| |
| |
| 3.48, эцновоя (?), 13:01, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Вот вам и строгий синтаксис, и однозначная семантика, и самодокументированный код на Си в больших проектах - ну всё под контролем, буквально всё.
| | |
| 3.98, Аномистикус (?), 14:50, 15/12/2010 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +32 +/– |
А если б это было проприетарщина, то никто бы вообще ничего не узнал. Мы что, всерьез полагаете, что возможно добиться полной гарантии безопасности в какой-либо системе?
| | |
| |
| 4.159, dq0s4y71 (??), 18:40, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +4 +/– | |
> А если б это было проприетарщина, то никто бы вообще ничего не узнал.
Ха! Так это стало известно не благодаря открытым исходникам, а благодаря признанию разработчика! А исходники как лежали в открытом доступе, так никто в них за 10 лет ничего и не нашел! Вот вам и опен сорс...
| | |
| |
| |
| 6.282, dq0s4y71 (??), 20:20, 16/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
От того, что проприетарный код бывает ненадежным, открытый код более надежным не становится. А вы всё никак этого не поймете...
| | |
|
| 5.198, upyx (ok), 21:35, 15/12/2010 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +3 +/– |
 > А исходники как лежали в открытом доступе, так никто в них за 10 лет ничего и не нашел!
Откуда такой вывод? Напротив, очень может быть, что нашли, признали багой, поправили и забыли.
| | |
|
|
| 3.199, User294 (ok), 21:54, 15/12/2010 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +1 +/– |
 > Вот вам и Open Source
Ну эти то хоть смогут проаудитить свой код после такого привлечения к себе внимания. А вот аудитить блобятину на предмет таких закладок - в разы более трудоемко и мало кто будет ковырять реализацию IPSec например в той же винде. Потому что мазохизм это.
| | |
|
| 2.328, Бублик (?), 23:29, 16/01/2011 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– |
Вот вам и PR-манеры Микрософта в полный рост. Именно эти гниды и стоят за этим вбросом. Нет там никаких бэкдоров. Вернее, все общедоступные средства шифрования уязвимы и всегда были открыты для заинтересованных гос. структур.
| | |
|
| |
| |
| |
| 4.162, Cybister (?), 18:54, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– |
Bнтересно, в win IPSEC копипастом реализовывали, надо будет проследить за обновлениями-фиксами :))))
И опенсорц тут ни при чём, в клоседсорсах можно сидеть всю жизнь на бакдорах и не знать пока массово лезть через них не начнут.
| | |
|
|
| 2.179, Кларауций (?), 19:41, 15/12/2010 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– | |
А как вы думаете, если FBI озаботились OpenBSD, они остались совершенно равнодушны к более широко распространённым реализациям, в том числе и Линукс? Что более вероятно - странная забывчивость FBI или то, что NDA у некоторых других господ ещё просто не успели протухнуть?
Это если предполагать, что обвинения правдивы.
| | |
| 2.329, Бублик (?), 23:32, 16/01/2011 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
> Очень сильно будет подпорчена репутация всей системы OpenBSD, если информация подтвердится.
Никак она подмочена не будет. Это медийный вброс Микрософта против Линукса. Микрософтовские тролли на форумах начала муссировать данную тематику без конкретики ещё с сентября месяца. Теперь всё это вылилось в более конкретные формы. Сначала они напирали на некую никем не виденную ошибку, теперь вот на то, что в СПО все продались, а только их за деньги не купишь.
Противно всё это и омерзительно.
| | |
|
| |
| 2.66, Анонимус007 (?), 13:29, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +4 +/– | |
Ага, через сито.
Кто щас засядет аудировать код Линукса (3 ляма строчек)? Может ты?
Кстати, интересно, а как Линус свой американский паспорт получил? Что думаете, посоны?
| | |
| |
| 3.110, EuPhobos (ok), 15:47, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
 > Ага, через сито.
> Кто щас засядет аудировать код Линукса (3 ляма строчек)? Может ты?
> Кстати, интересно, а как Линус свой американский паспорт получил? Что думаете, посоны?
Кто знает, какие черти в блобах водятся)
| | |
|
|
| 1.7, sys (??), 11:25, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| –2 +/– |
 Если они внедряли код в такой малораспространенный дистр как Опёнок то в популярных типа FeeBSD и Linux он должен быть обязательно. И уверен что не только от ФБР, но и от спецслужб других государств.
| | |
| |
| |
| 3.52, filosofem (ok), 13:09, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +5 +/– |
 Да, но..
Тут дело не только в финансировании, но еще в том, что код OpenBSD используется практически во всех дистрибутивах. Взять тот же OpenSSH.
| | |
|
| 2.116, zazik (ok), 16:16, 15/12/2010 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +22 +/– |
 > Если они внедряли код в такой малораспространенный дистр как Опёнок то в
> популярных типа FeeBSD и Linux он должен быть обязательно. И уверен
> что не только от ФБР, но и от спецслужб других государств.
Не конфликтует ли код от разных спецслужб между собой? Может поэтому на винде часты БСОДы?
| | |
| 2.149, __Bulgarin (?), 18:07, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– | |
>Если они внедряли код в такой малораспространенный дистр как Опёнок то в популярных типа FeeBSD и Linux он должен быть обязательно. И уверен что не только от ФБР, но и от спецслужб других государств.
И от марсианских велосипедистов. Точно.
| | |
|
| 1.8, samm (ok), 11:28, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| +2 +/– |
 Ну пока непонятно - мутное письмо без каких либо фактов или даже намеков на affected code, и вполне возможно, что это вброс для того, чтобы навредить OpenBSD и/или упомянутому разработчику (Jason Wright). Он, кстати, достаточно активен в сети, так что стоит дождаться его комментариев. А может и вброс.... Ждем результатов аудита.
| | |
| |
| |
| 3.125, анонимус (??), 17:16, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +9 +/– | |
> У моего деда срок неразглашения был 40 лет, только последнее время стал рассказывать интересные вещи.
Бредятина полная, да хоть 80!
