| |
| |
| 3.48, эцновоя (?), 13:01, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
Вот вам и строгий синтаксис, и однозначная семантика, и самодокументированный код на Си в больших проектах - ну всё под контролем, буквально всё.
| | |
| 3.98, Аномистикус (?), 14:50, 15/12/2010 [^] [^^] [^^^] [ответить]
| +32 +/– |
А если б это было проприетарщина, то никто бы вообще ничего не узнал. Мы что, всерьез полагаете, что возможно добиться полной гарантии безопасности в какой-либо системе?
| | |
| |
| 4.159, dq0s4y71 (??), 18:40, 15/12/2010 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> А если б это было проприетарщина, то никто бы вообще ничего не узнал.
Ха! Так это стало известно не благодаря открытым исходникам, а благодаря признанию разработчика! А исходники как лежали в открытом доступе, так никто в них за 10 лет ничего и не нашел! Вот вам и опен сорс...
| | |
| |
| 5.163, Аноним123321 (ok), 18:59, 15/12/2010 [^] [^^] [^^^] [ответить]
| +5 +/– |
 > Вот вам и опен сорс...
ну проприетарный код видимо надёжнее.. да?
там ведь точно нет бэкдоров :D :D :D :D
| | |
| |
| 6.282, dq0s4y71 (??), 20:20, 16/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
От того, что проприетарный код бывает ненадежным, открытый код более надежным не становится. А вы всё никак этого не поймете...
| | |
| |
| 7.315, User294 (ok), 18:15, 17/12/2010 [^] [^^] [^^^] [ответить] | +/– |  Ну так расскажите нам, как вы будете аудит закрытого кода проводить Очень интер... большой текст свёрнут, показать | | |
|
|
| 5.198, upyx (ok), 21:35, 15/12/2010 [^] [^^] [^^^] [ответить]
| +3 +/– |
 > А исходники как лежали в открытом доступе, так никто в них за 10 лет ничего и не нашел!
Откуда такой вывод? Напротив, очень может быть, что нашли, признали багой, поправили и забыли.
| | |
| |
| 6.284, dq0s4y71 (??), 20:26, 16/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
Может быть. Но тогда мне хотелось бы увидеть ссылку на соответствующий коммит :)
| | |
|
|
|
| 3.122, Аноним (-), 17:05, 15/12/2010 [^] [^^] [^^^] [ответить]
| +3 +/– |
Ага, в проприетарщине никогда бы ничего не обнаружили - даже прятать не надо было на самом деле.
| | |
| 3.147, artemrts (ok), 18:02, 15/12/2010 [^] [^^] [^^^] [ответить]
| +4 +/– |
 Да что опен соурс. А что ты предложишь взамен. Закрытую Венду??? Я только могу представить сколько там бэкдоров.
| | |
| 3.199, User294 (ok), 21:54, 15/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Вот вам и Open Source
Ну эти то хоть смогут проаудитить свой код после такого привлечения к себе внимания. А вот аудитить блобятину на предмет таких закладок - в разы более трудоемко и мало кто будет ковырять реализацию IPSec например в той же винде. Потому что мазохизм это.
| | |
|
| 2.328, Бублик (?), 23:29, 16/01/2011 [^] [^^] [^^^] [ответить]
| +/– |
Вот вам и PR-манеры Микрософта в полный рост. Именно эти гниды и стоят за этим вбросом. Нет там никаких бэкдоров. Вернее, все общедоступные средства шифрования уязвимы и всегда были открыты для заинтересованных гос. структур.
| | |
|
| 1.4, EuPhobos (ok), 11:24, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 Очень сильно будет подпорчена репутация всей системы OpenBSD, если информация подтвердится.
| | |
| |
| |
| |
| 4.162, Cybister (?), 18:54, 15/12/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
Bнтересно, в win IPSEC копипастом реализовывали, надо будет проследить за обновлениями-фиксами :))))
И опенсорц тут ни при чём, в клоседсорсах можно сидеть всю жизнь на бакдорах и не знать пока массово лезть через них не начнут.
| | |
| |
| 5.249, EuPhobos (ok), 09:17, 16/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
В винде фиксить ничего не будут, скорее юзать ;) Или давно уже знают и юзают)
| | |
|
|
|
| 2.179, Кларауций (?), 19:41, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
А как вы думаете, если FBI озаботились OpenBSD, они остались совершенно равнодушны к более широко распространённым реализациям, в том числе и Линукс? Что более вероятно - странная забывчивость FBI или то, что NDA у некоторых других господ ещё просто не успели протухнуть?
Это если предполагать, что обвинения правдивы.
| | |
| 2.329, Бублик (?), 23:32, 16/01/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Очень сильно будет подпорчена репутация всей системы OpenBSD, если информация подтвердится.
Никак она подмочена не будет. Это медийный вброс Микрософта против Линукса. Микрософтовские тролли на форумах начала муссировать данную тематику без конкретики ещё с сентября месяца. Теперь всё это вылилось в более конкретные формы. Сначала они напирали на некую никем не виденную ошибку, теперь вот на то, что в СПО все продались, а только их за деньги не купишь.
Противно всё это и омерзительно.
| | |
|
| 1.5, Хакчик (?), 11:24, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Исходники надо через сито пропускать...вот так кому и верить теперь в чистоте кода...?
| | |
| |
| 2.66, Анонимус007 (?), 13:29, 15/12/2010 [^] [^^] [^^^] [ответить]
| +4 +/– | |
Ага, через сито.
Кто щас засядет аудировать код Линукса (3 ляма строчек)? Может ты?
Кстати, интересно, а как Линус свой американский паспорт получил? Что думаете, посоны?
| | |
| |
| 3.110, EuPhobos (ok), 15:47, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Ага, через сито.
> Кто щас засядет аудировать код Линукса (3 ляма строчек)? Может ты?
> Кстати, интересно, а как Линус свой американский паспорт получил? Что думаете, посоны?
Кто знает, какие черти в блобах водятся)
| | |
| 3.230, Слоупок (ok), 03:24, 16/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
 А вы всерьёз думаете, что Линусу дали бы гражданство только за бэкдоры? )))
| | |
|
|
| 1.7, sys (??), 11:25, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
 Если они внедряли код в такой малораспространенный дистр как Опёнок то в популярных типа FeeBSD и Linux он должен быть обязательно. И уверен что не только от ФБР, но и от спецслужб других государств.
| | |
| |
| 2.19, nmorozov (ok), 11:46, 15/12/2010 [^] [^^] [^^^] [ответить]
| +4 +/– |
 Тут дело не в распостраннености опенка а в том, что Опенок был финансирован вояками из США в свое время.
| | |
| |
| 3.52, filosofem (ok), 13:09, 15/12/2010 [^] [^^] [^^^] [ответить]
| +5 +/– |
 Да, но..
Тут дело не только в финансировании, но еще в том, что код OpenBSD используется практически во всех дистрибутивах. Взять тот же OpenSSH.
| | |
|
| 2.116, zazik (ok), 16:16, 15/12/2010 [^] [^^] [^^^] [ответить]
| +22 +/– |
 > Если они внедряли код в такой малораспространенный дистр как Опёнок то в
> популярных типа FeeBSD и Linux он должен быть обязательно. И уверен
> что не только от ФБР, но и от спецслужб других государств.
