случаем правопреемства, некоторые — отдельной ситуацией, но в любом случае это относится лишь к ситуации «СССР => Россия», но не «СССР => остальные республики». Это уже признанный факт международного права, и, честное слово, уже не понимаю, о чём вы спорите.
> честное слово, уже не понимаю, о чём вы спорите.Да он сам не понимает что пишет, выхватывает знакомые слова и повторяет :) Это так называемый флейм и троллинг. Спор ради спора и размещение заведомо ложной информации что бы разгорелся спор.
> Что неправильно? ФЗ «О гражданстве Российской Федерации» неправильный?Хорэ троллить - закон не по теме, где там слово РСФСР?
>> Что неправильно? ФЗ «О гражданстве Российской Федерации» неправильный?
> Хорэ троллить - закон не по теме, где там слово РСФСР?Вообще-то, я потому и задал вопрос, что не понял, что имел в виду оппонент. Или даже это надо разжёвывать, зачем люди вопросы уточняющие задают?
> Повторюсь, требование сменить паспорт НЕЗАКОННОЧто за глупость?
Законодатель совершенно определённо ввёл Российское гражданство.
Логично, что паспорта не существующих государств подлежат замене.
>> Повторюсь, требование сменить паспорт НЕЗАКОННО
> Логично, что паспорта не существующих государств подлежат замене.Не путайте свою логику и закон. То, что логично для вас, не обязательно законно.
> "Правопреемство возможно в том случае, если есть определенная общность между государством-предшественником
> и государством-правопреемником — территории, населения, собственности и т. п. Эту
> общность иногда называют идентичностью. Она может быть относительно полной или частичной.
> Например, при распаде Чехословакии одну часть ее территории и граждан «унаследовала»
> Чехия. а другую — Словакия."В словосочетании «Она может быть», «Она» — это кто? По моему совершенно очевидно что речь идёт об «Идентичности», а не о «Правопреемство»
Ога, расскажи нам как у бывшей Чехословакии один правопреемник.
Кто - Чехия или Словакия?Правильный ответ - обе.
Два правопреемника у Чехословакии.
А у бывшего СССР - пятнадцать.
> Ога, расскажи нам как у бывшей Чехословакии один правопреемник.
> Кто - Чехия или Словакия?
> Правильный ответ - обе.
> Два правопреемника у Чехословакии.
> А у бывшего СССР - пятнадцать.Это Ваши личные фантазии. Ситуации в Чехословакии и СССР — никак не связаны и не идентичны.
Фантазии. Ситуации в Чехословакии и СССР абсолютно идентичны.
> Фантазии. Ситуации в Чехословакии и СССР абсолютно идентичны.Уважаемые офтопофлеймеры -- предлагаю не полагать собеседника полным идиотом и фантазёром, а потому подобные процитированному утверждения хоть как-то подкреплять.
Мне за такую чушь было бы стыдно, поскольку развал на примерно равные половины относительно небольшого государства и развал на как минимум три сорта территорий сверхдержавы _уже_ ни разу не могут быть идентичны абсолютно. Далее, я не изучал правовые последствия первого, но априори склонен предполагать, что они также сильно отличны от таковых второго.
PS: пойдёмте чего полезного сделаем, а?
> Не ври уж - повторно присягали все офицеры!Ваше вранье переходит всякие границы с становится просто явной клеветой. Мой отец офицер в запасе, служил на северном флото под Мурманском. Итак, слушайне внимательно, если до Вас не дошло, мой отец НИКОМУ НЕ ПЕРЕПРЯСЯГАЛ!
Ога, рассказывай.
Подписал то что требовали.
> Ложь на 100%.
> ВСЕ офицеры подписали соответствующее обязательство.
> Но торжественной повторной присяги действительно почти нигде не было.Закончил военную академию в 95-м. Присягу РФ не давал и ничего не подписывал. Во как ...
>Не надо глупых спекуляций - военнослужащие присягали заново, Российской Федерации, т.к. старая присяга, не существующему более СССР, утратила силу.Глупости какие-то говорите. Я служил под двумя флагами (Союз развалился во время моей службы) - никто вокруг меня другой присяги не принимал, включая меня самого.
В кадрах обязательсво подписывал?
Если да - чем это отличается от повторной присяги?
> В кадрах обязательсво подписывал?
> Если да - чем это отличается от повторной присяги?В каких еще кадрах? :-) Речь идет об отделе кадров? Вы ничего не путаете - это же не гражданская контора.
И чего, что не гражданская?
А зовут по-граждански постоянно.
Так подписывал или нет?
> И чего, что не гражданская?
> А зовут по-граждански постоянно.
> Так подписывал или нет?Нет. И никто из моего окружения не подписывал.
> Считай сколько и чего угодно.
> Но не забывай - это _другая_ страна!Всего лишь СССР уменьшился до размеров РСФСР.
А как же строительство коммунизма?
> А как же строительство коммунизма?Спроси у коммунистов :-)
1. УССР была государством
2. Украина - правоприемница УССР.
УССР была государством, и имела представительства в ООН даже раньше Союза.
Украина правоприемница УССР, и только по доброй воле она передала _СВОЁ_ ядерное вооружение России.То, что Россия взяла на себя обязательства по внешнему долгу и активам, то это по договорённости всех остальных вышедших республик.
> УССР была государством,... до вхождения в СССР...
> и имела представительства в ООН даже раньше Союза.
Да. И имела после, — но, как ни смешно, государством она при этом не являлась. Это же относилось к Белорусской ССР, Австралии, Канаде, Новой Зеландии, ЮАР, Индии, Филиппинам.
> Украина правоприемница УССР, и только по доброй воле она передала _СВОЁ_ ядерное
> вооружение России.Приёмница — это приёмник женского пола. :-P Я согласен, что она могла не отдавать ядерное вооружение России, но к моменту передачи (который, к слову, произошёл далеко не так безболезненно, как в случае Белорусией и Казахстаном, но это вообще другой разговор) в 1994 году Россия уже давно была признана продолжателем СССР.
Украина не может при всём желании считаться правопреемницей УССР, т.к. с момента входа оной в СССР и вплоть до подписания Беловежских соглашений она являлась территорией с особым статусом, но НЕ отдельным государством. Если кто-то говорит иначе — это просто идиома, либо сознательное жонглирование терминами, юридически как минимум безграмотное.
> То, что Россия взяла на себя обязательства по внешнему долгу и активам,
> то это по договорённости всех остальных вышедших республик.Точно не скажу, были консультации у МИДа с остальными экс-республиками СССР или нет (думаю, были), но процесс этот выглядел немного по-другому, и я даже написал вкратце, как именно. Если у вас есть документы, по которым Украина (или любая другая экс-республика) передаёт некие свои полномочия России, то должен с сожалением констатировать их фиктивность.
Если новость не фейк, то правительство вместе со всем ФБР на кол посадить!
Ну пока более похоже на фейк. Jason Wright - сурьезный дядька, с кучей публикаций и проектов (http://thought.net/jason/). В любом случае - запасаемся попкорном.
Был бы он не серьёзный шалопай-разбойник, тогда бы я был на 100% уверен что фейк. А вот то, что дядька солидный скорее настораживает и навождит на мысли, что может быть и не фейк... В любом случае ИМХО выводы надо будет делать после аудита кода, а не до того. Потому, что даже если Джейсон ссучился, я не думаю, что он вот так вот сейчас принесёт публичные извинения мол "да, был не прав, деньги нужны были, да и родственников из Мексики надо было леголизовывать, и в крамане ганджа нашли, в общем трудные времена были", что на мой взгляд по любому поставит жирное бельмо на нём... Даже если факт имел место - я уверен, что будет отрицать. Ждать надо аудита :)) "Весной посмотрим, кто где какал" (С) :))
Ну чо теперь делать?
В цисках тоже поди напичкано? Про винду молчу.
> Ну чо теперь делать?
> В цисках тоже поди напичкано? Про винду молчу.Срочно уничтожайте все ваши данные - фбр уже выехал! ))
Я не к тому. Я к тому-кому теперь верить?
Себе, как и ранее. Именно по этой причине очень крупные компании заказывают аудит кода (в том числе имея доступ к коду windows) перелагая таким образом часть ответственности на аудиторов. Ну а к тому, что спецслужбы развитых государств способны получить доступ много к чему - следует относиться философски. Кстати, думаю что метод "терморектального анализа" в общих случаях много более дешев и применим )
Много раз слышал про то, что "некоторые компании" якобы имели доступ к коду виндовс.
Но объясните, плиз, хрен ли толку? Ну, посмотрели. И что? Что они смотрели? Вот если
СОБРАТЬ из этих исходников венду, да при этом контрольная сумма бинарника совпадет с оригинальной, тогда, наверное, да - видели именно то, что маздай из себя представляет...да и то, сначала сырцы компилятора бы посмотреть, да из сырцов его собрать потом.
А так - видели какие-то тексты...ну и что? А что, собственно, видели?
> СОБРАТЬ из этих исходников венду, да при этом контрольная сумма бинарника совпадет с оригинальнойКонтрольная сумма не совпадет никак. Если кто не в курсе, visual C++ вставляет в PE файл информацию о конкретной установке винды. Байты с 0x80 по 0xD0.
> да и то, сначала сырцы компилятора бы посмотреть, да из сырцов его собрать потом.
а это уже параноя =)
а в этом деле без паранои никак :)
Наши как раз и не собрали AFAIH -- когда обратились за недостающими частями, им сказали, что и не собирались их передавать.
И компилятор, которым собрать компилятор, и... OH SHI-
> Себе, как и ранее. Именно по этой причине очень крупные компании заказывают
> аудит кода (в том числе имея доступ к коду windows) перелагая
> таким образом часть ответственности на аудиторов. Ну а к тому, что
> спецслужбы развитых государств способны получить доступ много к чему - следует
> относиться философски. Кстати, думаю что метод "терморектального анализа" в общих случаях
> много более дешев и применим )В моём случае ТРКА не применим. Все ключи на флешках, флешки у сотрудников ГБ. Я просто не смогу ничего рассказать, нечего рассказывать.
тогда "прощай прямая кишка", ибо не поверят
> тогда "прощай прямая кишка", ибо не поверятНу или поверят, но для профилактики обработают, чтобы другим умникам неповадно было.