Все подписки, данные правительству СССР утратили силу - СССР более не существует.
| | |
| |
| 4.215, PereresusNeVlezaetBuggy (ok), 00:35, 16/12/2010 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| –2 +/– |
 >> У моего деда срок неразглашения был 40 лет, только последнее время стал рассказывать интересные вещи.
> Бредятина полная, да хоть 80!
> Все подписки, данные правительству СССР утратили силу - СССР более не существует.
Россия — правопреемница СССР. Учите современную историю заново, раз уже всё забыли.
| | |
| |
| 5.226, анонимус (??), 02:56, 16/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| –2 +/– | |
> Россия — правопреемница СССР
Ни в коем случае!
Только частично, все республики являются правопреемниками.
Кроме того в Беловежском соглашении ясно сказано: "Союз ССР как субъект международного права и геополитическая реальность прекращает свое существование", учите историю.
| | |
| |
| |
| 7.233, анонимус (??), 04:15, 16/12/2010 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| –1 +/– | |
> то их (и правовых актов, и сделанных в соответствии с ними подписок) действие также никто не отменял.
Не надо глупых спекуляций - военнослужащие присягали заново, Российской Федерации, т.к. старая присяга, не существующему более СССР, утратила силу.
Как и все подписки.
Т.к. возникло новое гражданство.
| | |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| Часть нити удалена модератором |
|
|
|
|
|
|
|
|
|
|
|
|
|
| 7.258, Alex (??), 11:54, 16/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
УССР была государством, и имела представительства в ООН даже раньше Союза.
Украина правоприемница УССР, и только по доброй воле она передала _СВОЁ_ ядерное вооружение России.
То, что Россия взяла на себя обязательства по внешнему долгу и активам, то это по договорённости всех остальных вышедших республик.
| | |
|
|
|
|
|
|
| |
| |
| 3.30, ixti (ok), 12:26, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +6 +/– |
 Был бы он не серьёзный шалопай-разбойник, тогда бы я был на 100% уверен что фейк. А вот то, что дядька солидный скорее настораживает и навождит на мысли, что может быть и не фейк... В любом случае ИМХО выводы надо будет делать после аудита кода, а не до того. Потому, что даже если Джейсон ссучился, я не думаю, что он вот так вот сейчас принесёт публичные извинения мол "да, был не прав, деньги нужны были, да и родственников из Мексики надо было леголизовывать, и в крамане ганджа нашли, в общем трудные времена были", что на мой взгляд по любому поставит жирное бельмо на нём... Даже если факт имел место - я уверен, что будет отрицать. Ждать надо аудита :)) "Весной посмотрим, кто где какал" (С) :))
| | |
|
|
| |
| 2.14, samm (ok), 11:33, 15/12/2010 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +1 +/– |
> Ну чо теперь делать?
> В цисках тоже поди напичкано? Про винду молчу.
Срочно уничтожайте все ваши данные - фбр уже выехал! ))
| | |
| |
| |
| 4.18, samm (ok), 11:44, 15/12/2010 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +1 +/– |
Себе, как и ранее. Именно по этой причине очень крупные компании заказывают аудит кода (в том числе имея доступ к коду windows) перелагая таким образом часть ответственности на аудиторов. Ну а к тому, что спецслужбы развитых государств способны получить доступ много к чему - следует относиться философски. Кстати, думаю что метод "терморектального анализа" в общих случаях много более дешев и применим )
| | |
| |
| 5.25, Lexa3110 (ok), 11:53, 15/12/2010 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +17 +/– |
 Много раз слышал про то, что "некоторые компании" якобы имели доступ к коду виндовс.
Но объясните, плиз, хрен ли толку? Ну, посмотрели. И что? Что они смотрели? Вот если
СОБРАТЬ из этих исходников венду, да при этом контрольная сумма бинарника совпадет с оригинальной, тогда, наверное, да - видели именно то, что маздай из себя представляет...да и то, сначала сырцы компилятора бы посмотреть, да из сырцов его собрать потом.
А так - видели какие-то тексты...ну и что? А что, собственно, видели?
| | |
| |
| 6.57, anonymouse (?), 13:20, 15/12/2010 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| –2 +/– | |
> СОБРАТЬ из этих исходников венду, да при этом контрольная сумма бинарника совпадет с оригинальной
Контрольная сумма не совпадет никак. Если кто не в курсе, visual C++ вставляет в PE файл информацию о конкретной установке винды. Байты с 0x80 по 0xD0.
> да и то, сначала сырцы компилятора бы посмотреть, да из сырцов его собрать потом.
а это уже параноя =)
| | |
|
| 5.46, кент (?), 12:59, 15/12/2010 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| –2 +/– |
> Себе, как и ранее. Именно по этой причине очень крупные компании заказывают
> аудит кода (в том числе имея доступ к коду windows) перелагая
> таким образом часть ответственности на аудиторов. Ну а к тому, что
> спецслужбы развитых государств способны получить доступ много к чему - следует
> относиться философски. Кстати, думаю что метод "терморектального анализа" в общих случаях
> много более дешев и применим )
В моём случае ТРКА не применим. Все ключи на флешках, флешки у сотрудников ГБ. Я просто не смогу ничего рассказать, нечего рассказывать.
| | |
| |
| |
| 7.133, zazik (ok), 17:38, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +2 +/– | |
> тогда "прощай прямая кишка", ибо не поверят
Ну или поверят, но для профилактики обработают, чтобы другим умникам неповадно было.
| | |
|
|
|
|
| |
| 4.80, Котяра (??), 14:05, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +9 +/– |
>>Срочно уничтожайте все ваши данные - фбр уже выехал! ))
> А смысл?
У ФБР резервная копия есть, можно сэкономить на дисковом пространстве.
| | |
|
|
| |
| 3.154, __Bulgarin (?), 18:23, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +2 +/– |
> В цисках точно -- см. "нечаянно" упавшую местами спецсвязь во время грузинских
> событий.