Не конфликтует ли код от разных спецслужб между собой? Может поэтому на винде часты БСОДы?
| | |
| 2.149, __Bulgarin (?), 18:07, 15/12/2010 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>Если они внедряли код в такой малораспространенный дистр как Опёнок то в популярных типа FeeBSD и Linux он должен быть обязательно. И уверен что не только от ФБР, но и от спецслужб других государств.
И от марсианских велосипедистов. Точно.
| | |
|
| 1.8, samm (ok), 11:28, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 Ну пока непонятно - мутное письмо без каких либо фактов или даже намеков на affected code, и вполне возможно, что это вброс для того, чтобы навредить OpenBSD и/или упомянутому разработчику (Jason Wright). Он, кстати, достаточно активен в сети, так что стоит дождаться его комментариев. А может и вброс.... Ждем результатов аудита.
| | |
| |
| 2.20, Аноним (-), 11:46, 15/12/2010 [^] [^^] [^^^] [ответить] | +1 +/– | Муть объясняется тем, что на информацию последних 10 лет все еще действует подпи... большой текст свёрнут, показать | | |
| |
| 3.32, Hugo Reyes (?), 12:29, 15/12/2010 [^] [^^] [^^^] [ответить]
| –2 +/– |
Gregory Perry
Chief Executive Officer
GoVirtual Education
"VMware Training Products & Services"
| | |
| 3.125, анонимус (??), 17:16, 15/12/2010 [^] [^^] [^^^] [ответить]
| +9 +/– | |
> У моего деда срок неразглашения был 40 лет, только последнее время стал рассказывать интересные вещи.
Бредятина полная, да хоть 80!
Все подписки, данные правительству СССР утратили силу - СССР более не существует.
| | |
| |
| |
| |
| 6.263, Аноним (-), 13:16, 16/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Типа сторож охраняет ворота после того как весь склад вывезли?
Типа того.
| | |
|
|
| 4.215, PereresusNeVlezaetBuggy (ok), 00:35, 16/12/2010 [^] [^^] [^^^] [ответить]
| –2 +/– |
 >> У моего деда срок неразглашения был 40 лет, только последнее время стал рассказывать интересные вещи.
> Бредятина полная, да хоть 80!
> Все подписки, данные правительству СССР утратили силу - СССР более не существует.
Россия — правопреемница СССР. Учите современную историю заново, раз уже всё забыли.
| | |
| |
| 5.226, анонимус (??), 02:56, 16/12/2010 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Россия — правопреемница СССР
Ни в коем случае!
Только частично, все республики являются правопреемниками.
Кроме того в Беловежском соглашении ясно сказано: "Союз ССР как субъект международного права и геополитическая реальность прекращает свое существование", учите историю.
| | |
| |
| |
| 7.233, анонимус (??), 04:15, 16/12/2010 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> то их (и правовых актов, и сделанных в соответствии с ними подписок) действие также никто не отменял.
Не надо глупых спекуляций - военнослужащие присягали заново, Российской Федерации, т.к. старая присяга, не существующему более СССР, утратила силу.
Как и все подписки.
Т.к. возникло новое гражданство.
| | |
| |
| |
| |
| |
| 11.240, ano (??), 06:43, 16/12/2010 [^] [^^] [^^^] [ответить] | +3 +/– | Мой дядя офицер давал именно Присягу России, в виде обязательства Так что по ... текст свёрнут, показать | | |
| |
| |
| 13.243, ano (??), 07:03, 16/12/2010 [^] [^^] [^^^] [ответить] | +/– | Да-да, редким Не ври уж - повторно присягали все офицеры А на сборах снова при... текст свёрнут, показать | | |
| |
| |
| 15.247, ano (??), 07:55, 16/12/2010 [^] [^^] [^^^] [ответить] | +/– | Те, кто отказался от повторной присяги в штабе бумажкой, не обязательно перед с... текст свёрнут, показать | | |
|
| |
| 15.246, ano (??), 07:51, 16/12/2010 [^] [^^] [^^^] [ответить] | –2 +/– | Знаю А ещё я в Армии служил Так пускай попробует слетать на самолёте Или прод... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| Часть нити удалена модератором |
|
|
|
|
|
|
|
|
|
|
|
|
|
| 7.258, Alex (??), 11:54, 16/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
УССР была государством, и имела представительства в ООН даже раньше Союза.
Украина правоприемница УССР, и только по доброй воле она передала _СВОЁ_ ядерное вооружение России.
То, что Россия взяла на себя обязательства по внешнему долгу и активам, то это по договорённости всех остальных вышедших республик.
| | |
|
|
|
|
|
|
| 1.9, Raptor (??), 11:31, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Если новость не фейк, то правительство вместе со всем ФБР на кол посадить!
| | |
| |
| |
| 3.30, ixti (ok), 12:26, 15/12/2010 [^] [^^] [^^^] [ответить]
| +6 +/– |
 Был бы он не серьёзный шалопай-разбойник, тогда бы я был на 100% уверен что фейк. А вот то, что дядька солидный скорее настораживает и навождит на мысли, что может быть и не фейк... В любом случае ИМХО выводы надо будет делать после аудита кода, а не до того. Потому, что даже если Джейсон ссучился, я не думаю, что он вот так вот сейчас принесёт публичные извинения мол "да, был не прав, деньги нужны были, да и родственников из Мексики надо было леголизовывать, и в крамане ганджа нашли, в общем трудные времена были", что на мой взгляд по любому поставит жирное бельмо на нём... Даже если факт имел место - я уверен, что будет отрицать. Ждать надо аудита :)) "Весной посмотрим, кто где какал" (С) :))
| | |
|
|
| |
| 2.14, samm (ok), 11:33, 15/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Ну чо теперь делать?
> В цисках тоже поди напичкано? Про винду молчу.
Срочно уничтожайте все ваши данные - фбр уже выехал! ))
| | |
| |
| |
| 4.18, samm (ok), 11:44, 15/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
Себе, как и ранее. Именно по этой причине очень крупные компании заказывают аудит кода (в том числе имея доступ к коду windows) перелагая таким образом часть ответственности на аудиторов. Ну а к тому, что спецслужбы развитых государств способны получить доступ много к чему - следует относиться философски. Кстати, думаю что метод "терморектального анализа" в общих случаях много более дешев и применим )
| | |
| |
| 5.25, Lexa3110 (ok), 11:53, 15/12/2010 [^] [^^] [^^^] [ответить]
| +17 +/– |
 Много раз слышал про то, что "некоторые компании" якобы имели доступ к коду виндовс.
Но объясните, плиз, хрен ли толку? Ну, посмотрели. И что? Что они смотрели? Вот если
СОБРАТЬ из этих исходников венду, да при этом контрольная сумма бинарника совпадет с оригинальной, тогда, наверное, да - видели именно то, что маздай из себя представляет...да и то, сначала сырцы компилятора бы посмотреть, да из сырцов его собрать потом.
А так - видели какие-то тексты...ну и что? А что, собственно, видели?
| | |
| |
| 6.57, anonymouse (?), 13:20, 15/12/2010 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> СОБРАТЬ из этих исходников венду, да при этом контрольная сумма бинарника совпадет с оригинальной
Контрольная сумма не совпадет никак. Если кто не в курсе, visual C++ вставляет в PE файл информацию о конкретной установке винды. Байты с 0x80 по 0xD0.