> Я не к тому. Я к тому-кому теперь верить?Никому. Вас просвечивают с монитора.
Никому нельзя верить на 100% )))) Теперь изучать криптографию и C++ :)))
>Срочно уничтожайте все ваши данные - фбр уже выехал! ))А смысл?
>>Срочно уничтожайте все ваши данные - фбр уже выехал! ))
> А смысл?У ФБР резервная копия есть, можно сэкономить на дисковом пространстве.
как пить дать!! чисто штатовская конторка циска....я всегда им недоверял...
По отношению к этим вашим цискам - это, наверняка, самое безобидное из того что там напихано.
Про циски вы правы, иначе был бы запрет на экспорт железа.
В цисках точно -- см. "нечаянно" упавшую местами спецсвязь во время грузинских событий.
> В цисках точно -- см. "нечаянно" упавшую местами спецсвязь во время грузинских
> событий."Я плакалъ". Паранойя неистребима :)
Какая специальная связь? Во время каких грузинских событий? Да если что где и было на магистралях в кавказских - там просто были тупо обесточены узлы, или провода повыдергивал кто, или банальный DoS на хилых каналах. Вы что думаете, у госструктур РФ специалисты есть? Там большинство персонала, утрируя, еле писюк от нотника отличает, и Win от Lin.
постсоветский хакер дёшов и сердит. почти ассиметричен. нанять его, и всего делов.
грош цена ССлужбе не умеющей применить ТРКА к такому физическому лицу
> "Я плакалъ".(пожимая плечами) Ну спросите и Вы своих, что ли.
> Какая специальная связь?
Южный сегмент правительственной.
> или провода повыдергивал кто
Нет, "вдруг" легли кошки.
> Вы что думаете, у госструктур РФ специалисты есть? Там большинство
Насчёт большинства не знаю, а со специалистами сталкивался, и звали.
Даже на лоре помимо "большинства" есть специалисты.
>> В цисках точно -- см. "нечаянно" упавшую местами спецсвязь во время грузинских
>> событий.
> Там большинство персонала, утрируя, еле писюк от нотника отличает, и Win от Lin.Много где так, но не везде ;). Откуда у вас вообще такая информация? Общались с реальными работниками соответствующих направлений в госслужбах?
Если в чужой IPSEC смогли внедрить, то в SELinux собственной разработки и подавно внедрили :-( В успех аудита не верю, там скорее всего утечка ключей не в лоб реализована, а сделана очень тонко, так что не придерешься. Как-то видел код для создания подобной лазейки, достаточно было пары опечаток вида ">" вместо ">=" в условиях, на которые без полного разбора логики никто не обратит внимание.
> Если в чужой IPSEC смогли внедритьПочему чужой, как раз свой. Денежку опенок в то время как раз от них получал.
В районе 2003-2005 года, если мне не изменяет память, проскакивала инфа о внедренной уязвимости в код ядра линукс, причем злоумышленнику потребовалось подменить один (!) символ. А ведь исходников -- миллионы строк и надо еще понимать как оно все работает, и если ФБР или еще кто подкупает разработчиков, то становится как-то грустно...
Где именно нужно было "подменить один (!) символ"?
> Где именно нужно было "подменить один (!) символ"?хе... в исходниках ядра
Тоесть для того, чтобы сделать чужую машину уязвимой, нужно сначала залогиницца на нее рутом, подправить сорсы ядра, скомпилить ново ядро, прописать его в граб и бутнуть машину. Линукс сакс.
Ты дурной?
Вот этот код:+ if ((options == (__WCLONE|__WALL)) && (current->uid = 0))
+ retval = -EINVAL;в выражении current->uid = 0 стоит = вместо ==, т.е. происходит не сравнение, а присваивание. Очень похоже на опечатку, но дает root доступ.
Все правильно сказал товарищ выше. Этот патч надо накладывать вручную, потому что ни в один релиз он так и не попал, а из cvs его вычистили на следующий день.
А ты знаешь сколько подобных "патчей" попало в релизы???
Такие патчи дают варнинги при компиляции так, что думаю нисколько
Надо же. Я почти не вижу софта без варнингов, хотя собираю очень даже много. И софт то небольшой по сравнению с ядром линуха обычно. Работает и все забивают на разборки в духе "возможно где-то когда-то проявится"
> Такие патчи дают варнинги при компиляции так, что думаю нисколькоВыражение "if ((options == (__WCLONE|__WALL)) && (current->uid = 0))" с точки зрения компилятора корректно и варнинга не даст (по крайней мере в 2003 году не давало).
Статический анализ кода такое найдет и сделает warning. Не думаю что его никто делать не пытался.
> Такие патчи дают варнинги при компиляции так, что думаю нисколькоНе знаю насчет ядра Линукса, но обычный GNU софт как правило отличается обилием игнорируемых варнингов..
Тогда некоторые пользовались этим CVS (из тех, кто не признавал и не применял BitKeeper), и Larry McVoy молодец, что не стал списывать на что-нить замеченное, а сразу поднял алярм.Потому как могло попасть через третьи руки.
PS: в тот CVS оно попало через взломанный хост, где он жил. До BK не добрались.
http://anticopyright.ru/wiki/Wait4%28%29
> http://anticopyright.ru/wiki/Wait4%28%29Ага, спасибо, оно.
> http://anticopyright.ru/wiki/Wait4%28%29Неплохо. Мне понравилось.
Блин надеялся увидеть что-то в стиле JAPH.
Вообще странно как глядя на эти две строчки можно "ничего не заподозрить".
Да и несложным скриптом можно найти такие подозрительные вещи как присвоение внутри условия. Странно, что современные навороченные IDE с проверкой синтаксиса не умеют на это ворнингами ругаться.
> Блин надеялся увидеть что-то в стиле JAPH.
> Вообще странно как глядя на эти две строчки можно "ничего не заподозрить".
> Да и несложным скриптом можно найти такие подозрительные вещи как присвоение внутри
> условия. Странно, что современные навороченные IDE с проверкой синтаксиса не умеют
> на это ворнингами ругаться.Ты про vim? :)
Чуть ниже - моя ссылка на описание этого бэкдура.
Хм. Надо аудитить все BSD системы. :(
Считалось что OpenBSD и так аудитят больше всех, а оказалось что пока свидетель внедрения бэкдора о нём не сказал, так никто и не заметил.
Бекдора еще никто не видел.
Кстати, да. А код бэкдора-то где? Действительно, если пишешь, что был бэкдор, то покажи место в коде.
> Считалось что OpenBSD и так аудитят больше всех, а оказалось что пока
> свидетель внедрения бэкдора о нём не сказал, так никто и не
> заметил.Получается, аудит там производят только на словах. А аудиторами работают манагеры из рекламного отдела.
>> Считалось что OpenBSD и так аудитят больше всех, а оказалось что пока
>> свидетель внедрения бэкдора о нём не сказал, так никто и не
>> заметил.
> Получается, аудит там производят только на словах. А аудиторами работают манагеры из
> рекламного отдела.Советую ознакомиться с моделью разработки BSD.
Может тогда перестанете писать чушь.
>> Считалось что OpenBSD и так аудитят больше всех, а оказалось что пока
>> свидетель внедрения бэкдора о нём не сказал, так никто и не
>> заметил.
> Получается, аудит там производят только на словах. А аудиторами работают манагеры из
> рекламного отдела.Вы этот вывод сделали на основании пока ничем не подтверждённого заявления в интернетах?
А смысл, кто будет делать такой аудит? Аудит все системы очень сложная вещь, кому попало не доверят, т.е. для аудита будет выбрана какая-нибудь крупная контора и скорей всего юсовская. И не факт, что ФБР не сможет надавить на контору проводящую аудит.
Гг. Удачи в аудите. А вообще не понимаю в чем паника? Какой там у OpenBSD уровень гарантий по CC? Дык о чем вообще тогда говорить.
Ну, и где те фанатики, которые всегда с пеной у рта орали, что опен сорс рулит и в нем всегда можно быть увереным, так как открыт исходный код? Вытерлись? Я всегда говорил, что типичный линуксоид, бзд-ник и прочий любитель опен сорса НИКОГДА не делал аудит всей системы, поэтому утверждать, что там все шоколадно-полное безумие.
Дело в том, что open-source хорош тем, что если Вам важна безопасность Вы сами её и проверите - вне зависимости проводил ли Тео, Патрик, мильён-леммингов, кто-угодно аудит. И в случае обнаружения - либо пофиксите, либо сообщите авторам с просьбой решить проблему.В случае с проприетарным ПО - Вы жрёте то, что Вам подали. Без возможности провести анализ плюнул туда повар или нет. Вот и всё.
А по теме - то, что кто-то грамотно что-то вбросил, не говорит, что факт подтвердится. А вот то как отреагировал Тео, говорит скорее в пользу OpenNet и open-source проектов в целом. В проприетарном продукте, я не думаю, что кто-то бы Вам сказал, что Вас уже 10 лет через бэкдор имели службы. А самое смешное (и наверное обидное), что не смотря на то, что Вы платите свои деньги, очень часто корпорации даже зная о критичной уязвимости тупо кладут болт на неё. Вот и вся философия...
Хорошие слова, но если сабж - не фейк, то практика докажет, что это только теория и слова. А на практике никакой разницы, в общем-то, нет.
Это все фикция. теоретическая возможность не реализуемая на практике.. Вроде взлома алгоритма RSA. теоретически - любой подросток с калькулятором может взломать RSA. на практике - замучается...Тоже самое с открытыми исходниками - бакдур был внедрен, существовал 10 лет и НИКТО не озаботился его существованием там... Да и сейчас- после тщательного аудита не факт что найдут.
По существу, кроме сомнительного вброса - "был внедрён", "существовал 10 лет" - ничего нет... Или тут как с религией? Бремя доказательства лежит на сомневающемся, а изначальная правда зависит от того кто первым вынрикнул...
> По существу, кроме сомнительного вброса - "был внедрён", "существовал 10 лет" -
> ничего нет... Или тут как с религией? Бремя доказательства лежит на
> сомневающемся, а изначальная правда зависит от того кто первым вынрикнул...Большинству людей- открытость исходников нахрен не сдалась.