"Я плакалъ". Паранойя неистребима :)
Какая специальная связь? Во время каких грузинских событий? Да если что где и было на магистралях в кавказских - там просто были тупо обесточены узлы, или провода повыдергивал кто, или банальный DoS на хилых каналах. Вы что думаете, у госструктур РФ специалисты есть? Там большинство персонала, утрируя, еле писюк от нотника отличает, и Win от Lin.
| | |
| |
| 4.232, Mna (??), 04:05, 16/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
постсоветский хакер дёшов и сердит. почти ассиметричен. нанять его, и всего делов.
грош цена ССлужбе не умеющей применить ТРКА к такому физическому лицу
| | |
| 4.318, Michael Shigorin (ok), 20:22, 17/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
 > "Я плакалъ".
(пожимая плечами) Ну спросите и Вы своих, что ли.
> Какая специальная связь?
Южный сегмент правительственной.
> или провода повыдергивал кто
Нет, "вдруг" легли кошки.
> Вы что думаете, у госструктур РФ специалисты есть? Там большинство
Насчёт большинства не знаю, а со специалистами сталкивался, и звали.
Даже на лоре помимо "большинства" есть специалисты.
| | |
| 4.331, Xaionaro (ok), 14:52, 23/11/2014 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
 >> В цисках точно -- см. "нечаянно" упавшую местами спецсвязь во время грузинских
>> событий.
> Там большинство персонала, утрируя, еле писюк от нотника отличает, и Win от Lin.
Много где так, но не везде ;). Откуда у вас вообще такая информация? Общались с реальными работниками соответствующих направлений в госслужбах?
| | |
|
|
|
| 1.11, Аноним (-), 11:32, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| +1 +/– |
Если в чужой IPSEC смогли внедрить, то в SELinux собственной разработки и подавно внедрили :-( В успех аудита не верю, там скорее всего утечка ключей не в лоб реализована, а сделана очень тонко, так что не придерешься. Как-то видел код для создания подобной лазейки, достаточно было пары опечаток вида ">" вместо ">=" в условиях, на которые без полного разбора логики никто не обратит внимание.
| | |
| |
| 2.31, shpsn (?), 12:27, 15/12/2010 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +2 +/– |
В районе 2003-2005 года, если мне не изменяет память, проскакивала инфа о внедренной уязвимости в код ядра линукс, причем злоумышленнику потребовалось подменить один (!) символ. А ведь исходников -- миллионы строк и надо еще понимать как оно все работает, и если ФБР или еще кто подкупает разработчиков, то становится как-то грустно...
| | |
| |
| |
| |
| 5.75, Котяра (??), 13:59, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| –2 +/– |
Тоесть для того, чтобы сделать чужую машину уязвимой, нужно сначала залогиницца на нее рутом, подправить сорсы ядра, скомпилить ново ядро, прописать его в граб и бутнуть машину. Линукс сакс.
| | |
| |
| 6.108, Аноним (-), 15:33, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +6 +/– |
Ты дурной?
Вот этот код:
+ if ((options == (__WCLONE|__WALL)) && (current->uid = 0))
+ retval = -EINVAL;
в выражении current->uid = 0 стоит = вместо ==, т.е. происходит не сравнение, а присваивание. Очень похоже на опечатку, но дает root доступ.
| | |
| |
| 7.111, non anon (?), 15:56, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Все правильно сказал товарищ выше. Этот патч надо накладывать вручную, потому что ни в один релиз он так и не попал, а из cvs его вычистили на следующий день.
| | |
|
|
|
|
| |
| 4.185, filosofem (ok), 20:07, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Блин надеялся увидеть что-то в стиле JAPH.
Вообще странно как глядя на эти две строчки можно "ничего не заподозрить".
Да и несложным скриптом можно найти такие подозрительные вещи как присвоение внутри условия. Странно, что современные навороченные IDE с проверкой синтаксиса не умеют на это ворнингами ругаться.
| | |
| |
| 5.208, злобный низкозадержечный анонимус (?), 23:27, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
> Блин надеялся увидеть что-то в стиле JAPH.
> Вообще странно как глядя на эти две строчки можно "ничего не заподозрить".
> Да и несложным скриптом можно найти такие подозрительные вещи как присвоение внутри
> условия. Странно, что современные навороченные IDE с проверкой синтаксиса не умеют
> на это ворнингами ругаться.
Ты про vim? :)
| | |
|
|
|
|
| |
| |
| 3.112, non anon (?), 15:57, 15/12/2010 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| –4 +/– |
> Считалось что OpenBSD и так аудитят больше всех, а оказалось что пока
> свидетель внедрения бэкдора о нём не сказал, так никто и не
> заметил.
Получается, аудит там производят только на словах. А аудиторами работают манагеры из рекламного отдела.
| | |
| |
| 4.155, __Bulgarin (?), 18:26, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
>> Считалось что OpenBSD и так аудитят больше всех, а оказалось что пока
>> свидетель внедрения бэкдора о нём не сказал, так никто и не
>> заметил.
> Получается, аудит там производят только на словах. А аудиторами работают манагеры из
> рекламного отдела.
Советую ознакомиться с моделью разработки BSD.
Может тогда перестанете писать чушь.
| | |
| 4.267, Аноним (-), 13:56, 16/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
>> Считалось что OpenBSD и так аудитят больше всех, а оказалось что пока
>> свидетель внедрения бэкдора о нём не сказал, так никто и не
>> заметил.
> Получается, аудит там производят только на словах. А аудиторами работают манагеры из
> рекламного отдела.