> да и то, сначала сырцы компилятора бы посмотреть, да из сырцов его собрать потом.
а это уже параноя =)
| | |
| 6.127, Michael Shigorin (ok), 17:26, 15/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Наши как раз и не собрали AFAIH -- когда обратились за недостающими частями, им сказали, что и не собирались их передавать.
| | |
|
| 5.46, кент (?), 12:59, 15/12/2010 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Себе, как и ранее. Именно по этой причине очень крупные компании заказывают
> аудит кода (в том числе имея доступ к коду windows) перелагая
> таким образом часть ответственности на аудиторов. Ну а к тому, что
> спецслужбы развитых государств способны получить доступ много к чему - следует
> относиться философски. Кстати, думаю что метод "терморектального анализа" в общих случаях
> много более дешев и применим )
В моём случае ТРКА не применим. Все ключи на флешках, флешки у сотрудников ГБ. Я просто не смогу ничего рассказать, нечего рассказывать.
| | |
| |
| |
| 7.133, zazik (ok), 17:38, 15/12/2010 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> тогда "прощай прямая кишка", ибо не поверят
Ну или поверят, но для профилактики обработают, чтобы другим умникам неповадно было.
| | |
|
|
|
| 4.231, Слоупок (ok), 03:38, 16/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
Никому нельзя верить на 100% )))) Теперь изучать криптографию и C++ :)))
| | |
|
| |
| 4.80, Котяра (??), 14:05, 15/12/2010 [^] [^^] [^^^] [ответить]
| +9 +/– |
>>Срочно уничтожайте все ваши данные - фбр уже выехал! ))
> А смысл?
У ФБР резервная копия есть, можно сэкономить на дисковом пространстве.
| | |
|
| 3.115, Аноним (-), 16:03, 15/12/2010 [^] [^^] [^^^] [ответить]
| +2 +/– |
как пить дать!! чисто штатовская конторка циска....я всегда им недоверял...
| | |
|
| 2.24, Аноним (-), 11:51, 15/12/2010 [^] [^^] [^^^] [ответить]
| +5 +/– |
По отношению к этим вашим цискам - это, наверняка, самое безобидное из того что там напихано.
| | |
| |
| 3.154, __Bulgarin (?), 18:23, 15/12/2010 [^] [^^] [^^^] [ответить]
| +2 +/– |
> В цисках точно -- см. "нечаянно" упавшую местами спецсвязь во время грузинских
> событий.
"Я плакалъ". Паранойя неистребима :)
Какая специальная связь? Во время каких грузинских событий? Да если что где и было на магистралях в кавказских - там просто были тупо обесточены узлы, или провода повыдергивал кто, или банальный DoS на хилых каналах. Вы что думаете, у госструктур РФ специалисты есть? Там большинство персонала, утрируя, еле писюк от нотника отличает, и Win от Lin.
| | |
| |
| 4.232, Mna (??), 04:05, 16/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
постсоветский хакер дёшов и сердит. почти ассиметричен. нанять его, и всего делов.
грош цена ССлужбе не умеющей применить ТРКА к такому физическому лицу
| | |
| 4.318, Michael Shigorin (ok), 20:22, 17/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
> "Я плакалъ".
(пожимая плечами) Ну спросите и Вы своих, что ли.
> Какая специальная связь?
Южный сегмент правительственной.
> или провода повыдергивал кто
Нет, "вдруг" легли кошки.
> Вы что думаете, у госструктур РФ специалисты есть? Там большинство
Насчёт большинства не знаю, а со специалистами сталкивался, и звали.
Даже на лоре помимо "большинства" есть специалисты.
| | |
| 4.331, Xaionaro (ok), 14:52, 23/11/2014 [^] [^^] [^^^] [ответить]
| +/– |
 >> В цисках точно -- см. "нечаянно" упавшую местами спецсвязь во время грузинских
>> событий.
> Там большинство персонала, утрируя, еле писюк от нотника отличает, и Win от Lin.
Много где так, но не везде ;). Откуда у вас вообще такая информация? Общались с реальными работниками соответствующих направлений в госслужбах?
| | |
|
|
|
| 1.11, Аноним (-), 11:32, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Если в чужой IPSEC смогли внедрить, то в SELinux собственной разработки и подавно внедрили :-( В успех аудита не верю, там скорее всего утечка ключей не в лоб реализована, а сделана очень тонко, так что не придерешься. Как-то видел код для создания подобной лазейки, достаточно было пары опечаток вида ">" вместо ">=" в условиях, на которые без полного разбора логики никто не обратит внимание.
| | |
| |
| 2.21, nmorozov (ok), 11:48, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
> Если в чужой IPSEC смогли внедрить
Почему чужой, как раз свой. Денежку опенок в то время как раз от них получал.
| | |
| 2.31, shpsn (?), 12:27, 15/12/2010 [^] [^^] [^^^] [ответить]
| +2 +/– |
В районе 2003-2005 года, если мне не изменяет память, проскакивала инфа о внедренной уязвимости в код ядра линукс, причем злоумышленнику потребовалось подменить один (!) символ. А ведь исходников -- миллионы строк и надо еще понимать как оно все работает, и если ФБР или еще кто подкупает разработчиков, то становится как-то грустно...
| | |
| |
| |
| 4.64, Аноним (-), 13:26, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
> Где именно нужно было "подменить один (!) символ"?
хе... в исходниках ядра
| | |
| |
| 5.75, Котяра (??), 13:59, 15/12/2010 [^] [^^] [^^^] [ответить]
| –2 +/– |
Тоесть для того, чтобы сделать чужую машину уязвимой, нужно сначала залогиницца на нее рутом, подправить сорсы ядра, скомпилить ново ядро, прописать его в граб и бутнуть машину. Линукс сакс.
| | |
| |
| 6.108, Аноним (-), 15:33, 15/12/2010 [^] [^^] [^^^] [ответить]
| +6 +/– |
Ты дурной?
Вот этот код:
+ if ((options == (__WCLONE|__WALL)) && (current->uid = 0))
+ retval = -EINVAL;
в выражении current->uid = 0 стоит = вместо ==, т.е. происходит не сравнение, а присваивание. Очень похоже на опечатку, но дает root доступ.
| | |
| |
| 7.111, non anon (?), 15:56, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
Все правильно сказал товарищ выше. Этот патч надо накладывать вручную, потому что ни в один релиз он так и не попал, а из cvs его вычистили на следующий день.
| | |
|
|
|
|
| |
| 4.185, filosofem (ok), 20:07, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
Блин надеялся увидеть что-то в стиле JAPH.
Вообще странно как глядя на эти две строчки можно "ничего не заподозрить".
Да и несложным скриптом можно найти такие подозрительные вещи как присвоение внутри условия. Странно, что современные навороченные IDE с проверкой синтаксиса не умеют на это ворнингами ругаться.
| | |
| |
| 5.208, злобный низкозадержечный анонимус (?), 23:27, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Блин надеялся увидеть что-то в стиле JAPH.
> Вообще странно как глядя на эти две строчки можно "ничего не заподозрить".
> Да и несложным скриптом можно найти такие подозрительные вещи как присвоение внутри
> условия. Странно, что современные навороченные IDE с проверкой синтаксиса не умеют
> на это ворнингами ругаться.