Да и те которым сдалась - не в состоянии реализовать свои возможности.Вы че тролитте то? Вон исходники опенька - ждем от вас результата аудита с заверениями что там все чисто. Недели хватит?
Месяц? Десять лет? Сколько вам надо времени чтобы доказать что там все чисто?
> Большинству людей- открытость исходников нахрен не сдалась.
> Да и те которым сдалась - не в состоянии реализовать свои возможности.Это бесспорно.
> Вы че тролитте то?И в мыслях не было. Просто вот так вот пафосно выразить то, что не всё однозначно :))
> Вон исходники опенька - ждем от вас результата аудита с заверениями что там все чисто.
А денег хватит оплатить работу? :))
PS Тем не менее с общими тезисами, что народу пох.. я согласен. :)) Только вот весело от осознания этого не становится...
>> Вон исходники опенька - ждем от вас результата аудита с заверениями что там все чисто.
> А денег хватит оплатить работу? :))С какой стати?
> Большинству людей- открытость исходников нахрен не сдалась.Наоборот, большинство людей выигрывает от открытых исходников. Если бы не открытые исходники, то владельцы старых тюнеров и вебкамер, дров для которых нет в ядре, могли бы просто выкинуть свои железки, когда автор самописного драйвера забросил код. А так этот код подхватил другой программер, и в первую очередь от этого выиграли юзеры, для которых он положил драйвер в ppa.
Вообще это касается любого софта. Даже старых утилит, вроде xxkb, без открытых исходников оно бы сдохло. А так его до сих пор кто-то поддерживает в разных дистрибутивах. И благодаря открытым исходникам пользователи могут его юзать.
А как страдают владельцы ATI-шных карт, у которых вечные проблемы из-за "специфической" политики AMD по отношению к своему железу и закрытости их драйвера - итак все знают.
> Да и те которым сдалась - не в состоянии реализовать свои возможности.
В целом - см. выше. Лично я выиграл от открытых исходников pidgin-а, потому что смог добавить в него фичу, которую отказались принять в апстриме. Я в состоянии реализовать свои возможности.
> Сколько вам надо времени чтобы доказать что там все чисто?
Учитывая количество пользователей (число близкое к нулю, putty - это не openbsd) - никогда. А вообще, это возможно. Вон, reactos-овцы поставили когда-то похожую цель и достигли ее.
> Это все фикция. теоретическая возможность не реализуемая на практике..По-моему, не Вам говорить, не имеющему и теоретических.
> Это все фикция. теоретическая возможность не реализуемая на практике.. Вроде взлома алгоритма
> RSA. теоретически - любой подросток с калькулятором может взломать RSA. на
> практике - замучается...
> Тоже самое с открытыми исходниками - бакдур был внедрен, существовал 10 лет
> и НИКТО не озаботился его существованием там... Да и сейчас- после
> тщательного аудита не факт что найдут.Самое смешное, что уже согласились что бэкдор там есть. Точно, есть, в /usr/src/sys/...
Скоро появяться свидетели что он там был... Шоу.
У Вас хватит знаний, навыков и сил проверить весь код всей системы??? Не порите чушь, мил человек! То, что Вы посмотрите на код реализации какой-то функции, не даст Вам ответа, как эта фукнция ведет себя при работе ВСЕЙ системы. Вы просто физически не сможете это сделать. И Вы не будете знать, даст комбинация каких-то функций в системе бэкдор или нет, Вы также не будете знать, бэкдор это вообще или нет.
Грустно, но на практике у опен сорса нет преимуществ перед закрытым софтом, как бы не пытались некоторые доказать обратное.
> У Вас хватит знаний, навыков и сил проверить весь код всей системы???Да, я супермозг, у меня хватило навыков и сил. Я проверил весь код всей freebsd. Нет ниодной закладки.
Докажи обратное, луноход.
>> У Вас хватит знаний, навыков и сил проверить весь код всей системы???
> Да, я супермозг, у меня хватило навыков и сил. Я проверил весь
> код всей freebsd. Нет ниодной закладки.
> Докажи обратное, луноход.Время докажет.
>> У Вас хватит знаний, навыков и сил проверить весь код всей системы???
> Да, я супермозг, у меня хватило навыков и сил. Я проверил весь
> код всей freebsd. Нет ниодной закладки.
> Докажи обратное, луноходплохо проводил. Посмотри внимательней на реализацию tcp/ip v6.
>>> У Вас хватит знаний, навыков и сил проверить весь код всей системы???
>> Да, я супермозг, у меня хватило навыков и сил. Я проверил весь
>> код всей freebsd. Нет ниодной закладки.
>> Докажи обратное, луноход
> плохо проводил. Посмотри внимательней на реализацию tcp/ip v6.# du -h /usr/src/sys/netinet6/*.c
4.0K /usr/src/sys/netinet6/dest6.c
22K /usr/src/sys/netinet6/frag6.c
74K /usr/src/sys/netinet6/icmp6.c
72K /usr/src/sys/netinet6/in6.c
10K /usr/src/sys/netinet6/in6_cksum.c
12K /usr/src/sys/netinet6/in6_gif.c
26K /usr/src/sys/netinet6/in6_ifattach.c
74K /usr/src/sys/netinet6/in6_mcast.c
26K /usr/src/sys/netinet6/in6_pcb.c
20K /usr/src/sys/netinet6/in6_proto.c
14K /usr/src/sys/netinet6/in6_rmx.c
34K /usr/src/sys/netinet6/in6_src.c
18K /usr/src/sys/netinet6/ip6_forward.c
10K /usr/src/sys/netinet6/ip6_id.c
44K /usr/src/sys/netinet6/ip6_input.c
12K /usr/src/sys/netinet6/ip6_ipsec.c
52K /usr/src/sys/netinet6/ip6_mroute.c
74K /usr/src/sys/netinet6/ip6_output.c
88K /usr/src/sys/netinet6/mld6.c
56K /usr/src/sys/netinet6/nd6.c
40K /usr/src/sys/netinet6/nd6_nbr.c
60K /usr/src/sys/netinet6/nd6_rtr.c
24K /usr/src/sys/netinet6/raw_ip6.c
4.0K /usr/src/sys/netinet6/route6.c
12K /usr/src/sys/netinet6/scope6.c
36K /usr/src/sys/netinet6/sctp6_usrreq.c
28K /usr/src/sys/netinet6/udp6_usrreq.cГде смотреть, подскажите пожалуйста?
///
Пилять, еще немного, и начну на этот форум код стека копипастить кусками, что бы указали где СТРАШНАЯ ДЫРЕНЬ ОТ ЦРУ :)
Новость подтверждает обратное.
> Новость подтверждает обратное.Новость ничего не подтверждает пока что.
> Грустно, но на практике у опен сорса нет преимуществ перед закрытым софтом,
> как бы не пытались некоторые доказать обратное.Вы, никак, с какой-то другой планеты, где принято сравнивать отсутствие возможностей с их наличием и делать лицо кирпичом, будто так и надо.
Нет чтоб к сессии готовиться, так лезут поумничать...
У open-source изначально есть одно главное преимущество: если разработчик умер (ему надоело поддерживать программу/программа не работает для новых ОС), а у вас целое производство на этой программе работает - можно самому допилить эту программу - суть опен-соурса в том, что софт никогда не помрет если есть пользователи которым этот софт нужен
> Грустно, но на практике у опен сорса нет преимуществ перед закрытым софтом,
> как бы не пытались некоторые доказать обратное.Да, если нет мозга - преимуществ нет. Однозначно.
Вы код /usr/src/sys/netinet/ смотрели? Там его с гулькин хрен. Пипл перелазил и перелопатил его по диагонали сотни раз.
# ls -lh /usr/src/sys/netinet/
total 6904
-rw-r--r-- 1 root wheel 2.1K 21 Jan 2010 accf_data.c
-rw-r--r-- 1 root wheel 3.5K 21 Jan 2010 accf_dns.c
-rw-r--r-- 1 root wheel 8.4K 21 Jan 2010 accf_http.c
-rw-r--r-- 1 root wheel 25K 23 Jul 04:51 icmp6.h
-rw-r--r-- 1 root wheel 3.8K 21 Jan 2010 icmp_var.h
-rw-r--r-- 1 root wheel 9.8K 21 Jan 2010 if_atm.c
-rw-r--r-- 1 root wheel 2.0K 21 Jan 2010 if_atm.h
-rw-r--r-- 1 root wheel 24K 23 Jul 04:51 if_ether.c
-rw-r--r-- 1 root wheel 4.3K 21 Jan 2010 if_ether.h
-rw-r--r-- 1 root wheel 96K 23 Jul 04:51 igmp.c
-rw-r--r-- 1 root wheel 5.3K 21 Jan 2010 igmp.h
-rw-r--r-- 1 root wheel 7.8K 21 Jan 2010 igmp_var.h
-rw-r--r-- 1 root wheel 40K 23 Jul 04:51 in.c
-rw-r--r-- 1 root wheel 28K 23 Jul 04:51 in.h
-rw-r--r-- 1 root wheel 4.1K 21 Jan 2010 in_cksum.c
> Вы код /usr/src/sys/netinet/ смотрели? Там его с гулькин хрен. Пипл перелазил и
> перелопатил его по диагонали сотни раз.а вы на netipsec смотрели? который во фре таки из опенька утянут.
>> Вы код /usr/src/sys/netinet/ смотрели? Там его с гулькин хрен. Пипл перелазил и
>> перелопатил его по диагонали сотни раз.
> а вы на netipsec смотрели? который во фре таки из опенька утянут.Да.
# du -h $(grep -il openbsd /usr/src/sys/net*/*.c)
56K /usr/src/sys/net/bridgestp.c
84K /usr/src/sys/net/if_bridge.c
10K /usr/src/sys/net/if_enc.c
40K /usr/src/sys/net/if_lagg.c
16K /usr/src/sys/net/if_spppfr.c
10K /usr/src/sys/net80211/ieee80211_amrr.c
140K /usr/src/sys/netinet/sctp_usrreq.c
74K /usr/src/sys/netinet6/icmp6.c
10K /usr/src/sys/netinet6/ip6_id.c
36K /usr/src/sys/netinet6/sctp6_usrreq.c
----
24K /usr/src/sys/netipsec/ipsec_input.c
30K /usr/src/sys/netipsec/xform_ah.c
26K /usr/src/sys/netipsec/xform_esp.c
18K /usr/src/sys/netipsec/xform_ipcomp.c
18K /usr/src/sys/netipsec/xform_ipip.c
----# wc -l /usr/src/sys/netipsec/xform_ipcomp.c
623 /usr/src/sys/netipsec/xform_ipcomp.c# echo 632/65 | bc -l
9.72307692307692307692Только не спрашивайте на предмет анализа текста - не задавался целью.