Вы этот вывод сделали на основании пока ничем не подтверждённого заявления в интернетах?
| | |
|
|
| 2.43, Sergey (??), 12:55, 15/12/2010 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| –1 +/– |
А смысл, кто будет делать такой аудит? Аудит все системы очень сложная вещь, кому попало не доверят, т.е. для аудита будет выбрана какая-нибудь крупная контора и скорей всего юсовская. И не факт, что ФБР не сможет надавить на контору проводящую аудит.
| | |
|
| 1.33, Луноход (?), 12:30, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]
| –17 +/– |
Ну, и где те фанатики, которые всегда с пеной у рта орали, что опен сорс рулит и в нем всегда можно быть увереным, так как открыт исходный код? Вытерлись? Я всегда говорил, что типичный линуксоид, бзд-ник и прочий любитель опен сорса НИКОГДА не делал аудит всей системы, поэтому утверждать, что там все шоколадно-полное безумие.
| | |
| |
| 2.38, ixti (ok), 12:41, 15/12/2010 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +15 +/– | |
Дело в том, что open-source хорош тем, что если Вам важна безопасность Вы сами её и проверите - вне зависимости проводил ли Тео, Патрик, мильён-леммингов, кто-угодно аудит. И в случае обнаружения - либо пофиксите, либо сообщите авторам с просьбой решить проблему.
В случае с проприетарным ПО - Вы жрёте то, что Вам подали. Без возможности провести анализ плюнул туда повар или нет. Вот и всё.
А по теме - то, что кто-то грамотно что-то вбросил, не говорит, что факт подтвердится. А вот то как отреагировал Тео, говорит скорее в пользу OpenNet и open-source проектов в целом. В проприетарном продукте, я не думаю, что кто-то бы Вам сказал, что Вас уже 10 лет через бэкдор имели службы. А самое смешное (и наверное обидное), что не смотря на то, что Вы платите свои деньги, очень часто корпорации даже зная о критичной уязвимости тупо кладут болт на неё. Вот и вся философия...
| | |
| |
| 3.42, Аноним (-), 12:55, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Хорошие слова, но если сабж - не фейк, то практика докажет, что это только теория и слова. А на практике никакой разницы, в общем-то, нет.
| | |
| 3.45, Square (ok), 12:57, 15/12/2010 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| –3 +/– |
 Это все фикция. теоретическая возможность не реализуемая на практике.. Вроде взлома алгоритма RSA. теоретически - любой подросток с калькулятором может взломать RSA. на практике - замучается...
Тоже самое с открытыми исходниками - бакдур был внедрен, существовал 10 лет и НИКТО не озаботился его существованием там... Да и сейчас- после тщательного аудита не факт что найдут.
| | |
| |
| 4.49, ixti (ok), 13:01, 15/12/2010 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +/– |
По существу, кроме сомнительного вброса - "был внедрён", "существовал 10 лет" - ничего нет... Или тут как с религией? Бремя доказательства лежит на сомневающемся, а изначальная правда зависит от того кто первым вынрикнул...
| | |
| |
| 5.54, Square (ok), 13:13, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– |
> По существу, кроме сомнительного вброса - "был внедрён", "существовал 10 лет" -
> ничего нет... Или тут как с религией? Бремя доказательства лежит на
> сомневающемся, а изначальная правда зависит от того кто первым вынрикнул...
Большинству людей- открытость исходников нахрен не сдалась.
Да и те которым сдалась - не в состоянии реализовать свои возможности.
Вы че тролитте то? Вон исходники опенька - ждем от вас результата аудита с заверениями что там все чисто. Недели хватит?
Месяц? Десять лет? Сколько вам надо времени чтобы доказать что там все чисто?
| | |
| |
| 6.59, ixti (ok), 13:21, 15/12/2010 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| –2 +/– |
> Большинству людей- открытость исходников нахрен не сдалась.
> Да и те которым сдалась - не в состоянии реализовать свои возможности.
Это бесспорно.
> Вы че тролитте то?
И в мыслях не было. Просто вот так вот пафосно выразить то, что не всё однозначно :))
> Вон исходники опенька - ждем от вас результата аудита с заверениями что там все чисто.
А денег хватит оплатить работу? :))
PS Тем не менее с общими тезисами, что народу пох.. я согласен. :)) Только вот весело от осознания этого не становится...
| | |
| |
| 7.61, Square (ok), 13:23, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| –2 +/– |
>> Вон исходники опенька - ждем от вас результата аудита с заверениями что там все чисто.
> А денег хватит оплатить работу? :))
С какой стати?
| | |
|
|
|
| 4.156, __Bulgarin (?), 18:30, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
> Это все фикция. теоретическая возможность не реализуемая на практике.. Вроде взлома алгоритма
> RSA. теоретически - любой подросток с калькулятором может взломать RSA. на
> практике - замучается...
> Тоже самое с открытыми исходниками - бакдур был внедрен, существовал 10 лет
> и НИКТО не озаботился его существованием там... Да и сейчас- после
> тщательного аудита не факт что найдут.
Самое смешное, что уже согласились что бэкдор там есть. Точно, есть, в /usr/src/sys/...
Скоро появяться свидетели что он там был... Шоу.
| | |
|
| 3.51, Луноход (?), 13:07, 15/12/2010 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| –4 +/– | |
У Вас хватит знаний, навыков и сил проверить весь код всей системы??? Не порите чушь, мил человек! То, что Вы посмотрите на код реализации какой-то функции, не даст Вам ответа, как эта фукнция ведет себя при работе ВСЕЙ системы. Вы просто физически не сможете это сделать. И Вы не будете знать, даст комбинация каких-то функций в системе бэкдор или нет, Вы также не будете знать, бэкдор это вообще или нет.
Грустно, но на практике у опен сорса нет преимуществ перед закрытым софтом, как бы не пытались некоторые доказать обратное.
| | |
| |
| 4.88, Миха (??), 14:21, 15/12/2010 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +3 +/– | |
> У Вас хватит знаний, навыков и сил проверить весь код всей системы???
Да, я супермозг, у меня хватило навыков и сил. Я проверил весь код всей freebsd. Нет ниодной закладки.
Докажи обратное, луноход.
| | |
| |
| 5.99, Square (ok), 14:54, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
>> У Вас хватит знаний, навыков и сил проверить весь код всей системы???
> Да, я супермозг, у меня хватило навыков и сил. Я проверил весь
> код всей freebsd. Нет ниодной закладки.
> Докажи обратное, луноход.
Время докажет.
| | |
| 5.142, Mihe (?), 17:50, 15/12/2010 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +/– |
>> У Вас хватит знаний, навыков и сил проверить весь код всей системы???