Ты про vim? :)
| | |
|
|
|
|
| |
| 2.23, StrangeAttractor (ok), 11:50, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
 Считалось что OpenBSD и так аудитят больше всех, а оказалось что пока свидетель внедрения бэкдора о нём не сказал, так никто и не заметил.
| | |
| |
| |
| 4.41, Аноним (-), 12:48, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
Кстати, да. А код бэкдора-то где? Действительно, если пишешь, что был бэкдор, то покажи место в коде.
| | |
|
| 3.112, non anon (?), 15:57, 15/12/2010 [^] [^^] [^^^] [ответить]
| –4 +/– |
> Считалось что OpenBSD и так аудитят больше всех, а оказалось что пока
> свидетель внедрения бэкдора о нём не сказал, так никто и не
> заметил.
Получается, аудит там производят только на словах. А аудиторами работают манагеры из рекламного отдела.
| | |
| |
| 4.155, __Bulgarin (?), 18:26, 15/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> Считалось что OpenBSD и так аудитят больше всех, а оказалось что пока
>> свидетель внедрения бэкдора о нём не сказал, так никто и не
>> заметил.
> Получается, аудит там производят только на словах. А аудиторами работают манагеры из
> рекламного отдела.
Советую ознакомиться с моделью разработки BSD.
Может тогда перестанете писать чушь.
| | |
| 4.267, Аноним (-), 13:56, 16/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
>> Считалось что OpenBSD и так аудитят больше всех, а оказалось что пока
>> свидетель внедрения бэкдора о нём не сказал, так никто и не
>> заметил.
> Получается, аудит там производят только на словах. А аудиторами работают манагеры из
> рекламного отдела.
Вы этот вывод сделали на основании пока ничем не подтверждённого заявления в интернетах?
| | |
|
|
| 2.43, Sergey (??), 12:55, 15/12/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
А смысл, кто будет делать такой аудит? Аудит все системы очень сложная вещь, кому попало не доверят, т.е. для аудита будет выбрана какая-нибудь крупная контора и скорей всего юсовская. И не факт, что ФБР не сможет надавить на контору проводящую аудит.
| | |
|
| 1.22, Vasily Pupkin (?), 11:50, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
 Гг. Удачи в аудите. А вообще не понимаю в чем паника? Какой там у OpenBSD уровень гарантий по CC? Дык о чем вообще тогда говорить.
| | |
| 1.33, Луноход (?), 12:30, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| –17 +/– |
Ну, и где те фанатики, которые всегда с пеной у рта орали, что опен сорс рулит и в нем всегда можно быть увереным, так как открыт исходный код? Вытерлись? Я всегда говорил, что типичный линуксоид, бзд-ник и прочий любитель опен сорса НИКОГДА не делал аудит всей системы, поэтому утверждать, что там все шоколадно-полное безумие.
| | |
| |
| 2.38, ixti (ok), 12:41, 15/12/2010 [^] [^^] [^^^] [ответить]
| +15 +/– | |
Дело в том, что open-source хорош тем, что если Вам важна безопасность Вы сами её и проверите - вне зависимости проводил ли Тео, Патрик, мильён-леммингов, кто-угодно аудит. И в случае обнаружения - либо пофиксите, либо сообщите авторам с просьбой решить проблему.
В случае с проприетарным ПО - Вы жрёте то, что Вам подали. Без возможности провести анализ плюнул туда повар или нет. Вот и всё.
А по теме - то, что кто-то грамотно что-то вбросил, не говорит, что факт подтвердится. А вот то как отреагировал Тео, говорит скорее в пользу OpenNet и open-source проектов в целом. В проприетарном продукте, я не думаю, что кто-то бы Вам сказал, что Вас уже 10 лет через бэкдор имели службы. А самое смешное (и наверное обидное), что не смотря на то, что Вы платите свои деньги, очень часто корпорации даже зная о критичной уязвимости тупо кладут болт на неё. Вот и вся философия...
| | |
| |
| 3.42, Аноним (-), 12:55, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
Хорошие слова, но если сабж - не фейк, то практика докажет, что это только теория и слова. А на практике никакой разницы, в общем-то, нет.
| | |
| 3.45, Square (ok), 12:57, 15/12/2010 [^] [^^] [^^^] [ответить]
| –3 +/– |
 Это все фикция. теоретическая возможность не реализуемая на практике.. Вроде взлома алгоритма RSA. теоретически - любой подросток с калькулятором может взломать RSA. на практике - замучается...
Тоже самое с открытыми исходниками - бакдур был внедрен, существовал 10 лет и НИКТО не озаботился его существованием там... Да и сейчас- после тщательного аудита не факт что найдут.
| | |
| |
| 4.49, ixti (ok), 13:01, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
По существу, кроме сомнительного вброса - "был внедрён", "существовал 10 лет" - ничего нет... Или тут как с религией? Бремя доказательства лежит на сомневающемся, а изначальная правда зависит от того кто первым вынрикнул...
| | |
| |
| 5.54, Square (ok), 13:13, 15/12/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
> По существу, кроме сомнительного вброса - "был внедрён", "существовал 10 лет" -
> ничего нет... Или тут как с религией? Бремя доказательства лежит на
> сомневающемся, а изначальная правда зависит от того кто первым вынрикнул...
Большинству людей- открытость исходников нахрен не сдалась.
Да и те которым сдалась - не в состоянии реализовать свои возможности.
Вы че тролитте то? Вон исходники опенька - ждем от вас результата аудита с заверениями что там все чисто. Недели хватит?
Месяц? Десять лет? Сколько вам надо времени чтобы доказать что там все чисто?
| | |
| |
| 6.59, ixti (ok), 13:21, 15/12/2010 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Большинству людей- открытость исходников нахрен не сдалась.
> Да и те которым сдалась - не в состоянии реализовать свои возможности.
Это бесспорно.
> Вы че тролитте то?
И в мыслях не было. Просто вот так вот пафосно выразить то, что не всё однозначно :))
> Вон исходники опенька - ждем от вас результата аудита с заверениями что там все чисто.
А денег хватит оплатить работу? :))
PS Тем не менее с общими тезисами, что народу пох.. я согласен. :)) Только вот весело от осознания этого не становится...
| | |
| |
| 7.61, Square (ok), 13:23, 15/12/2010 [^] [^^] [^^^] [ответить]
| –2 +/– |
>> Вон исходники опенька - ждем от вас результата аудита с заверениями что там все чисто.
> А денег хватит оплатить работу? :))
С какой стати?
| | |
|
| 6.285, Аноним (-), 22:08, 16/12/2010 [^] [^^] [^^^] [ответить] | +/– | Наоборот, большинство людей выигрывает от открытых исходников Если бы не открыт... большой текст свёрнут, показать | | |
|
|
| 4.132, Michael Shigorin (ok), 17:36, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
> Это все фикция. теоретическая возможность не реализуемая на практике..
По-моему, не Вам говорить, не имеющему и теоретических.
| | |
| 4.156, __Bulgarin (?), 18:30, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Это все фикция. теоретическая возможность не реализуемая на практике.. Вроде взлома алгоритма
> RSA. теоретически - любой подросток с калькулятором может взломать RSA. на
> практике - замучается...