# cd /usr/src/sys/netipsec/
# svn log xform_ipcomp.c | grep '^r.*|'
r209145 | kensmith | 2010-06-14 05:09:06 +0300 (Mon, 14 Jun 2010) | 4 lines
r200149 | bz | 2009-12-05 21:25:29 +0200 (Sat, 05 Dec 2009) | 5 lines
r200148 | bz | 2009-12-05 21:21:58 +0200 (Sat, 05 Dec 2009) | 12 lines
r200146 | bz | 2009-12-05 21:11:02 +0200 (Sat, 05 Dec 2009) | 4 lines
r200144 | bz | 2009-12-05 21:07:28 +0200 (Sat, 05 Dec 2009) | 11 lines
r200143 | bz | 2009-12-05 21:06:03 +0200 (Sat, 05 Dec 2009) | 3 lines
r200141 | bz | 2009-12-05 21:03:20 +0200 (Sat, 05 Dec 2009) | 4 lines
r199583 | jhb | 2009-11-20 17:27:52 +0200 (Fri, 20 Nov 2009) | 2 lines
r199578 | bms | 2009-11-20 14:30:40 +0200 (Fri, 20 Nov 2009) | 4 lines
r196045 | kensmith | 2009-08-03 11:13:06 +0300 (Mon, 03 Aug 2009) | 4 lines
r196019 | rwatson | 2009-08-01 22:26:27 +0300 (Sat, 01 Aug 2009) | 9 lines
r195782 | rwatson | 2009-07-20 16:55:33 +0300 (Mon, 20 Jul 2009) | 14 lines
r195699 | rwatson | 2009-07-15 01:48:30 +0300 (Wed, 15 Jul 2009) | 39 lines
r190909 | zec | 2009-04-11 08:58:58 +0300 (Sat, 11 Apr 2009) | 56 lines
r190787 | zec | 2009-04-07 01:29:41 +0300 (Tue, 07 Apr 2009) | 29 lines
r185088 | zec | 2008-11-19 11:39:34 +0200 (Wed, 19 Nov 2008) | 23 lines
r183550 | zec | 2008-10-02 18:37:58 +0300 (Thu, 02 Oct 2008) | 29 lines
r181803 | bz | 2008-08-18 02:27:27 +0300 (Mon, 18 Aug 2008) | 23 lines
r179290 | bz | 2008-05-24 18:32:46 +0300 (Sat, 24 May 2008) | 3 lines
r171744 | rwatson | 2007-08-06 17:26:03 +0300 (Mon, 06 Aug 2007) | 14 lines
r157062 | pjd | 2006-03-24 01:26:34 +0200 (Fri, 24 Mar 2006) | 5 lines
r156756 | sam | 2006-03-15 23:11:11 +0200 (Wed, 15 Mar 2006) | 6 lines
r139823 | imp | 2005-01-07 03:45:51 +0200 (Fri, 07 Jan 2005) | 2 lines
r125099 | sam | 2004-01-27 19:43:49 +0200 (Tue, 27 Jan 2004) | 2 lines
r120585 | sam | 2003-09-30 01:57:43 +0300 (Tue, 30 Sep 2003) | 51 lines
r119643 | sam | 2003-09-01 08:35:55 +0300 (Mon, 01 Sep 2003) | 10 lines
r117058 | sam | 2003-06-30 08:09:32 +0300 (Mon, 30 Jun 2003) | 6 lines
r116925 | sam | 2003-06-27 23:10:03 +0300 (Fri, 27 Jun 2003) | 6 lines
r111297 | sam | 2003-02-23 09:25:48 +0200 (Sun, 23 Feb 2003) | 17 lines
r105197 | sam | 2002-10-16 05:10:08 +0300 (Wed, 16 Oct 2002) | 22 lines
> Да.userland к своим выкладкам приплюсуйте)
и что вы хотите показать считая строки кода?
где-то в треде была ссылка на DAA (FIPS 113), ушло 25лет прежде чем обнаружили уязвимость алгоритма.
А кода там с гулькин нос.
> и что вы хотите показать считая строки кода?Вам необходимо все diff's опубликовать, вместе с кодом? :)
> где-то в треде была ссылка на DAA (FIPS 113), ушло 25лет прежде
> чем обнаружили уязвимость алгоритма.
> А кода там с гулькин нос.Где-то там что-то там что вы когда-то где-то слышали.
Паранойя дистанционно не лечиться.FIPS PUB 113
Computer Data Authentication 1985, specifies a Data Authentication Algorithm (DAA) based on DES, adopted by the Department of Treasury and the banking community to protect electronic fund transfers.
http://www.itl.nist.gov/fipspubs/fip113.htmДавно устарел. Как и DES. Может кто и пользуется.
man setkey:
The following is the list of encryption algorithms that can be used as the ealgo in the -E ealgo of the protocol parameter:
algorithm keylen (bits) comment
des-cbc 64 esp-old: rfc1829, esp: rfc2405
3des-cbc 192 rfc2451
null 0 to 2048 rfc2410
blowfish-cbc 40 to 448 rfc2451
cast128-cbc 40 to 128 rfc2451
des-deriv 64 ipsec-ciph-des-derived-01
3des-deriv 192 no document
rijndael-cbc 128/192/256 rfc3602
aes-ctr 160/224/288 draft-ietf-ipsec-ciph-aes-ctr-03
camllia-cbc 128/192/256 rfc4312Учитывая, что для шифрования пакетов могу выбрать aes, blowfish, rijndael или cast128 произвольно, толку в закладке в одном криптоалгоритме шифрования?
> Учитывая, что для шифрования пакетов могу выбрать aes, blowfish, rijndael или cast128
> произвольно, толку в закладке в одном криптоалгоритме шифрования?Голову дадите, что еще через дцать лет не найдут тоже самое в любом из перечисленных алгоритмов?
>> Учитывая, что для шифрования пакетов могу выбрать aes, blowfish, rijndael или cast128
>> произвольно, толку в закладке в одном криптоалгоритме шифрования?
> Голову дадите, что еще через дцать лет не найдут тоже самое
> в любом из перечисленных алгоритмов?Есть криптоаналитики с разных стран, жрущие подобные алгоритмы на завтрак, на гранты. Открыто публикующиеся.
Через 100 лет, еще меня спросите. Нахрена обсуждать сферического коня в вакууме? В криптографии оперируют статистическими оценками, не 1/0.
Когда вычислительны ресурсы будут в 2^12 выше - эти алгоритмы уже неинтересны, и будут нуждаться в замене/доработке.
Мне, при имеющихся задачах, достаточно для ipsec их криптостойкости в ближайшие несколько лет, а может и более. Тем более что у меня есть выбор алгоритмов и их комбинаций, возможность применять криптование в криптовании, и основное слабое место в безопасности/устойчивости - это люди и их социальные организации.
> Есть криптоаналитики с разных стран, жрущие подобные алгоритмы на завтрак, на гранты.
> Открыто публикующиеся.Ну сходите, почитайте что пишет дьдька Шнайдер про AES.
> Через 100 лет, еще меня спросите. Нахрена обсуждать сферического коня в вакууме?
Отвечу вопросом на вопрос.
Зачем вы пишете какие-то глупости считая какие-то строки кода ядра freebsd, причем вовсе не те строки в которых следует искать проблему, вместо того чтоб сидеть на попе ровно и ждать пока на американском контенте наступет утро, дяди проснуться и скажут что сабж гон?> В криптографии оперируют статистическими оценками, не 1/0.
Вы явно не понимаете о чем говорите. Упомянутый сферический конь в лице DAA был довольна устойчив по всем оценкам, до тех пор пока не доказали слабость алгоритма.
Вы уверены что всевозможные агенства при госдепе не знали этого. раньше?
> Когда вычислительны ресурсы будут в 2^12 выше - эти алгоритмы уже неинтересны,
> и будут нуждаться в замене/доработке.Все верно. При условии что оценка этих ресурсов верна.
>> Есть криптоаналитики с разных стран, жрущие подобные алгоритмы на завтрак, на гранты.
>> Открыто публикующиеся.
> Ну сходите, почитайте что пишет дьдька Шнайдер про AES.Все в райне возможно в какой-то там степени.
И что? Есть реализованные алгоритмы декрипта ipsec c aes SA/SPD?>> Через 100 лет, еще меня спросите. Нахрена обсуждать сферического коня в вакууме?
> Отвечу вопросом на вопрос.
> Зачем вы пишете какие-то глупости считая какие-то строки кода ядра freebsd, причемЧто бы показать еще большие параноидальные глупости :))
> вовсе не те строки в которых следует искать проблему, вместо того
> чтоб сидеть на попе ровно и ждать пока на американском контенте
> наступет утро, дяди проснуться и скажут что сабж гон?Развлекаться. Зима, холодно, жена в командировке. Скучно.
И такую же хрень читал 10, 9, 8... лет назад :)Кстати, почему вы сабж гон? Вы проверяли, что это точно те гм... "дяди"? Сообщения подписаны RSA/DSA? А вы уверены что это именно их ключи? А вы уверены что эти люди существуют вообще?
>> В криптографии оперируют статистическими оценками, не 1/0.
> Вы явно не понимаете о чем говорите. Упомянутый сферический конь в лице
> DAA был довольна устойчив по всем оценкам, до тех пор пока
> не доказали слабость алгоритма.
> Вы уверены что всевозможные агенства при госдепе не знали этого. раньше?А кто его пользовал в OpenBSD и вообще BSD? Давайте оперировать фактами, а не предположениями.
Если спустя 25 лет обнаружили слабость криптоалгоритма - это не значит ваши данные декриптовали 20 лет назад. И что она это было возможно 5 лет назад.Не уверены ни в чем? Выдернете сетевой шнур и двигайте флешкой. Хотя, и этому тоже нельзя доверять.