> Да, я супермозг, у меня хватило навыков и сил. Я проверил весь
> код всей freebsd. Нет ниодной закладки.
> Докажи обратное, луноход
плохо проводил. Посмотри внимательней на реализацию tcp/ip v6.
| | |
|
| 4.134, Michael Shigorin (ok), 17:38, 15/12/2010 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +4 +/– |
> Грустно, но на практике у опен сорса нет преимуществ перед закрытым софтом,
> как бы не пытались некоторые доказать обратное.
Вы, никак, с какой-то другой планеты, где принято сравнивать отсутствие возможностей с их наличием и делать лицо кирпичом, будто так и надо.
Нет чтоб к сессии готовиться, так лезут поумничать...
| | |
| 4.146, Аноним (146), 17:59, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +2 +/– |
 У open-source изначально есть одно главное преимущество: если разработчик умер (ему надоело поддерживать программу/программа не работает для новых ОС), а у вас целое производство на этой программе работает - можно самому допилить эту программу - суть опен-соурса в том, что софт никогда не помрет если есть пользователи которым этот софт нужен
| | |
| |
| 5.165, guest (??), 19:01, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
 > Вы код /usr/src/sys/netinet/ смотрели? Там его с гулькин хрен. Пипл перелазил и
> перелопатил его по диагонали сотни раз.
а вы на netipsec смотрели? который во фре таки из опенька утянут.
| | |
| |
| |
| 7.184, guest (??), 20:06, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– | |
> Да.
userland к своим выкладкам приплюсуйте)
и что вы хотите показать считая строки кода?
где-то в треде была ссылка на DAA (FIPS 113), ушло 25лет прежде чем обнаружили уязвимость алгоритма.
А кода там с гулькин нос.
| | |
|
|
|
|
|
| 2.50, Котяра (??), 13:03, 15/12/2010 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +5 +/– |
> Ну, и где те фанатики, которые всегда с пеной у рта орали,
> что опен сорс рулит и в нем всегда можно быть увереным,
> так как открыт исходный код? Вытерлись? Я всегда говорил, что типичный
> линуксоид, бзд-ник и прочий любитель опен сорса НИКОГДА не делал аудит
> всей системы, поэтому утверждать, что там все шоколадно-полное безумие.
Почему вдруг только фанатики и с пеной? Любому нормальному человеку ясно, что опенсорсу в плане отсутствия компроментирующего кода можно больше доверять чем проприаритарщине. Даже значительно больше. А кому не ясно, тот просто не совсем нормальный человек.
| | |
| 2.63, alikd (?), 13:26, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
 Что с логикой дядя?
Из этой новости следует, что всё закрытое кишьмя кишит бэкдорами и в плане конфедициональности информации конечного пользователя много хуже.
| | |
| |
| |
| 4.186, __Bulgarin (?), 20:12, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
> Потенциальные бэкдоры в самом "непробиваемом" БСД тоже говорят не о рулеже
> в безопасности, а больше о пиаре.
Пожалуйста, укажите категории бэкдоров, и как они могут быть реализованы, так, что бы пятеро-четверо разработчиков модуля (подсистемы) из разных стран его не заметили в течении, скажем, полугода ковыряния над модулем, что в голове за годы работы над кодом уже почти наизусть.
Интересна ваша квалификация как эксперта.
| | |
| 4.206, анонимус (??), 22:53, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– | |
>Новость подтверждает обратное.
Ложь. Новость лишь говорит, что в OpenBSD [возможно] 10 лет назад был внедрен бэкдор.
О бэкдорах в проприетарных ОС так же пишут новости и в разы чаще. Как говорится, толсто.
| | |
|
|
| 2.268, Аноним (-), 13:57, 16/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
> Ну, и где те фанатики, которые всегда с пеной у рта орали,
> что опен сорс рулит и в нем всегда можно быть увереным,
> так как открыт исходный код? Вытерлись? Я всегда говорил, что типичный
> линуксоид, бзд-ник и прочий любитель опен сорса НИКОГДА не делал аудит
> всей системы, поэтому утверждать, что там все шоколадно-полное безумие.
Вы этот вывод сделали на основании пока ничем не подтверждённого заявления в интернетах?
| | |
|
| 1.34, Аноним (-), 12:33, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| +4 +/– |
Вообще говоря, если всё правда, то отличную стратегию выбрала ФБР.
Факт копипастинга кода, выходящего под BSD-like лицензиями, кем только не лень общеизвестен. Таким образом, можно распростанить эту дыру во множество других продуктов, открытых, проприетарных и прочих, не прилагая к этому никаких усилий.
Полный анализ на наличие подозрительного кода врядли будут проводить, если вообще будут: репутация OpenBSD как самой безопасной системы этому способствует.
| | |
| |
| |
| 3.217, Аноним (-), 01:00, 16/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
Что, каждый раз помечают? Ни разу нигде никогда не упустили откуда код?
Только из OpenBSD берется код (а как же NetBSD и др. проекты)?
А почему grep ограничился только net* подсистемой? Остальные части системы не участвуют в копипастинге?
Да и вопрос, то, не про OpenBSD=>FreeBSD, а об AllBSDSoftware=>AllKindsOfSoftware,
проверить последнее grep'ом тебе не удастся.
Выше в комментах разобрали случай внедрения дыры "wait4" ("Достаточно одной таблэтки.")
Достаточно одного символа в коде, а что уж говорить про 18К ...
| | |
| |
| |
| 5.260, Аноним (-), 12:13, 16/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
Еще раз повторяю, речь не идет только об одном ipsec, а о всем BSD коде, части которого, либо весь BSD проект может появиться (и появляется) практически в любом другом проете (а че? - халява). Это должно быть очевидно из первого поста в ветке.
> Найдите еще ;)
> Вы не хотите найти и указать мест в коде ipsec, где будет достаточно нескольких строк и это никто не заметит?
Это же ты взялся grep'ить что под руки попало, чего стрелки переводишь ?
| | |
|
|
|
|
| 1.55, ubique (?), 13:14, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| +2 +/– |
Allegations of FBI involvement in OpenBSD IPSEC
Scott Lowe <scott.lowe <at> scottlowe.org>
2010-12-15 02:16:15 GMT
I'm posting this message in the spirit of honesty and transparency.