> Тоже самое с открытыми исходниками - бакдур был внедрен, существовал 10 лет
> и НИКТО не озаботился его существованием там... Да и сейчас- после
> тщательного аудита не факт что найдут.
Самое смешное, что уже согласились что бэкдор там есть. Точно, есть, в /usr/src/sys/...
Скоро появяться свидетели что он там был... Шоу.
| | |
|
| 3.51, Луноход (?), 13:07, 15/12/2010 [^] [^^] [^^^] [ответить]
| –4 +/– | |
У Вас хватит знаний, навыков и сил проверить весь код всей системы??? Не порите чушь, мил человек! То, что Вы посмотрите на код реализации какой-то функции, не даст Вам ответа, как эта фукнция ведет себя при работе ВСЕЙ системы. Вы просто физически не сможете это сделать. И Вы не будете знать, даст комбинация каких-то функций в системе бэкдор или нет, Вы также не будете знать, бэкдор это вообще или нет.
Грустно, но на практике у опен сорса нет преимуществ перед закрытым софтом, как бы не пытались некоторые доказать обратное.
| | |
| |
| 4.88, Миха (??), 14:21, 15/12/2010 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> У Вас хватит знаний, навыков и сил проверить весь код всей системы???
Да, я супермозг, у меня хватило навыков и сил. Я проверил весь код всей freebsd. Нет ниодной закладки.
Докажи обратное, луноход.
| | |
| |
| 5.99, Square (ok), 14:54, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
>> У Вас хватит знаний, навыков и сил проверить весь код всей системы???
> Да, я супермозг, у меня хватило навыков и сил. Я проверил весь
> код всей freebsd. Нет ниодной закладки.
> Докажи обратное, луноход.
Время докажет.
| | |
| 5.142, Mihe (?), 17:50, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
>> У Вас хватит знаний, навыков и сил проверить весь код всей системы???
> Да, я супермозг, у меня хватило навыков и сил. Я проверил весь
> код всей freebsd. Нет ниодной закладки.
> Докажи обратное, луноход
плохо проводил. Посмотри внимательней на реализацию tcp/ip v6.
| | |
| |
| 6.251, zazik (ok), 09:36, 16/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
> Новость подтверждает обратное.
Новость ничего не подтверждает пока что.
| | |
|
|
| 4.134, Michael Shigorin (ok), 17:38, 15/12/2010 [^] [^^] [^^^] [ответить]
| +4 +/– |
> Грустно, но на практике у опен сорса нет преимуществ перед закрытым софтом,
> как бы не пытались некоторые доказать обратное.
Вы, никак, с какой-то другой планеты, где принято сравнивать отсутствие возможностей с их наличием и делать лицо кирпичом, будто так и надо.
Нет чтоб к сессии готовиться, так лезут поумничать...
| | |
| 4.146, Аноним (146), 17:59, 15/12/2010 [^] [^^] [^^^] [ответить]
| +2 +/– |
 У open-source изначально есть одно главное преимущество: если разработчик умер (ему надоело поддерживать программу/программа не работает для новых ОС), а у вас целое производство на этой программе работает - можно самому допилить эту программу - суть опен-соурса в том, что софт никогда не помрет если есть пользователи которым этот софт нужен
| | |
| |
| 5.165, guest (??), 19:01, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
 > Вы код /usr/src/sys/netinet/ смотрели? Там его с гулькин хрен. Пипл перелазил и
> перелопатил его по диагонали сотни раз.
а вы на netipsec смотрели? который во фре таки из опенька утянут.
| | |
| |
| |
| 7.184, guest (??), 20:06, 15/12/2010 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Да.
userland к своим выкладкам приплюсуйте)
и что вы хотите показать считая строки кода?
где-то в треде была ссылка на DAA (FIPS 113), ушло 25лет прежде чем обнаружили уязвимость алгоритма.
А кода там с гулькин нос.
| | |
| |
| |
| 9.194, guest (??), 21:25, 15/12/2010 [^] [^^] [^^^] [ответить] | +1 +/– | Голову дадите, что еще через дцать лет не найдут тоже самое в любом из перечисл... текст свёрнут, показать | | |
| |
| |
| 11.204, guest (??), 22:16, 15/12/2010 [^] [^^] [^^^] [ответить] | +1 +/– | Ну сходите, почитайте что пишет дьдька Шнайдер про AES Отвечу вопросом на вопро... большой текст свёрнут, показать | | |
| |
| |
| 13.211, guest (??), 23:50, 15/12/2010 [^] [^^] [^^^] [ответить] | –2 +/– | Идите еще читайте, потом еще, до тех пор пока не поймете, что стойкость крипто-а... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
|
|
| 2.50, Котяра (??), 13:03, 15/12/2010 [^] [^^] [^^^] [ответить]
| +5 +/– |
> Ну, и где те фанатики, которые всегда с пеной у рта орали,
> что опен сорс рулит и в нем всегда можно быть увереным,
> так как открыт исходный код? Вытерлись? Я всегда говорил, что типичный
> линуксоид, бзд-ник и прочий любитель опен сорса НИКОГДА не делал аудит
> всей системы, поэтому утверждать, что там все шоколадно-полное безумие.
Почему вдруг только фанатики и с пеной? Любому нормальному человеку ясно, что опенсорсу в плане отсутствия компроментирующего кода можно больше доверять чем проприаритарщине. Даже значительно больше. А кому не ясно, тот просто не совсем нормальный человек.
| | |
| 2.63, alikd (?), 13:26, 15/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Что с логикой дядя?
Из этой новости следует, что всё закрытое кишьмя кишит бэкдорами и в плане конфедициональности информации конечного пользователя много хуже.
| | |
| |
| 3.180, Луноход (?), 19:46, 15/12/2010 [^] [^^] [^^^] [ответить] | –3 +/– | Кто такой Ваш Лука Новость подтверждает обратное Его даже не нашли, о его суще... большой текст свёрнут, показать | | |
| |
| 4.186, __Bulgarin (?), 20:12, 15/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Потенциальные бэкдоры в самом "непробиваемом" БСД тоже говорят не о рулеже
> в безопасности, а больше о пиаре.
Пожалуйста, укажите категории бэкдоров, и как они могут быть реализованы, так, что бы пятеро-четверо разработчиков модуля (подсистемы) из разных стран его не заметили в течении, скажем, полугода ковыряния над модулем, что в голове за годы работы над кодом уже почти наизусть.
Интересна ваша квалификация как эксперта.
| | |
| 4.206, анонимус (??), 22:53, 15/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>Новость подтверждает обратное.
Ложь. Новость лишь говорит, что в OpenBSD [возможно] 10 лет назад был внедрен бэкдор.
О бэкдорах в проприетарных ОС так же пишут новости и в разы чаще. Как говорится, толсто.
| | |
|
|
| 2.268, Аноним (-), 13:57, 16/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Ну, и где те фанатики, которые всегда с пеной у рта орали,
> что опен сорс рулит и в нем всегда можно быть увереным,
> так как открыт исходный код? Вытерлись? Я всегда говорил, что типичный
> линуксоид, бзд-ник и прочий любитель опен сорса НИКОГДА не делал аудит
> всей системы, поэтому утверждать, что там все шоколадно-полное безумие.