>> Когда вычислительны ресурсы будут в 2^12 выше - эти алгоритмы уже неинтересны,
>> и будут нуждаться в замене/доработке.
> Все верно. При условии что оценка этих ресурсов верна.Закон Жмура, пилять.
>> Ну сходите, почитайте что пишет дьдька Шнайдер про AES.
> Все в райне возможно в какой-то там степени.
> И что? Есть реализованные алгоритмы декрипта ipsec c aes SA/SPD?Идите еще читайте, потом еще, до тех пор пока не поймете, что стойкость крипто-алгоритма
определяется не наличием или отсутствием какого то декриптора.>> Зачем вы пишете какие-то глупости считая какие-то строки кода ядра freebsd, причем
> Что бы показать еще большие параноидальные глупости :))Пока своими подсчетами вы только показали свое не знание BSD реализации IPSEC.
> Кстати, почему вы сабж гон? Вы проверяли, что это точно те гм...
Почему гон? Потому, что не верю во вдруг проснувшеюся совесть)
> "дяди"? Сообщения подписаны RSA/DSA? А вы уверены что это именно их
> ключи? А вы уверены что эти люди существуют вообще?Тео видел в живую лет 6 назад)
а вот остальных нет)))> Если спустя 25 лет обнаружили слабость криптоалгоритма - это не значит ваши
> данные декриптовали 20 лет назад. И что она это было возможно
> 5 лет назад.Так и наличие бэкдора, ну или просто ремот рута в чем угодно, не означает что его будут использовать ведь правда?)
> Закон Жмура, пилять.
Мимо кассы.
>> И что? Есть реализованные алгоритмы декрипта ipsec c aes SA/SPD?
> Идите еще читайте, потом еще, до тех пор пока не поймете, что
> стойкость крипто-алгоритма
> определяется не наличием или отсутствием какого то декриптора.А чем как не алгоритмом декрипта без знания ключей во времени? А я наивно думал, алгоритмы крипта для скрытия информации, декрипта без знания ключей - для ея некузявого чтения, а они оказываются для сферических коней в вакууме.
>>> Зачем вы пишете какие-то глупости считая какие-то строки кода ядра freebsd, причем
>> Что бы показать еще большие параноидальные глупости :))
> Пока своими подсчетами вы только показали свое не знание BSD реализации IPSEC.А вы показали знание. Угу. :)
Вы бы посмотрели на какие посты ответы писал, и стоило ли отписывать структуру ISAKMP/SA со всем алгоритмом, и местом криптоалгориритмов в ответ на эти посты. Там сложнее RTFM можно не отвечать :)
И очень горю показывать знания - на хрен мне это вообще упало, вы не задались вопросом? :)>> ключи? А вы уверены что эти люди существуют вообще?
> Тео видел в живую лет 6 назад)
> а вот остальных нет)))Они эмулируються на суперкомпьютере в Дубне. И я тоже.
>> Закон Жмура, пилять.
> Мимо кассы.Ну как - уже отменили, распараллелились и ушли в облачные вычисления? Как жаль... Не знал....
> Ну, и где те фанатики, которые всегда с пеной у рта орали,
> что опен сорс рулит и в нем всегда можно быть увереным,
> так как открыт исходный код? Вытерлись? Я всегда говорил, что типичный
> линуксоид, бзд-ник и прочий любитель опен сорса НИКОГДА не делал аудит
> всей системы, поэтому утверждать, что там все шоколадно-полное безумие.Почему вдруг только фанатики и с пеной? Любому нормальному человеку ясно, что опенсорсу в плане отсутствия компроментирующего кода можно больше доверять чем проприаритарщине. Даже значительно больше. А кому не ясно, тот просто не совсем нормальный человек.
Что с логикой дядя?
Из этой новости следует, что всё закрытое кишьмя кишит бэкдорами и в плане конфедициональности информации конечного пользователя много хуже.
> Ну, и где те фанатики, которые всегда с пеной у рта орали,
> что опен сорс рулит и в нем всегда можно быть увереным,
> так как открыт исходный код? Вытерлись? Я всегда говорил, что типичный
> линуксоид, бзд-ник и прочий любитель опен сорса НИКОГДА не делал аудит
> всей системы, поэтому утверждать, что там все шоколадно-полное безумие.Luca, залогиньтесь!
никто никогда не орал что можно быть на 100% уверенным в Open Source...
но то что Open Source безопаснее чем Проприетарщина -- это же очевидно!!
если в Open Source нашли (хотя ещё не нашли) -- хотябы ОДИН бэкдор... то значит в Closed Source этих бэкторов в 100500 раз больше (от каждой спец.службы по 30 бэкдоров) !!
такчто -- ничего не поменялось -- Open Source как и раньше -- рулит в безопасности...
...а Цыски и прочее Closed Software -- как и раньше -- дырявое решето :-)
>Luca, залогиньтесь!Кто такой Ваш Лука?
>но то что Open Source безопаснее чем Проприетарщина -- это же очевидно!!
Новость подтверждает обратное.
>если в Open Source нашли (хотя ещё не нашли) -- хотябы ОДИН бэкдор... то значит в Closed Source этих бэкторов в 100500 раз больше (от каждой спец.службы по 30 бэкдоров) !!
Его даже не нашли, о его существовании проговорился сам его внедренец. Код постоянно смотрели все, как говорилось выше - "вакуумные" программисты, сисадмины и прочие фапальщики на открытые сорцы.
>такчто -- ничего не поменялось -- Open Source как и раньше -- рулит в безопасности...
Факт разработки SELinux таким агентством, как АНБ, наводит на мысли иного рода. Потенциальные бэкдоры в самом "непробиваемом" БСД тоже говорят не о рулеже в безопасности, а больше о пиаре.
> Потенциальные бэкдоры в самом "непробиваемом" БСД тоже говорят не о рулеже
> в безопасности, а больше о пиаре.Пожалуйста, укажите категории бэкдоров, и как они могут быть реализованы, так, что бы пятеро-четверо разработчиков модуля (подсистемы) из разных стран его не заметили в течении, скажем, полугода ковыряния над модулем, что в голове за годы работы над кодом уже почти наизусть.
Интересна ваша квалификация как эксперта.
>Новость подтверждает обратное.Ложь. Новость лишь говорит, что в OpenBSD [возможно] 10 лет назад был внедрен бэкдор.
О бэкдорах в проприетарных ОС так же пишут новости и в разы чаще. Как говорится, толсто.
> Ну, и где те фанатики, которые всегда с пеной у рта орали,
> что опен сорс рулит и в нем всегда можно быть увереным,
> так как открыт исходный код?У фанатиков и спрашивайте. Есть нормальные ошибки, статистическое распределение их примерно одинаково в публичных и коммерческих проектах.
Вот только бэкдор в систему с публично доступным текстом не имеет смысла вкладывать - вокруг каждого модуля тройка-пяток разработчиков трудяться, часто из разных стран.
# cd /usr/src/sys/netipsec/
# svn log ipsec_input.c | grep '^r.*|'
r209145 | kensmith | 2010-06-14 05:09:06 +0300 (Mon, 14 Jun 2010) | 4 lines
r199583 | jhb | 2009-11-20 17:27:52 +0200 (Fri, 20 Nov 2009) | 2 lines
r199578 | bms | 2009-11-20 14:30:40 +0200 (Fri, 20 Nov 2009) | 4 lines
r196045 | kensmith | 2009-08-03 11:13:06 +0300 (Mon, 03 Aug 2009) | 4 lines
r196019 | rwatson | 2009-08-01 22:26:27 +0300 (Sat, 01 Aug 2009) | 9 lines
r195699 | rwatson | 2009-07-15 01:48:30 +0300 (Wed, 15 Jul 2009) | 39 lines
r194062 | vanhu | 2009-06-12 18:44:35 +0300 (Fri, 12 Jun 2009) | 14 lines
r193947 | bz | 2009-06-10 22:25:46 +0300 (Wed, 10 Jun 2009) | 2 lines
r193219 | rwatson | 2009-06-01 13:41:38 +0300 (Mon, 01 Jun 2009) | 84 lines
r185571 | bz | 2008-12-02 23:37:28 +0200 (Tue, 02 Dec 2008) | 10 lines
r183550 | zec | 2008-10-02 18:37:58 +0300 (Thu, 02 Oct 2008) | 29 lines
r181803 | bz | 2008-08-18 02:27:27 +0300 (Mon, 18 Aug 2008) | 23 lines
r181627 | vanhu | 2008-08-12 12:05:01 +0300 (Tue, 12 Aug 2008) | 6 lines
r179290 | bz | 2008-05-24 18:32:46 +0300 (Sat, 24 May 2008) | 3 lines
r174054 | bz | 2007-11-29 00:33:53 +0200 (Thu, 29 Nov 2007) | 18 lines
r172149 | gnn | 2007-09-12 08:54:53 +0300 (Wed, 12 Sep 2007) | 8 lines
r171497 | bz | 2007-07-19 12:57:54 +0300 (Thu, 19 Jul 2007) | 4 lines
r170797 | bz | 2007-06-16 01:23:33 +0300 (Sat, 16 Jun 2007) | 8 lines
...
> Ну, и где те фанатики, которые всегда с пеной у рта орали,
> что опен сорс рулит и в нем всегда можно быть увереным,
> так как открыт исходный код? Вытерлись? Я всегда говорил, что типичный
> линуксоид, бзд-ник и прочий любитель опен сорса НИКОГДА не делал аудит
> всей системы, поэтому утверждать, что там все шоколадно-полное безумие.Вы этот вывод сделали на основании пока ничем не подтверждённого заявления в интернетах?
Вообще говоря, если всё правда, то отличную стратегию выбрала ФБР.
Факт копипастинга кода, выходящего под BSD-like лицензиями, кем только не лень общеизвестен. Таким образом, можно распростанить эту дыру во множество других продуктов, открытых, проприетарных и прочих, не прилагая к этому никаких усилий.
Полный анализ на наличие подозрительного кода врядли будут проводить, если вообще будут: репутация OpenBSD как самой безопасной системы этому способствует.
ещё скажите что в винде и маках бекдоров нет.
> ещё скажите что в винде и маках бекдоров нет.пардон, это ответ на комментарий выше
>Факт копипастинга кода, выходящего под BSD-like лицензиями, кем только не лень общеизвестен.Софистика, переходящая в бред.