My name was recently involved in allegations of FBI involvement in the
development of OpenBSD IPSEC. For the record: I am not, nor have I ever been,
affiliated with or employed by the FBI or any other government agency. My
advocacy of OpenBSD has been strictly due to my appreciation of the project.
There is no secret agenda here.
--
Scott
Таки фейк?
| | |
| |
| 2.60, Square (ok), 13:22, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +5 +/– |
>[оверквотинг удален]
> development of OpenBSD IPSEC. For the record: I am not, nor have
> I ever been,
> affiliated with or employed by the FBI or any other government agency.
> My
> advocacy of OpenBSD has been strictly due to my appreciation of the
> project.
> There is no secret agenda here.
> --
> Scott
> Таки фейк?
Просто у него срок неразглашения 20 лет...
| | |
| |
| |
| 4.73, Square (ok), 13:40, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| –2 +/– | |
> http://permalink.gmane.org/gmane.os.openbsd.tech/22560
И кто-то за него месадж составил.
Фраза
I am not, nor have I ever been,
affiliated with or employed by the FBI or any other government agency.
уместна в юридическом документе. В нормальной жизни так imho не говорят. А тут его шо называется взяли за хозяйство - и эшь как заговорил....чтоб никакой панимашь двусмысленности небыло... чтоб никак иначе истрактовать нельзя было....
| | |
|
|
| 2.70, samm (ok), 13:37, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
Честно говоря - очень похоже на фейк.
We have never allowed US citizens or foreign citizens working in the US
to hack on crypto code (Niels Provos used to make trips to Canada to
develop OpenSSH for this reason), so direct interference in the crypto
code is unlikely. It would also be fairly obvious - the crypto code
works as pretty basic block transform API, and there aren't many places
where one could smuggle key bytes out. We always used arcrandom() for
generating random numbers when we needed them, so deliberate biases of
key material, etc would be quite visible.
So a subverted developer would probably need to work on the network stack.
I can think of a few obvious ways that they could leak plaintext or key
material:
| | |
|
| 1.78, iCat (ok), 14:02, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ] [к модератору]
| +/– |
 Вентилятор радостно взвизгнул и разбросал по всей комнате...
"Это всё придумал Черчиль в восемнадцатом году!"
(Пойду-ка на всякий случай прикуплю попкорна и устроюсь поудобнее. Ща начнётся :))
| | |
| 1.106, Аноним (-), 15:25, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| –6 +/– | |
Уже сколько раз писали про бегдоры на разных ОС и сидят эти бекдоры по нескольку лет. Так что не удивительно. Вопрос в другом.
Эти уязвимости показывают, что насколько ущербна безопасность многолитного ядра и собственно языка С и С++. Надо писать микроядро на языке Паскаль и колбасить мозги.
| | |
| |
| 2.117, pavlinux (ok), 16:17, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +4 +/– |
 > Эти уязвимости показывают, что насколько ущербна безопасность многолитного ядра
> и собственно языка С и С++.
Из этого следует, что тот кто знает английский - шпиён (с) 1937-1953 гг.
> Надо писать микроядро на языке Паскаль и колбасить мозги.
Всех расстрелять и писать на Кумире.
| | |
| 2.121, Аноним (-), 17:00, 15/12/2010 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +/– |
Думаете, в Паскале не придется память вручную освобождать? Хотя строки там действительно малость получше. Но ненужной писанины просто адски много и в самых неожиданных местах
| | |
| |
| 3.257, q (??), 10:43, 16/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– |
>> многолитного [...] Паскаль [...] колбасить
> (уходит, давясь рыданиями)
По определению понятно, что сделать бэкдор в монолите проще, чем в микроядре. Микроядерный код проще верифицировать.
| | |
| |
| 4.286, Аноним (-), 22:33, 16/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– | |
> По определению понятно, что сделать бэкдор в монолите проще, чем в микроядре. Микроядерный код проще верифицировать.
Недавно обсуждали на ЛОРе. Не легче. Алгоритмы передачи сообщений в микроядре значительно усложняют код, а не упрощают его.
| | |
|
|
|
| 1.119, Дедушка Советской Армии (?), 16:37, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]
| +/– |
А почему слово "бэкдор" в заголовке в единственном числе?
FBI implemented a number of backdoors and
side channel key leaking mechanisms into the OCF, for the express
purpose of monitoring the site to site VPN encryption system
implemented by EOUSA, the parent organization to the FBI.
ФБР внедрило несколько бэкдоров и побочных канальных механизмов утечки ключей в OCF, для явно выраженной цели мониторинга системы шифрования "site to site VPN", внедрённой EOUSA, родительской организацией ФБР.
Также не только Jason Wright был задействован, а несколько человек, которые с ним работали.
Новость, конечно, очень неприятная, особенно для репутации OpenBSD.
| | |
| |
| 2.123, ivi (??), 17:07, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
 Между прочим, в США распространение ПО приравнено к распространению вооружений. Думается, что бэкдор так или иначе есть везде. И это не новость.
| | |
| |
| 3.175, __Bulgarin (?), 19:31, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| –2 +/– |
> Между прочим, в США распространение ПО приравнено к распространению вооружений. Думается,
> что бэкдор так или иначе есть везде. И это не новость.
У себя в голове не проверяли?
| | |
|
|
| 1.124, as (??), 17:11, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| +/– |
превый вопрос
одобрена ли OpenBSD российскими спецслужбами ?
если одобрена , кто одобрил того на кол ?