Вы этот вывод сделали на основании пока ничем не подтверждённого заявления в интернетах?
| | |
|
| 1.34, Аноним (-), 12:33, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Вообще говоря, если всё правда, то отличную стратегию выбрала ФБР.
Факт копипастинга кода, выходящего под BSD-like лицензиями, кем только не лень общеизвестен. Таким образом, можно распростанить эту дыру во множество других продуктов, открытых, проприетарных и прочих, не прилагая к этому никаких усилий.
Полный анализ на наличие подозрительного кода врядли будут проводить, если вообще будут: репутация OpenBSD как самой безопасной системы этому способствует.
| | |
| |
| |
| 3.37, ig0r (??), 12:37, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
> ещё скажите что в винде и маках бекдоров нет.
пардон, это ответ на комментарий выше
| | |
|
| |
| 3.217, Аноним (-), 01:00, 16/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
Что, каждый раз помечают? Ни разу нигде никогда не упустили откуда код?
Только из OpenBSD берется код (а как же NetBSD и др. проекты)?
А почему grep ограничился только net* подсистемой? Остальные части системы не участвуют в копипастинге?
Да и вопрос, то, не про OpenBSD=>FreeBSD, а об AllBSDSoftware=>AllKindsOfSoftware,
проверить последнее grep'ом тебе не удастся.
Выше в комментах разобрали случай внедрения дыры "wait4" ("Достаточно одной таблэтки.")
Достаточно одного символа в коде, а что уж говорить про 18К ...
| | |
| |
| |
| 5.260, Аноним (-), 12:13, 16/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
Еще раз повторяю, речь не идет только об одном ipsec, а о всем BSD коде, части которого, либо весь BSD проект может появиться (и появляется) практически в любом другом проете (а че? - халява). Это должно быть очевидно из первого поста в ветке.
> Найдите еще ;)
> Вы не хотите найти и указать мест в коде ipsec, где будет достаточно нескольких строк и это никто не заметит?
Это же ты взялся grep'ить что под руки попало, чего стрелки переводишь ?
| | |
|
|
|
|
| 1.55, ubique (?), 13:14, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Allegations of FBI involvement in OpenBSD IPSEC
Scott Lowe <scott.lowe <at> scottlowe.org>
2010-12-15 02:16:15 GMT
I'm posting this message in the spirit of honesty and transparency.
My name was recently involved in allegations of FBI involvement in the
development of OpenBSD IPSEC. For the record: I am not, nor have I ever been,
affiliated with or employed by the FBI or any other government agency. My
advocacy of OpenBSD has been strictly due to my appreciation of the project.
There is no secret agenda here.
--
Scott
Таки фейк?
| | |
| |
| 2.60, Square (ok), 13:22, 15/12/2010 [^] [^^] [^^^] [ответить]
| +5 +/– |
>[оверквотинг удален]
> development of OpenBSD IPSEC. For the record: I am not, nor have
> I ever been,
> affiliated with or employed by the FBI or any other government agency.
> My
> advocacy of OpenBSD has been strictly due to my appreciation of the
> project.
> There is no secret agenda here.
> --
> Scott
> Таки фейк?
Просто у него срок неразглашения 20 лет...
| | |
| |
| |
| 4.73, Square (ok), 13:40, 15/12/2010 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> http://permalink.gmane.org/gmane.os.openbsd.tech/22560
И кто-то за него месадж составил.
Фраза
I am not, nor have I ever been,
affiliated with or employed by the FBI or any other government agency.
уместна в юридическом документе. В нормальной жизни так imho не говорят. А тут его шо называется взяли за хозяйство - и эшь как заговорил....чтоб никакой панимашь двусмысленности небыло... чтоб никак иначе истрактовать нельзя было....
| | |
|
|
| 2.69, guest (??), 13:35, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
> Таки фейк?
Этот просто отмазался, что рекламировал опенек из любви к нему а не по указке ФБР)
| | |
| 2.70, samm (ok), 13:37, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
Честно говоря - очень похоже на фейк.
We have never allowed US citizens or foreign citizens working in the US
to hack on crypto code (Niels Provos used to make trips to Canada to
develop OpenSSH for this reason), so direct interference in the crypto
code is unlikely. It would also be fairly obvious - the crypto code
works as pretty basic block transform API, and there aren't many places
where one could smuggle key bytes out. We always used arcrandom() for
generating random numbers when we needed them, so deliberate biases of
key material, etc would be quite visible.
So a subverted developer would probably need to work on the network stack.
I can think of a few obvious ways that they could leak plaintext or key
material:
| | |
|
| 1.78, iCat (ok), 14:02, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Вентилятор радостно взвизгнул и разбросал по всей комнате...
"Это всё придумал Черчиль в восемнадцатом году!"
(Пойду-ка на всякий случай прикуплю попкорна и устроюсь поудобнее. Ща начнётся :))
| | |
| 1.81, soccer (?), 14:06, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
Вот для этого и нужна национальная операционная система. И делать ее надо не на базе линукса а с нуля.
| | |
| |
| |
| 3.84, Анонимус007 (?), 14:12, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
> Со своими, национальными дырами и закладками.
Так ради этого все и затевается. Плюс попилизация всей страны.
| | |
|
| 2.178, anoanymous (?), 19:40, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
наверно она никому не нужна, если где можно пользуют винду, а там где нельзя то нельзя любую.
| | |
|
| 1.106, Аноним (-), 15:25, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| –6 +/– | |
Уже сколько раз писали про бегдоры на разных ОС и сидят эти бекдоры по нескольку лет. Так что не удивительно. Вопрос в другом.
Эти уязвимости показывают, что насколько ущербна безопасность многолитного ядра и собственно языка С и С++. Надо писать микроядро на языке Паскаль и колбасить мозги.
| | |
| |
| 2.117, pavlinux (ok), 16:17, 15/12/2010 [^] [^^] [^^^] [ответить]
| +4 +/– |
 > Эти уязвимости показывают, что насколько ущербна безопасность многолитного ядра
> и собственно языка С и С++.
Из этого следует, что тот кто знает английский - шпиён (с) 1937-1953 гг.
> Надо писать микроядро на языке Паскаль и колбасить мозги.
Всех расстрелять и писать на Кумире.
| | |
| 2.121, Аноним (-), 17:00, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
Думаете, в Паскале не придется память вручную освобождать? Хотя строки там действительно малость получше. Но ненужной писанины просто адски много и в самых неожиданных местах
| | |
| |
| 3.170, zazik (ok), 19:22, 15/12/2010 [^] [^^] [^^^] [ответить]
| –2 +/– |
> (уходит, давясь рыданиями)
Осторожнее, Михаил, это всего лишь школоло-тролль. А Вы нам ещё нужны.
| | |
| 3.257, q (??), 10:43, 16/12/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> многолитного [...] Паскаль [...] колбасить
> (уходит, давясь рыданиями)
По определению понятно, что сделать бэкдор в монолите проще, чем в микроядре. Микроядерный код проще верифицировать.
| | |
| |
| 4.286, Аноним (-), 22:33, 16/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> По определению понятно, что сделать бэкдор в монолите проще, чем в микроядре. Микроядерный код проще верифицировать.