Из FreeBSD 8.1, там где скопипастено - помечают что скопипастено из OpenBSD:
# grep -i openbsd /usr/src/sys/net*/*.c | wc -l
27# ls -1 /usr/src/sys/net*/*.c | wc -l
266# du -h $(grep -il openbsd /usr/src/sys/net*/*.c)
56K /usr/src/sys/net/bridgestp.c
84K /usr/src/sys/net/if_bridge.c
10K /usr/src/sys/net/if_enc.c
40K /usr/src/sys/net/if_lagg.c
16K /usr/src/sys/net/if_spppfr.c
10K /usr/src/sys/net80211/ieee80211_amrr.c
140K /usr/src/sys/netinet/sctp_usrreq.c
74K /usr/src/sys/netinet6/icmp6.c
10K /usr/src/sys/netinet6/ip6_id.c
36K /usr/src/sys/netinet6/sctp6_usrreq.c
24K /usr/src/sys/netipsec/ipsec_input.c
30K /usr/src/sys/netipsec/xform_ah.c
26K /usr/src/sys/netipsec/xform_esp.c
18K /usr/src/sys/netipsec/xform_ipcomp.c
18K /usr/src/sys/netipsec/xform_ipip.cКак вы думаете, 18K кода на С - это дофига?
# wc -l /usr/src/sys/netipsec/xform_ipcomp.c
623 /usr/src/sys/netipsec/xform_ipcomp.c# echo 632/65 | bc -l
9.7230769230769230769210 страниц текста на С. Жуть какая :)
Что, каждый раз помечают? Ни разу нигде никогда не упустили откуда код?
Только из OpenBSD берется код (а как же NetBSD и др. проекты)?
А почему grep ограничился только net* подсистемой? Остальные части системы не участвуют в копипастинге?Да и вопрос, то, не про OpenBSD=>FreeBSD, а об AllBSDSoftware=>AllKindsOfSoftware,
проверить последнее grep'ом тебе не удастся.Выше в комментах разобрали случай внедрения дыры "wait4" ("Достаточно одной таблэтки.")
Достаточно одного символа в коде, а что уж говорить про 18К ...
> Что, каждый раз помечают? Ни разу нигде никогда не упустили откуда код?Угу. Наверное, у ребят дурная привычка.
> Только из OpenBSD берется код (а как же NetBSD и др. проекты)?
Речь шла об OpenBSD, или уже будем весь код в мире на части разбирать? :)
> А почему grep ограничился только net* подсистемой? Остальные части системы не участвуют
> в копипастинге?Найдите еще ;)
> Да и вопрос, то, не про OpenBSD=>FreeBSD, а об AllBSDSoftware=>AllKindsOfSoftware,
> проверить последнее grep'ом тебе не удастся.А весь мир и не собирался. У меня под рукой FreeBSD.
> Выше в комментах разобрали случай внедрения дыры "wait4" ("Достаточно одной таблэтки.")
И что? Раз в году рыжий в соседнем дворе в дерьмо вляпывается - будем говорить о тотальном геноциде рыжих?
> Достаточно одного символа в коде, а что уж говорить про 18К ...
Вы не хотите найти и указать мест в коде ipsec, где будет достаточно нескольких строк и это никто не заметит?
Еще раз повторяю, речь не идет только об одном ipsec, а о всем BSD коде, части которого, либо весь BSD проект может появиться (и появляется) практически в любом другом проете (а че? - халява). Это должно быть очевидно из первого поста в ветке.> Найдите еще ;)
> Вы не хотите найти и указать мест в коде ipsec, где будет достаточно нескольких строк и это никто не заметит?Это же ты взялся grep'ить что под руки попало, чего стрелки переводишь ?
> Еще раз повторяю, речь не идет только об одном ipsec, а о
> всем BSD коде, части которого, либо весь BSD проект может появиться
> (и появляется) практически в любом другом проете (а че? - халява).
> Это должно быть очевидно из первого поста в ветке.Пофлудим о сферических конях в вакууме и мировом заговоре? :)
>> Найдите еще ;)
>> Вы не хотите найти и указать мест в коде ipsec, где будет достаточно нескольких строк и это никто не заметит?То есть код ipsec в /usr/src/ анонимусы ни разу не видели? Как внедрить код для создания несанкционирования копирования ключей, ... и прочего управления алгоритма ipsec стека - тоже не представляют?
Особенно мне понравилось :), что никто даже не заикнулся про ISAKMP и его демоническую алгоритмику, и меня не поправили - а именно это место есть самое разумное для внедрения двустороннего несанкционированого управления SA/SPD, или копирования-публикации ключей, например сессионных. Вот это можно организовать в десяток строк, но будет заметно в коде как слово уй черной краской на белом заборе.
Внедрять слабый крипто-алгоритм в одноименную библиотеку не имеет смысла - их много, и какой применять не предугадать, второе - дык есть вторая сторона, и она тоже должна быть модифицирована.
Следущее - такой метод это как стрельба из пушки по воробьям.> Это же ты взялся grep'ить что под руки попало, чего стрелки переводишь
> ?У меня под руками в буке (физически, под клавитурой демоны бегают :) ) - freebsd, лет как 8 (до этого была своя сборка linux на базе slackware & rpm). Распаковывать нечто иное - лень, уже насмотрелся и наковырялся, уже неинтересно.
На примере freebsd /usr/src/sys/ показываю объем кода, который импортирован, и довольно значимо переработан группой разработчиков. Лезть в код - лениво, много лет назад разбирал, теперь забываю и снова ... лениво, уже другие интересы :)
Переработка кода подразумевает осознание алгоритмов - даже если не базового маткриптографического, то системного уж точно. И какие, нахрен, закладки? В коде все работало бы как задумалось разработчикам и по стандартам, и то хорошо. А если системно, но лаконично расписано - то ваще все лапочки :)Хочеться прогнуть мир под свою паранойю - да вперед, и с песней. Вас еще и рентгеном с монитора просвечивают :)
Чайку лучшее потяну свеже-узкоглазого :)
Allegations of FBI involvement in OpenBSD IPSEC
Scott Lowe <scott.lowe <at> scottlowe.org>
2010-12-15 02:16:15 GMTI'm posting this message in the spirit of honesty and transparency.
My name was recently involved in allegations of FBI involvement in the
development of OpenBSD IPSEC. For the record: I am not, nor have I ever been,
affiliated with or employed by the FBI or any other government agency. My
advocacy of OpenBSD has been strictly due to my appreciation of the project.
There is no secret agenda here.--
Scott
Таки фейк?
>[оверквотинг удален]
> development of OpenBSD IPSEC. For the record: I am not, nor have
> I ever been,
> affiliated with or employed by the FBI or any other government agency.
> My
> advocacy of OpenBSD has been strictly due to my appreciation of the
> project.
> There is no secret agenda here.
> --
> Scott
> Таки фейк?Просто у него срок неразглашения 20 лет...
Откуда письмо то?
http://permalink.gmane.org/gmane.os.openbsd.tech/22560
> http://permalink.gmane.org/gmane.os.openbsd.tech/22560И кто-то за него месадж составил.
Фраза
I am not, nor have I ever been,
affiliated with or employed by the FBI or any other government agency.уместна в юридическом документе. В нормальной жизни так imho не говорят. А тут его шо называется взяли за хозяйство - и эшь как заговорил....чтоб никакой панимашь двусмысленности небыло... чтоб никак иначе истрактовать нельзя было....
> Таки фейк?Этот просто отмазался, что рекламировал опенек из любви к нему а не по указке ФБР)
Честно говоря - очень похоже на фейк.We have never allowed US citizens or foreign citizens working in the US
to hack on crypto code (Niels Provos used to make trips to Canada to
develop OpenSSH for this reason), so direct interference in the crypto
code is unlikely. It would also be fairly obvious - the crypto code
works as pretty basic block transform API, and there aren't many places
where one could smuggle key bytes out. We always used arcrandom() for
generating random numbers when we needed them, so deliberate biases of
key material, etc would be quite visible.So a subverted developer would probably need to work on the network stack.
I can think of a few obvious ways that they could leak plaintext or key
material:
Ассандж №2?
А я таки знал, блин знал. Я им сразу не доверял, уж больно мутный дистр.
Вентилятор радостно взвизгнул и разбросал по всей комнате..."Это всё придумал Черчиль в восемнадцатом году!"
(Пойду-ка на всякий случай прикуплю попкорна и устроюсь поудобнее. Ща начнётся :))
Вот для этого и нужна национальная операционная система. И делать ее надо не на базе линукса а с нуля.
Со своими, национальными дырами и закладками.
> Со своими, национальными дырами и закладками.Так ради этого все и затевается. Плюс попилизация всей страны.
так наши еще больше бэкдоров наделают!!!
А уж дыр-то наделают, сами того не зная
наверно она никому не нужна, если где можно пользуют винду, а там где нельзя то нельзя любую.
Ой новость, ой удивили :)
Вот только процессор наш спаяем на КТ315 и разгоним его до 200Мгц
А 200 МГц для КТ315 не многовато будет?
> А 200 МГц для КТ315 не многовато будет?250 предел
> Вот только процессор наш спаяем на КТ315 и разгоним его до 200Мгц
Уже сколько раз писали про бегдоры на разных ОС и сидят эти бекдоры по нескольку лет. Так что не удивительно. Вопрос в другом.Эти уязвимости показывают, что насколько ущербна безопасность многолитного ядра и собственно языка С и С++. Надо писать микроядро на языке Паскаль и колбасить мозги.
> Эти уязвимости показывают, что насколько ущербна безопасность многолитного ядра
> и собственно языка С и С++.Из этого следует, что тот кто знает английский - шпиён (с) 1937-1953 гг.
> Надо писать микроядро на языке Паскаль и колбасить мозги.
Всех расстрелять и писать на Кумире.
Думаете, в Паскале не придется память вручную освобождать? Хотя строки там действительно малость получше. Но ненужной писанины просто адски много и в самых неожиданных местах
Пример кода в студию!
> многолитного [...] Паскаль [...] колбасить(уходит, давясь рыданиями)
> (уходит, давясь рыданиями)Осторожнее, Михаил, это всего лишь школоло-тролль. А Вы нам ещё нужны.