второй вопрос
вы всё ещё верите что в линукс или freebsd нет бекдора ? :)
| | |
| |
| 2.138, pupkin (?), 17:42, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
проскакивали как-то сообщения что МСФТ борется с палёными установками софта через сообщения от какого-то левого системного сервиса, который инвентори софта им втихаря шлёт...
| | |
| 2.214, __Bulgarin (?), 00:33, 16/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
> вы всё ещё верите что в линукс или freebsd нет бекдора ? :)
Есть. Даешь админу на лапу достаточно зеленых, визу и билет нахрен - и система твоя.
| | |
| |
| 3.319, Michael Shigorin (ok), 20:40, 17/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
>> вы всё ещё верите что в линукс или freebsd нет бекдора ? :)
> Есть. Даешь админу на лапу достаточно зеленых, визу и билет нахрен -
> и система твоя.
Это если он лох и верит в зелёные -- а от себя не убежишь.
| | |
|
|
| 1.131, mirr0r (ok), 17:34, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| +2 +/– |
 Так и не понял, о чем спор то.
Приходят ко мне два кренделя из малоизвестного отдела всем известной организации.
Говорят "Вот этот пацан из вашей сетки в нете всякое непотребство творит".
Показывают мне файлик расшифровки трафика этого пацана, приблизно 800-850 Мб.
Там про него все, пароли, сервера где регился, что, когда, откуда качал.
Потом подразобрались, не из нашей сетки. Мужики ушли, а я подумал
"Если мне хоть кто-то скажет про возможности скрытия своих данных,
пошлю на три буквы адназначна (в нет)."
К слову. Во всех развитых странах все конторы получают алгоритмы
шифрации-дешифрации всех ключевых систем.
Если кто-то не понял, псмотрите хотя бы пакет dsniff (его возможности).
А ведь это фришный, опять же, пакет.
А про бэкдоры, так надо быть круглым и--том, чтобы думать, что их нет
в современных осях (фришных, полуфришных, совсем-не-фришных).
Вы что действительно думаете, что от серьезной конторы спрячетесь?
На землю вернитесь, пора повзрослеть.
Кстати, еще один товарисч из всем известной конторы мне говорил:
"Если на тебя нет приказа, не парься, никто тебя не тронет.
А если будет на тебя приказ, хоть будь весь золотой и с платиновой
головкой - посадят, никто не поможет"
| | |
| |
| 2.171, __Bulgarin (?), 19:22, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– | |
Люблю сказочников таких, под кер вечером, слушать.
> Кстати, еще один товарисч из всем известной конторы мне говорил:
SSL/TLS - наше решение. В любом другом случае аутентификационные ключи идут в открытом виде так или иначе, если добраться до физики в разрыв.
СОРМ ящики стоят далеко не на всех узлах. Затрахаются искать данные. Бардак - везде. И у операторов, и у безопасников.
dsniff еще 10 лет назад пользовал ради интереса. После получения помойки из 3000 юзероключей, из которых 90% каждый повторяеться раз 100, стало скучно.
Вы еще для себя wireshark откройте - тот даже голосовые потоки на лету декодирует, стандартные некриптованные.
| | |
| 2.173, __Bulgarin (?), 19:27, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
>Потом подразобрались, не из нашей сетки.
Сразу не обратил внимание на строку байку - тоды спецы, ни чего не скажешь, раз про Ай-Пи номера знают :)
Вот этих специалистов нахрен никому неизвестных отделов и приходилось консультировать, дабы RJ45 от RJ12 научились отличать :)
| | |
| |
| 3.197, AFCrio (ok), 21:35, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
 Вы про RJ45 рассказываете как раз как специалист из нахрен никому неизвестных отделов. Сильно подозреваю что обычно вы так называете совсем другой интерфейс.
| | |
| |
| 4.201, __Bulgarin (?), 22:01, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
> Вы про RJ45 рассказываете как раз как специалист из нахрен никому неизвестных
> отделов. Сильно подозреваю что обычно вы так называете совсем другой интерфейс.
Ага, точно. В отделах К и подобных аналитики-математики, нахрен абстрагированные от сетевых технологий. Угу.
Сильно абстрагированные.
| | |
| 4.202, __Bulgarin (?), 22:05, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
> Вы про RJ45 рассказываете как раз как специалист из нахрен никому неизвестных
> отделов. Сильно подозреваю что обычно вы так называете совсем другой интерфейс.
Да, и не мучайте уж, напишите свои подозрения - тут телепатов нет. Очень хочется узнать вашу квалификацию как эксперта в интерфейсах :)
| | |
| |
| 5.221, AFCrio (ok), 02:14, 16/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
Я подозреваю, что вы так называете то, что согласно TIA/EIA-568 зовется 8P8C. И да, это важно. Как минимум в конструкторской документации. Поскольку если там написать RJ-45, то в итоге его могут попытаться использовать, что приведет к проблемам.
| | |
| |
| 6.223, __Bulgarin (?), 02:28, 16/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– | |
> Я подозреваю, что вы так называете то, что согласно TIA/EIA-568 зовется 8P8C.
Да, ты знал! Мы спасены! Теперь все будем так говорить - "Дайте мне пожалуйста 8П8С сотенную пачку и 6П6С две."
Даже наш кладовщик Василий Иванович скажет - "Тебе точно две пачки 6П6С и одной 8П8С хватит?", и при этом не пошлет тебя три раза найух, пытаясь выговорить это в понедельник утром и пятницу вечером.
Пилять... И эти пытаются учить... :)
| | |
| |
| 7.225, AFCrio (ok), 02:41, 16/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
Я указал что вы неправы, указал что это может привести к проблеме, и в каком случае. И мне абсолютно все равно что скажет ваш кладовщик и сколько раз. Если вы привыкли вырывать слова из контекста и не представляете, что где-то требуются строгие соблюдения формальной терминологии, то Дальнейшее общение с вами считаю бессмысленным.
И вас учить точно никто не пытается, для общения с Василием Ивановичем вашего запаса знаний хватит с избытком.
| | |
|
|
|
|
|
|
| |
| 2.143, guest (??), 17:52, 15/12/2010 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +/– |
Беда в том, что процентов 90% не понимают разницы между аудитом с целью поиска банальностей
типа переполнения буферов (чем в основном и занимается Тео со товарищи) и доказательством логики.
| | |
| |
| 3.193, __Bulgarin (?), 21:05, 15/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
> Беда в том, что процентов 90% не понимают разницы между аудитом с
> целью поиска банальностей
> типа переполнения буферов (чем в основном и занимается Тео со товарищи) и
> доказательством логики.