Недавно обсуждали на ЛОРе. Не легче. Алгоритмы передачи сообщений в микроядре значительно усложняют код, а не упрощают его.
| | |
|
|
|
| 1.118, Аноним (-), 16:29, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
FreeBSD, с большой вероятность имеет тот же нюанс.Понятно никто не признается и все будут отрицать это.
| | |
| 1.119, Дедушка Советской Армии (?), 16:37, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А почему слово "бэкдор" в заголовке в единственном числе?
FBI implemented a number of backdoors and
side channel key leaking mechanisms into the OCF, for the express
purpose of monitoring the site to site VPN encryption system
implemented by EOUSA, the parent organization to the FBI.
ФБР внедрило несколько бэкдоров и побочных канальных механизмов утечки ключей в OCF, для явно выраженной цели мониторинга системы шифрования "site to site VPN", внедрённой EOUSA, родительской организацией ФБР.
Также не только Jason Wright был задействован, а несколько человек, которые с ним работали.
Новость, конечно, очень неприятная, особенно для репутации OpenBSD.
| | |
| |
| 2.123, ivi (??), 17:07, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
 Между прочим, в США распространение ПО приравнено к распространению вооружений. Думается, что бэкдор так или иначе есть везде. И это не новость.
| | |
| |
| 3.175, __Bulgarin (?), 19:31, 15/12/2010 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Между прочим, в США распространение ПО приравнено к распространению вооружений. Думается,
> что бэкдор так или иначе есть везде. И это не новость.
У себя в голове не проверяли?
| | |
|
|
| 1.124, as (??), 17:11, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
превый вопрос
одобрена ли OpenBSD российскими спецслужбами ?
если одобрена , кто одобрил того на кол ?
второй вопрос
вы всё ещё верите что в линукс или freebsd нет бекдора ? :)
| | |
| |
| 2.138, pupkin (?), 17:42, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
проскакивали как-то сообщения что МСФТ борется с палёными установками софта через сообщения от какого-то левого системного сервиса, который инвентори софта им втихаря шлёт...
| | |
| 2.214, __Bulgarin (?), 00:33, 16/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
> вы всё ещё верите что в линукс или freebsd нет бекдора ? :)
Есть. Даешь админу на лапу достаточно зеленых, визу и билет нахрен - и система твоя.
| | |
| |
| 3.319, Michael Shigorin (ok), 20:40, 17/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
>> вы всё ещё верите что в линукс или freebsd нет бекдора ? :)
> Есть. Даешь админу на лапу достаточно зеленых, визу и билет нахрен -
> и система твоя.
Это если он лох и верит в зелёные -- а от себя не убежишь.
| | |
|
|
| 1.131, mirr0r (ok), 17:34, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 Так и не понял, о чем спор то.
Приходят ко мне два кренделя из малоизвестного отдела всем известной организации.
Говорят "Вот этот пацан из вашей сетки в нете всякое непотребство творит".
Показывают мне файлик расшифровки трафика этого пацана, приблизно 800-850 Мб.
Там про него все, пароли, сервера где регился, что, когда, откуда качал.
Потом подразобрались, не из нашей сетки. Мужики ушли, а я подумал
"Если мне хоть кто-то скажет про возможности скрытия своих данных,
пошлю на три буквы адназначна (в нет)."
К слову. Во всех развитых странах все конторы получают алгоритмы
шифрации-дешифрации всех ключевых систем.
Если кто-то не понял, псмотрите хотя бы пакет dsniff (его возможности).
А ведь это фришный, опять же, пакет.
А про бэкдоры, так надо быть круглым и--том, чтобы думать, что их нет
в современных осях (фришных, полуфришных, совсем-не-фришных).
Вы что действительно думаете, что от серьезной конторы спрячетесь?
На землю вернитесь, пора повзрослеть.
Кстати, еще один товарисч из всем известной конторы мне говорил:
"Если на тебя нет приказа, не парься, никто тебя не тронет.
А если будет на тебя приказ, хоть будь весь золотой и с платиновой
головкой - посадят, никто не поможет"
| | |
| |
| 2.171, __Bulgarin (?), 19:22, 15/12/2010 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Люблю сказочников таких, под кер вечером, слушать.
> Кстати, еще один товарисч из всем известной конторы мне говорил:
SSL/TLS - наше решение. В любом другом случае аутентификационные ключи идут в открытом виде так или иначе, если добраться до физики в разрыв.
СОРМ ящики стоят далеко не на всех узлах. Затрахаются искать данные. Бардак - везде. И у операторов, и у безопасников.
dsniff еще 10 лет назад пользовал ради интереса. После получения помойки из 3000 юзероключей, из которых 90% каждый повторяеться раз 100, стало скучно.
Вы еще для себя wireshark откройте - тот даже голосовые потоки на лету декодирует, стандартные некриптованные.
| | |
| 2.173, __Bulgarin (?), 19:27, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
>Потом подразобрались, не из нашей сетки.
Сразу не обратил внимание на строку байку - тоды спецы, ни чего не скажешь, раз про Ай-Пи номера знают :)
Вот этих специалистов нахрен никому неизвестных отделов и приходилось консультировать, дабы RJ45 от RJ12 научились отличать :)
| | |
| |
| 3.197, AFCrio (ok), 21:35, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
 Вы про RJ45 рассказываете как раз как специалист из нахрен никому неизвестных отделов. Сильно подозреваю что обычно вы так называете совсем другой интерфейс.
| | |
| |
| 4.201, __Bulgarin (?), 22:01, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Вы про RJ45 рассказываете как раз как специалист из нахрен никому неизвестных
> отделов. Сильно подозреваю что обычно вы так называете совсем другой интерфейс.
Ага, точно. В отделах К и подобных аналитики-математики, нахрен абстрагированные от сетевых технологий. Угу.
Сильно абстрагированные.
| | |
| 4.202, __Bulgarin (?), 22:05, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Вы про RJ45 рассказываете как раз как специалист из нахрен никому неизвестных
> отделов. Сильно подозреваю что обычно вы так называете совсем другой интерфейс.
Да, и не мучайте уж, напишите свои подозрения - тут телепатов нет. Очень хочется узнать вашу квалификацию как эксперта в интерфейсах :)
| | |
| |
| 5.221, AFCrio (ok), 02:14, 16/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
Я подозреваю, что вы так называете то, что согласно TIA/EIA-568 зовется 8P8C. И да, это важно. Как минимум в конструкторской документации. Поскольку если там написать RJ-45, то в итоге его могут попытаться использовать, что приведет к проблемам.
| | |
| |
| 6.223, __Bulgarin (?), 02:28, 16/12/2010 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Я подозреваю, что вы так называете то, что согласно TIA/EIA-568 зовется 8P8C.
Да, ты знал! Мы спасены! Теперь все будем так говорить - "Дайте мне пожалуйста 8П8С сотенную пачку и 6П6С две."
Даже наш кладовщик Василий Иванович скажет - "Тебе точно две пачки 6П6С и одной 8П8С хватит?", и при этом не пошлет тебя три раза найух, пытаясь выговорить это в понедельник утром и пятницу вечером.
Пилять... И эти пытаются учить... :)
| | |
| |
| 7.225, AFCrio (ok), 02:41, 16/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
Я указал что вы неправы, указал что это может привести к проблеме, и в каком случае. И мне абсолютно все равно что скажет ваш кладовщик и сколько раз. Если вы привыкли вырывать слова из контекста и не представляете, что где-то требуются строгие соблюдения формальной терминологии, то Дальнейшее общение с вами считаю бессмысленным.