>> многолитного [...] Паскаль [...] колбасить
> (уходит, давясь рыданиями)По определению понятно, что сделать бэкдор в монолите проще, чем в микроядре. Микроядерный код проще верифицировать.
> По определению понятно, что сделать бэкдор в монолите проще, чем в микроядре. Микроядерный код проще верифицировать.Недавно обсуждали на ЛОРе. Не легче. Алгоритмы передачи сообщений в микроядре значительно усложняют код, а не упрощают его.
FreeBSD, с большой вероятность имеет тот же нюанс.Понятно никто не признается и все будут отрицать это.
А почему слово "бэкдор" в заголовке в единственном числе?
FBI implemented a number of backdoors and
side channel key leaking mechanisms into the OCF, for the express
purpose of monitoring the site to site VPN encryption system
implemented by EOUSA, the parent organization to the FBI.
ФБР внедрило несколько бэкдоров и побочных канальных механизмов утечки ключей в OCF, для явно выраженной цели мониторинга системы шифрования "site to site VPN", внедрённой EOUSA, родительской организацией ФБР.
Также не только Jason Wright был задействован, а несколько человек, которые с ним работали.
Новость, конечно, очень неприятная, особенно для репутации OpenBSD.
Между прочим, в США распространение ПО приравнено к распространению вооружений. Думается, что бэкдор так или иначе есть везде. И это не новость.
> Между прочим, в США распространение ПО приравнено к распространению вооружений. Думается,
> что бэкдор так или иначе есть везде. И это не новость.У себя в голове не проверяли?
превый вопрос
одобрена ли OpenBSD российскими спецслужбами ?
если одобрена , кто одобрил того на кол ?второй вопрос
вы всё ещё верите что в линукс или freebsd нет бекдора ? :)
проскакивали как-то сообщения что МСФТ борется с палёными установками софта через сообщения от какого-то левого системного сервиса, который инвентори софта им втихаря шлёт...
устал уже повторять, что OpenBSD как Неуловимый Джо
> вы всё ещё верите что в линукс или freebsd нет бекдора ? :)Есть. Даешь админу на лапу достаточно зеленых, визу и билет нахрен - и система твоя.
>> вы всё ещё верите что в линукс или freebsd нет бекдора ? :)
> Есть. Даешь админу на лапу достаточно зеленых, визу и билет нахрен -
> и система твоя.Это если он лох и верит в зелёные -- а от себя не убежишь.
Так и не понял, о чем спор то.
Приходят ко мне два кренделя из малоизвестного отдела всем известной организации.
Говорят "Вот этот пацан из вашей сетки в нете всякое непотребство творит".
Показывают мне файлик расшифровки трафика этого пацана, приблизно 800-850 Мб.
Там про него все, пароли, сервера где регился, что, когда, откуда качал.
Потом подразобрались, не из нашей сетки. Мужики ушли, а я подумал
"Если мне хоть кто-то скажет про возможности скрытия своих данных,
пошлю на три буквы адназначна (в нет)."К слову. Во всех развитых странах все конторы получают алгоритмы
шифрации-дешифрации всех ключевых систем.
Если кто-то не понял, псмотрите хотя бы пакет dsniff (его возможности).
А ведь это фришный, опять же, пакет.А про бэкдоры, так надо быть круглым и--том, чтобы думать, что их нет
в современных осях (фришных, полуфришных, совсем-не-фришных).
Вы что действительно думаете, что от серьезной конторы спрячетесь?На землю вернитесь, пора повзрослеть.
Кстати, еще один товарисч из всем известной конторы мне говорил:
"Если на тебя нет приказа, не парься, никто тебя не тронет.
А если будет на тебя приказ, хоть будь весь золотой и с платиновой
головкой - посадят, никто не поможет"
Люблю сказочников таких, под кер вечером, слушать.> Кстати, еще один товарисч из всем известной конторы мне говорил:
SSL/TLS - наше решение. В любом другом случае аутентификационные ключи идут в открытом виде так или иначе, если добраться до физики в разрыв.
СОРМ ящики стоят далеко не на всех узлах. Затрахаются искать данные. Бардак - везде. И у операторов, и у безопасников.
dsniff еще 10 лет назад пользовал ради интереса. После получения помойки из 3000 юзероключей, из которых 90% каждый повторяеться раз 100, стало скучно.
Вы еще для себя wireshark откройте - тот даже голосовые потоки на лету декодирует, стандартные некриптованные.
> Приходят ко мне два кренделя из малоизвестного отдела всем известной организации.
> Говорят "Вот этот пацан из вашей сетки в нете всякое непотребство творит".и что там были за адреса?
вконтактик, одноклассники, какието форумы на vbulletin , ...?
UserAgent -- небось Opera (да ещё и for-Windows) ?
вобщем я намекаю на то что всяким мониторинг-службам -- не проблема найти информацию на среднестатестического интернет-гопника.. в то время как весь гопно-HTTP-трафик не шифруется (в отличии от HTTPS over TLS/SSL) а все проприетарный программы содержат трояны.. и темболее скайпик :-).. про асечку молчу т к там и троян не нужен :-) :-)
> Кстати, еще один товарисч из всем известной конторы мне говорил...
а ты уши развесь (мозг выключи) и слушай побольше какую тебе лапшу науши вешают
...о том как они там RSA алгоритмы там в два щётка взламывают и прочее-прочее-прочее... ага... в фильмах такое каждый день показывают :-)
> Вы что действительно думаете, что от серьезной конторы спрячетесь?
мы думаем что тайна переписки (личной и деловой) -- это важнее чем нужды-по-прослушиваю -- этих серъёзных людей
(такчто пусть эти "серъёзные люди" обломяться :) .. и прослушивают когото другого)
прятаться мы не будем -- но это и не обозначает что будем предоставлять доступ к своим данным так вот просто.
>Потом подразобрались, не из нашей сетки.Сразу не обратил внимание на строку байку - тоды спецы, ни чего не скажешь, раз про Ай-Пи номера знают :)
Вот этих специалистов нахрен никому неизвестных отделов и приходилось консультировать, дабы RJ45 от RJ12 научились отличать :)
Вы про RJ45 рассказываете как раз как специалист из нахрен никому неизвестных отделов. Сильно подозреваю что обычно вы так называете совсем другой интерфейс.
> Вы про RJ45 рассказываете как раз как специалист из нахрен никому неизвестных
> отделов. Сильно подозреваю что обычно вы так называете совсем другой интерфейс.Ага, точно. В отделах К и подобных аналитики-математики, нахрен абстрагированные от сетевых технологий. Угу.
Сильно абстрагированные.
> Вы про RJ45 рассказываете как раз как специалист из нахрен никому неизвестных
> отделов. Сильно подозреваю что обычно вы так называете совсем другой интерфейс.Да, и не мучайте уж, напишите свои подозрения - тут телепатов нет. Очень хочется узнать вашу квалификацию как эксперта в интерфейсах :)
Я подозреваю, что вы так называете то, что согласно TIA/EIA-568 зовется 8P8C. И да, это важно. Как минимум в конструкторской документации. Поскольку если там написать RJ-45, то в итоге его могут попытаться использовать, что приведет к проблемам.
> Я подозреваю, что вы так называете то, что согласно TIA/EIA-568 зовется 8P8C.Да, ты знал! Мы спасены! Теперь все будем так говорить - "Дайте мне пожалуйста 8П8С сотенную пачку и 6П6С две."
Даже наш кладовщик Василий Иванович скажет - "Тебе точно две пачки 6П6С и одной 8П8С хватит?", и при этом не пошлет тебя три раза найух, пытаясь выговорить это в понедельник утром и пятницу вечером.Пилять... И эти пытаются учить... :)
Я указал что вы неправы, указал что это может привести к проблеме, и в каком случае. И мне абсолютно все равно что скажет ваш кладовщик и сколько раз. Если вы привыкли вырывать слова из контекста и не представляете, что где-то требуются строгие соблюдения формальной терминологии, то Дальнейшее общение с вами считаю бессмысленным.
И вас учить точно никто не пытается, для общения с Василием Ивановичем вашего запаса знаний хватит с избытком.
> Я указал что вы неправы, указал что это может привести к проблеме,
> и в каком случае. И мне абсолютно все равно что скажет
> ваш кладовщик и сколько раз. Если вы привыкли вырывать слова из
> контекста и не представляете, что где-то требуются строгие соблюдения формальной терминологии,
> то Дальнейшее общение с вами считаю бессмысленным.
> И вас учить точно никто не пытается, для общения с Василием Ивановичем
> вашего запаса знаний хватит с избытком.Да ладно, не дуйся. Ты написал все правильно, registered jack 45s это действительно другой стандарт, коннектор с расводкой, но его давно не используют, и modular plug 8p8c даже по ISO стандартам иногда проходит как RJ45, без пуковки S.
А если некоторым ребятам из разных хитрых отделов объяснять эти жуткие тонкости из стандартов и истории, то у них может поехать крыша :)
Тем более что в ходу в основном эти... 8P8C и 6P6C :)
Тем, кто верит в легко обнаружимые 'особенности' кода, особенно в математике:
сколько аудитов прошел вполне открытый стандарт DAA до доклада на рускрипте?
http://www.ruscrypto.ru/sources/conference/rc2009/И даже после, многие ли заметили какие могут быть последствия,
учитывая что TPM уже давно не новинка?
Беда в том, что процентов 90% не понимают разницы между аудитом с целью поиска банальностей
типа переполнения буферов (чем в основном и занимается Тео со товарищи) и доказательством логики.
> Беда в том, что процентов 90% не понимают разницы между аудитом с
> целью поиска банальностей
> типа переполнения буферов (чем в основном и занимается Тео со товарищи) и
> доказательством логики.% от чего?
99,999 процентов жителей планеты не умеют программировать на С.
> % от чего?От отписавшихся в треде.
> Тем, кто верит в легко обнаружимые 'особенности' кода, особенно в математике:
> сколько аудитов прошел вполне открытый стандарт DAA до доклада на рускрипте?
> http://www.ruscrypto.ru/sources/conference/rc2009/FIPS PUB 113
Computer Data Authentication 1985, specifies a Data Authentication Algorithm (DAA) based on DES, adopted by the Department of Treasury and the banking community to protect electronic fund transfers.
http://www.itl.nist.gov/fipspubs/fip113.htmНеуловимый Джо.