% от чего?
99,999 процентов жителей планеты не умеют программировать на С.
| | |
|
| 2.191, __Bulgarin (?), 21:04, 15/12/2010 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– |
> Тем, кто верит в легко обнаружимые 'особенности' кода, особенно в математике:
> сколько аудитов прошел вполне открытый стандарт DAA до доклада на рускрипте?
> http://www.ruscrypto.ru/sources/conference/rc2009/
FIPS PUB 113
Computer Data Authentication 1985, specifies a Data Authentication Algorithm (DAA) based on DES, adopted by the Department of Treasury and the banking community to protect electronic fund transfers.
http://www.itl.nist.gov/fipspubs/fip113.htm
Неуловимый Джо.
_Аутентификационный_ алгоритм, давно не используемый. В ipsec алгоритмах в BSD не используется.
Для аутентификации пакетов используеться любой из md5/ripemd5, sha1, sha2, aes.
Для шифрования - любой из des3, aes/rijndael, blowfish, cast.
| | |
| |
| |
| 4.219, __Bulgarin (?), 02:03, 16/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
> Можете смеяться, но у меня мурашки по коже честно говоря пробежали. Я
> и до этого знал, что есть такие дырки... Работал у одного
> крупного провайдера. В сети объявился кулхацкер, подломивший пару банков. Давно это
жуть какая! подломил пару банков!
> Сейчас занимаюсь аудитом корпоративных сетей. Все учетки и пароли у меня на
> столе обычно бывают через сутки после запуска снифера. Дырки... Если винда
> включена в локалку, то она прозрачна как ну не знаю как...
> )))
kerberos tickets тоже? :)
| | |
|
|
|
| 1.205, guest (??), 22:20, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]
| +1 +/– | |
А вот и виновник нашего маленького торжества проснулся.
Subject: Allegations regarding OpenBSD IPSEC
Every urban lengend is made more real by the inclusion of real names,
dates, and times. Gregory Perry's email falls into this category. I
cannot fathom his motivation for writing such falsehood (delusions
of grandeur or a self-promotion attempt perhaps?)
I will state clearly that I did not add backdoors to the OpenBSD
operating system or the OpenBSD crypto framework (OCF). The code I
touched during that work relates mostly to device drivers to support
the framework. I don't believe I ever touched isakmpd or photurisd
(userland key management programs), and I rarely touched the ipsec
internals (cryptodev and cryptosoft, yes). However, I welcome an
audit of everything I committed to OpenBSD's tree.
I demand an apology from Greg Perry (cc'd) for this accusation. Do
not use my name to add credibility to your cloak and dagger fairy
tales.
I will point out that Greg did not even work at NETSEC while the OCF
development was going on. Before January of 2000 Greg had left NETSEC.
The timeline for my involvement with IPSec can be clearly demonstrated
by looking at the revision history of:
src/sys/dev/pci/hifn7751.c (Dec 15, 1999)
src/sys/crypto/cryptosoft.c (March 2000)
The real work on OCF did not begin in earnest until February 2000.
Theo, a bit of warning would have been nice (an hour even... especially
since you had the allegations on Dec 11, 2010 and did not post them
until Dec 14, 2010). The first notice I got was an email from a
friend at 6pm (MST) on Dec 14, 2010 with a link to the already posted
message.
So, keep my name out of the rumor mill. It is a baseless accusation
the reason for which I cannot understand.
--Jason L. Wright
| | |
| 1.218, Аноним (-), 01:04, 16/12/2010 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]
| +/– |
А почему все так говорят, будто этот бэкдор - неопровержимый факт?
Может проекту OpenBSD понадобились добровольцы для проведения аудита исходников и они придумали пиар-акцию?
| | |
| |
| |
| |
| Часть нити удалена модератором |
| |
| |
| Часть нити удалена модератором |
| 6.275, __Bulgarin (?), 15:46, 16/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– |
> банальном наличии желания блобы не сильно далеко ушли от исходников. Наверное
> про дизасм слышали? Так вот, необходимое желание (в той же криптографии)
> для аудита исходников или дизасма примерно равно. Да, да, можете смеяться
> хоть лежа. Посмотрите сходники любого криптопротокола - вы нихрена там не
> поймете. И 98% программистов нихрена не поймут, кроме семантики.
98% из кого?
98% системных и сетевых программистов возможно не изучали алгоритмы IKE. Да и собственно, нафига? Кроме программирования ipsec еще есть масса задач. 2% тех кто изучали, и 0.5% что могут разобраться, поправить или написать при необходимости - вполне под данную логику достаточно.
| | |
|
|
|
|
|
| 1.229, linux_must_die (ok), 03:22, 16/12/2010 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| –1 +/– |
 oh shi.. неужели этот день все же настал? скрестил пальцы на удачу.
p.s. здравый смысл подсказывает что бэкдоры в opensource есть, не говоря уже про винду,mac,intel,amd или ту же cisco и прочую хрень.
| | |
| |
| 2.253, AFCrio (ok), 09:42, 16/12/2010 [^] [^^] [^^^] [ответить] [к модератору]
| +2 +/– |
Здравый смысл подсказывает что бэкдоры при наличии исходников обнаружить проще, чем занимаясь дизассемблированием. Этим я никоим образом не говорю о том, что они все обнаружены или этим серьезно занимаются.
P.S. И еще можно утверждать что количество не найденных ошибок и бекдоров может быть отлично от ноля и стремиться к бесконечности в силу определения. До тех пор, пока нет фактов или обоснованных предположений о том, что они используются можно не страдать параноей. (IMHO)
| | |
|
| 1.288, Аноним (-), 23:11, 16/12/2010 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]
| +1 +/– |
"Это "ж-ж-ж" - неспроста" (с) Винни пух
вот только недавно Тхео про wikileaks писал и как нехорошо власти себя ведут :)
и тут же сразу всплыли закладки, интересно, интересно
| | |
|