И вас учить точно никто не пытается, для общения с Василием Ивановичем вашего запаса знаний хватит с избытком.
| | |
|
|
|
|
|
|
| |
| 2.143, guest (??), 17:52, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
Беда в том, что процентов 90% не понимают разницы между аудитом с целью поиска банальностей
типа переполнения буферов (чем в основном и занимается Тео со товарищи) и доказательством логики.
| | |
| |
| 3.193, __Bulgarin (?), 21:05, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Беда в том, что процентов 90% не понимают разницы между аудитом с
> целью поиска банальностей
> типа переполнения буферов (чем в основном и занимается Тео со товарищи) и
> доказательством логики.
% от чего?
99,999 процентов жителей планеты не умеют программировать на С.
| | |
|
| 2.191, __Bulgarin (?), 21:04, 15/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Тем, кто верит в легко обнаружимые 'особенности' кода, особенно в математике:
> сколько аудитов прошел вполне открытый стандарт DAA до доклада на рускрипте?
> http://www.ruscrypto.ru/sources/conference/rc2009/
FIPS PUB 113
Computer Data Authentication 1985, specifies a Data Authentication Algorithm (DAA) based on DES, adopted by the Department of Treasury and the banking community to protect electronic fund transfers.
http://www.itl.nist.gov/fipspubs/fip113.htm
Неуловимый Джо.
_Аутентификационный_ алгоритм, давно не используемый. В ipsec алгоритмах в BSD не используется.
Для аутентификации пакетов используеться любой из md5/ripemd5, sha1, sha2, aes.
Для шифрования - любой из des3, aes/rijndael, blowfish, cast.
| | |
| |
| 3.216, Andrew (??), 00:38, 16/12/2010 [^] [^^] [^^^] [ответить] | –2 +/– | Можете смеяться, но у меня мурашки по коже честно говоря пробежали Я и до этого... большой текст свёрнут, показать | | |
| |
| 4.219, __Bulgarin (?), 02:03, 16/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Можете смеяться, но у меня мурашки по коже честно говоря пробежали. Я
> и до этого знал, что есть такие дырки... Работал у одного
> крупного провайдера. В сети объявился кулхацкер, подломивший пару банков. Давно это
жуть какая! подломил пару банков!
> Сейчас занимаюсь аудитом корпоративных сетей. Все учетки и пароли у меня на
> столе обычно бывают через сутки после запуска снифера. Дырки... Если винда
> включена в локалку, то она прозрачна как ну не знаю как...
> )))
kerberos tickets тоже? :)
| | |
| |
| 5.254, zazik (ok), 09:58, 16/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> kerberos tickets тоже? :)
Ещё бы! Он и SSL-потоки на лету декодирует!
| | |
|
|
|
|
| 1.205, guest (??), 22:20, 15/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
А вот и виновник нашего маленького торжества проснулся.
Subject: Allegations regarding OpenBSD IPSEC
Every urban lengend is made more real by the inclusion of real names,
dates, and times. Gregory Perry's email falls into this category. I
cannot fathom his motivation for writing such falsehood (delusions
of grandeur or a self-promotion attempt perhaps?)
I will state clearly that I did not add backdoors to the OpenBSD
operating system or the OpenBSD crypto framework (OCF). The code I
touched during that work relates mostly to device drivers to support
the framework. I don't believe I ever touched isakmpd or photurisd
(userland key management programs), and I rarely touched the ipsec
internals (cryptodev and cryptosoft, yes). However, I welcome an
audit of everything I committed to OpenBSD's tree.
I demand an apology from Greg Perry (cc'd) for this accusation. Do
not use my name to add credibility to your cloak and dagger fairy
tales.
I will point out that Greg did not even work at NETSEC while the OCF
development was going on. Before January of 2000 Greg had left NETSEC.
The timeline for my involvement with IPSec can be clearly demonstrated
by looking at the revision history of:
src/sys/dev/pci/hifn7751.c (Dec 15, 1999)
src/sys/crypto/cryptosoft.c (March 2000)
The real work on OCF did not begin in earnest until February 2000.
Theo, a bit of warning would have been nice (an hour even... especially
since you had the allegations on Dec 11, 2010 and did not post them
until Dec 14, 2010). The first notice I got was an email from a
friend at 6pm (MST) on Dec 14, 2010 with a link to the already posted
message.
So, keep my name out of the rumor mill. It is a baseless accusation
the reason for which I cannot understand.
--Jason L. Wright
| | |
| 1.218, Аноним (-), 01:04, 16/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А почему все так говорят, будто этот бэкдор - неопровержимый факт?
Может проекту OpenBSD понадобились добровольцы для проведения аудита исходников и они придумали пиар-акцию?
| | |
| |
| |
| |
| Часть нити удалена модератором |
| 4.248, AFCrio (ok), 08:19, 16/12/2010 [^] [^^] [^^^] [ответить] | +/– | Разве я был неправ в своем утверждении Никогда не говорите никогда ведь дыр... большой текст свёрнут, показать | | |
| |
| |
| Часть нити удалена модератором |
| 6.275, __Bulgarin (?), 15:46, 16/12/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
> банальном наличии желания блобы не сильно далеко ушли от исходников. Наверное
> про дизасм слышали? Так вот, необходимое желание (в той же криптографии)
> для аудита исходников или дизасма примерно равно. Да, да, можете смеяться
> хоть лежа. Посмотрите сходники любого криптопротокола - вы нихрена там не
> поймете. И 98% программистов нихрена не поймут, кроме семантики.
98% из кого?
98% системных и сетевых программистов возможно не изучали алгоритмы IKE. Да и собственно, нафига? Кроме программирования ipsec еще есть масса задач. 2% тех кто изучали, и 0.5% что могут разобраться, поправить или написать при необходимости - вполне под данную логику достаточно.
| | |
|
|
|
|
|
| 1.229, linux_must_die (ok), 03:22, 16/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 oh shi.. неужели этот день все же настал? скрестил пальцы на удачу.
p.s. здравый смысл подсказывает что бэкдоры в opensource есть, не говоря уже про винду,mac,intel,amd или ту же cisco и прочую хрень.
| | |
| |
| 2.253, AFCrio (ok), 09:42, 16/12/2010 [^] [^^] [^^^] [ответить]
| +2 +/– |
Здравый смысл подсказывает что бэкдоры при наличии исходников обнаружить проще, чем занимаясь дизассемблированием. Этим я никоим образом не говорю о том, что они все обнаружены или этим серьезно занимаются.
P.S. И еще можно утверждать что количество не найденных ошибок и бекдоров может быть отлично от ноля и стремиться к бесконечности в силу определения. До тех пор, пока нет фактов или обоснованных предположений о том, что они используются можно не страдать параноей. (IMHO)
| | |
|
| 1.288, Аноним (-), 23:11, 16/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
"Это "ж-ж-ж" - неспроста" (с) Винни пух
вот только недавно Тхео про wikileaks писал и как нехорошо власти себя ведут :)
и тут же сразу всплыли закладки, интересно, интересно
| | |
| 1.326, nagual (ok), 16:40, 23/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 >если это им поможет террористов найти только в путь:)
А если завтра терористами станут объявлять всех неуходных ?
| | |
|