_Аутентификационный_ алгоритм, давно не используемый. В ipsec алгоритмах в BSD не используется.
Для аутентификации пакетов используеться любой из md5/ripemd5, sha1, sha2, aes.
Для шифрования - любой из des3, aes/rijndael, blowfish, cast.
Можете смеяться, но у меня мурашки по коже честно говоря пробежали. Я и до этого знал, что есть такие дырки... Работал у одного крупного провайдера. В сети объявился кулхацкер, подломивший пару банков. Давно это было еще в 90-х. Пришли два перца с ноутом (это в те то времена!) Завернули на маршрутизаторе весь трафик этого кулхацкера через ихний ноут. Оставили ноут у нас на ночь. Утром эти деятели зашли на домашний комп этого деятеля, а потом провели захват с поличным. Почему знаю - был понятым.Сейчас занимаюсь аудитом корпоративных сетей. Все учетки и пароли у меня на столе обычно бывают через сутки после запуска снифера. Дырки... Если винда включена в локалку, то она прозрачна как ну не знаю как... )))
С линухом, бсд, маками, если это клиентский комп, ну немножко посложнее. С серверами да...
нужно потрудится.Тут упоминался аудит исходников компилятора. Если бы я не был свидетелем подмены некоторых из функций binutils при компиляции, то возможно засомневался бы. Но я это видел. И разработчики удивлялись - откуда становятся известны пароли пользователей ))) Это на спор проверяли бдительность разработчиков одной серьезной системы.
> Можете смеяться, но у меня мурашки по коже честно говоря пробежали. Я
> и до этого знал, что есть такие дырки... Работал у одного
> крупного провайдера. В сети объявился кулхацкер, подломивший пару банков. Давно этожуть какая! подломил пару банков!
> Сейчас занимаюсь аудитом корпоративных сетей. Все учетки и пароли у меня на
> столе обычно бывают через сутки после запуска снифера. Дырки... Если винда
> включена в локалку, то она прозрачна как ну не знаю как...
> )))kerberos tickets тоже? :)
> kerberos tickets тоже? :)Ещё бы! Он и SSL-потоки на лету декодирует!
>> http://www.ruscrypto.ru/sources/conference/rc2009/
> FIPS PUB 113
> Computer Data Authentication 1985, specifies a Data Authentication Algorithm (DAA) ...Direct Anonymous Authentication, IACR 2004/205.
Иногда полезно сначала таки посмотреть
А вот и виновник нашего маленького торжества проснулся.Subject: Allegations regarding OpenBSD IPSEC
Every urban lengend is made more real by the inclusion of real names,
dates, and times. Gregory Perry's email falls into this category. I
cannot fathom his motivation for writing such falsehood (delusions
of grandeur or a self-promotion attempt perhaps?)I will state clearly that I did not add backdoors to the OpenBSD
operating system or the OpenBSD crypto framework (OCF). The code I
touched during that work relates mostly to device drivers to support
the framework. I don't believe I ever touched isakmpd or photurisd
(userland key management programs), and I rarely touched the ipsec
internals (cryptodev and cryptosoft, yes). However, I welcome an
audit of everything I committed to OpenBSD's tree.I demand an apology from Greg Perry (cc'd) for this accusation. Do
not use my name to add credibility to your cloak and dagger fairy
tales.I will point out that Greg did not even work at NETSEC while the OCF
development was going on. Before January of 2000 Greg had left NETSEC.
The timeline for my involvement with IPSec can be clearly demonstrated
by looking at the revision history of:
src/sys/dev/pci/hifn7751.c (Dec 15, 1999)
src/sys/crypto/cryptosoft.c (March 2000)
The real work on OCF did not begin in earnest until February 2000.Theo, a bit of warning would have been nice (an hour even... especially
since you had the allegations on Dec 11, 2010 and did not post them
until Dec 14, 2010). The first notice I got was an email from a
friend at 6pm (MST) on Dec 14, 2010 with a link to the already posted
message.So, keep my name out of the rumor mill. It is a baseless accusation
the reason for which I cannot understand.--Jason L. Wright
Тео пиарится. Он это любит.
А почему все так говорят, будто этот бэкдор - неопровержимый факт?
Может проекту OpenBSD понадобились добровольцы для проведения аудита исходников и они придумали пиар-акцию?
>>"Одно из главных достоинств опенсоурс - код полностью открыт, любой может его смотреть, изучать, править." .....
>> Главный ахинейный постулат опенсорса наконец-то развенчан.
>первое предложение остается в силе независимо от результатов аудита кода в данном случаеРазве я был неправ в своем утверждении ?
>>Никто никогда ничего не анализирует и не инспектирует
Никогда не говорите никогда :) ведь дыры в приложениях все-таки находят. И иногда их находят в процессе аудита кода. При проприетарном подходе у вас нет возможности провести аудит исходников, а согласно EULA даже debug бинарников явно запрещен.
Смотрите внимательнее, в моих глазах та красного пигмента нет, я Linux в качестве десктопа никогда не использовал, и на серверах уж больше года нет. И это совсем никак не связано с его организационной моделью. И при чем тут гугл с андроидом? Молодцы - не спорю, но можно глянуть на тот-же Maemo или Moblin. В Intel и Nokia тоже вроде как не дураки сидят, а вот не срослось (про MeeGoo не надо - он еще из детских пеленок не вырос). Но это не повод говорить что любая платформа сдаланная на базе Linux обречена на провал или успех.
И Уясните одно - имея исходники вы МОЖЕТЕ провести анализ, имея закрытые блобы - НЕ МОЖЕТЕ, независимо от необходимости и доступности ресурсов для этого.
>Эх... в последней попытке: ДА вы МОЖЕТЕ, но вы никогда не будете. ВЫ! Вот конкретно Вы! Вы никогда не будете этого делать! Да и никто не будет - это миф.Это маленький кусочек реального diff реального файла из ipsec логики, изначально заимствованной из openbsd в freebsd.
- KASSERT(sav != NULL, ("ipcomp_output: null SA"));
+ IPSEC_ASSERT(sav != NULL, ("null SA"));
ipcompx = sav->tdb_compalgxform;
- KASSERT(ipcompx != NULL, ("ipcomp_output: null compression xform"));
+ IPSEC_ASSERT(ipcompx != NULL, ("null compression xform"));
+ /*
+ * Do not touch the packet in case our payload to compress
+ * is lower than the minimal threshold of the compression
+ * alogrithm. We will just send out the data uncompressed.
+ * See RFC 3173, 2.2. Non-Expansion Policy.
+ */
+ if (m->m_pkthdr.len <= ipcompx->minlen) {
+ V_ipcompstat.ipcomps_threshold++;
+ return ipsec_process_done(m, isr);
+ }
+
ralen = m->m_pkthdr.len - skip; /* Raw payload length before comp. */
- hlen = IPCOMP_HLENGTH;
+ V_ipcompstat.ipcomps_output++;
- ipcompstat.ipcomps_output++;
-Теперь вопрос - для проведение такого изменения необходимо понимание логики ipsec и его конкретной реализации? Или нет?
Вопрос риторический. Ваш ответ - нет конечно, логику пишут-редактируют не приходя в сознание. Можете глючит параноей дальше.
Или таки посмотреть vc репозитарии конкретных проектов, тех же netbsd/openbsd/freebsd & kame ipsec-tools, и затем делать выводы о мировом заговоре. :)
> банальном наличии желания блобы не сильно далеко ушли от исходников. Наверное
> про дизасм слышали? Так вот, необходимое желание (в той же криптографии)
> для аудита исходников или дизасма примерно равно. Да, да, можете смеяться
> хоть лежа. Посмотрите сходники любого криптопротокола - вы нихрена там не
> поймете. И 98% программистов нихрена не поймут, кроме семантики.98% из кого?
98% системных и сетевых программистов возможно не изучали алгоритмы IKE. Да и собственно, нафига? Кроме программирования ipsec еще есть масса задач. 2% тех кто изучали, и 0.5% что могут разобраться, поправить или написать при необходимости - вполне под данную логику достаточно.
Какой постулат? Вы что реально не видете разницы между наличием возможности и ее отсутствием? Ну понятно, что большинство UNIX-админов (если не все) не смогут это проверить, ибо надо обладать нефиговыми познаниями не только в системном/сетевом программировании, но и в криптографии (математике) и т.д. Но ведь есть люди, к-е это делают. Читай выше про wait(4) дыру, обнаружение ее стало возможным благодаря тому, что это opensource. Я уж молчу про то, сколько багов обнаруживается постоянно благодаря тому, что софт открытый (а как по-вашему патчи присылают? Дизассемблированием что ли?)Если уж Вы так сильно хотите, то я скажу даже так - Если вы не шарите в криптографии/математике и программирование на С, то это лично ваши проблемы, что вы не смогли разглядеть бекдор. Модель разработки OpenSource предоставила для этого ВСЕ ВОЗМОЖНОСТИ в отличие от Closed Source, то бишь это не проблема open source
oh shi.. неужели этот день все же настал? скрестил пальцы на удачу.p.s. здравый смысл подсказывает что бэкдоры в opensource есть, не говоря уже про винду,mac,intel,amd или ту же cisco и прочую хрень.
Здравый смысл подсказывает что бэкдоры при наличии исходников обнаружить проще, чем занимаясь дизассемблированием. Этим я никоим образом не говорю о том, что они все обнаружены или этим серьезно занимаются.
P.S. И еще можно утверждать что количество не найденных ошибок и бекдоров может быть отлично от ноля и стремиться к бесконечности в силу определения. До тех пор, пока нет фактов или обоснованных предположений о том, что они используются можно не страдать параноей. (IMHO)
"Это "ж-ж-ж" - неспроста" (с) Винни пух
вот только недавно Тхео про wikileaks писал и как нехорошо власти себя ведут :)
и тут же сразу всплыли закладки, интересно, интересно
если это им поможет террористов найти только в путь:)
http://www.obsd.ru/8/?q=node/1789
>если это им поможет террористов найти только в путь:)А если завтра терористами станут объявлять всех неуходных ?
http://code.bsd64.org/cvsweb/openbsd/src/sys/netinet/ip_esp....
http://extendedsubset.com/