W razie awarii sprawdź t.me/prawda2info

 
Backdoor w OpenBSD na zlecenie FBI  
Znalazłeś na naszym forum temat podobny do tego? Kliknij tutaj!
Ocena:
13 głosów
Napisz nowy temat   Odpowiedz do tematu    Prawda2.Info -> Forum -> Wiadomości Odsłon: 5014
Zobacz poprzedni temat :: Zobacz następny temat  
Autor Wiadomość
yauzeph




Dołączył: 16 Lip 2009
Posty: 67
Post zebrał 0 sat

PostWysłany: 17:04, 15 Gru '10   Temat postu: Backdoor w OpenBSD na zlecenie FBI Odpowiedz z cytatem

Cytat:
Gregory Perry, który przed dziesięcioma laty pracował nad stosem IPSEC dla OpenBSD poinformował, że na zlecenie FBI umieszczał w systemie backdoory.

Informację tę Perry przekazał Theo de Raadtowi, kierującemu rozwojem systemu OpenBSD. W e-mailu napisał, że FBI posługując się nim oraz innymi pracownikami zarządzanej przez niego firmy NETSEC, umieściło wiele backdoorów w OpenBSD Crypto Framework. Dzięki nim możliwe miało być monitorowanie połączeń VPN. Perry zdecydował się skontaktować z de Raadtem gdyż przestała go obowiązywać umowa o poufności. W związku z tym zaleca przejrzenie kodu OpenBSD związanego z kryptografią pod kątem backdoorów, które mogły w nim pozostać po upływie dekady.

Theo de Raadt nie potwierdza na razie rewelacji Perry'ego ale zaleca dużą ostrożność gdyż stos IPSEC z OpenBSD został przeportowany do wielu innych systemów z racji, że był pierwszym dostępnym za darmo. Warto więc, aby deweloperzy korzystający z kodu zapożyczonego z OpenBSD, dokonali audytu pod kątem występowania furtek umożliwiających obejście szyfrowania.

źródło: http://www.dobreprogramy.pl/OpenBSD-z-backdoorem,Aktualnosc,22037.html

Przez 10 lat nikt tego nie wykrył.

Większość ludzi wierzy że jeśli coś jest open source to musi być czyste. Więc mało kto to sprawdza, a jeszcze mniej jest sprawdzających którzy potrafią wyszukać takie kwiatki.

Wielu agentów wtapia sie do różnych projektów, organizacji - trzeba mieć to na uwadze.

Wrzucę jeszcze taką ostatnio znalezioną przeze mnie ciekawostkę (ciekawe czy wam sie spodoba):

wikipedia napisał:

GnuPG (ang. GNU Privacy Guard - Strażnik Prywatności GNU) - wolny zamiennik oprogramowania kryptograficznego PGP. Udostępniony na licencji GPL, pierwotnie rozwijany przez Wernera Kocha. Projekt jest wspierany przez rząd niemiecki.
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość
Flimon




Dołączył: 18 Wrz 2008
Posty: 175
Post zebrał 0 sat

PostWysłany: 23:20, 15 Gru '10   Temat postu: Odpowiedz z cytatem

Jak to nikt nie sprawdza? Na tych kodach żródłowych pisane są prace zaliczeniowe. Ujawniono, że FBI ma własne bekdory od 10 lat i nad ich nie znaleziono?
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość
Bimi
Site Admin



Dołączył: 20 Sie 2005
Posty: 20448
Post zebrał 0 sat

PostWysłany: 23:37, 15 Gru '10   Temat postu: Odpowiedz z cytatem

najwyraźniej. widać są sprytnie pomyślane.
a kod, że open source, stał się źródłem do wielu innych implementacji. i zaraza się rozszerzyła Smile
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość Wyślij email Odwiedź stronę autora
lukashh




Dołączył: 25 Wrz 2006
Posty: 227
Post zebrał 0 sat

PostWysłany: 03:17, 17 Gru '10   Temat postu: Odpowiedz z cytatem

Jestem ciekawy czy w programie do szyfrowania dysków Truecrypt też jest backdoor.

Albo od której wersji go tam wrzucili. Bo może być tak, że w wersji 6 nie ma , poźniej ktoś dostrzega problem, że nie może rozszyfrować kogoś dysku więc nakazuje odpowiednim osobom zaimplementowanie w następnym wydaniu programu backdoora by sytuacja się nie powtórzyła.

http://pl.wikipedia.org/wiki/TrueCrypt



Cytat:
Kategoria | Programy

Tagi : bezpieczenstwo, dysk, fbi, hacking, policja, szyfr, szyfrowanie, truecrypt
Do ochrony dysków używaj TrueCrypt. Policja i Służby Specjalne go nie złamią.

07 lipca 2010
Do ochrony dysków używaj TrueCrypt. Policja i Służby Specjalne go nie złamią.

Jak bardzo bezpieczne jest TrueCrypt można przekonać się na przykładzie bankiera Daniela Dantasa, któremu Amerykańskie Federalne Biuro Śledcze zarekwirowało dyski komputera w 2008 roku w Rio de Janeiro.
FBI poświęciło ponad rok na próbę złamania zabezpieczeń zawartości twardych dysków, chronionych oprogramowaniem TrueCrypt i szyfrem AES. Niestety obejście zabezpieczeń zakończyło się fiaskiem po niemal dwóch latach prób a FBI zwróciło zarekwirowane dyski.

Zgodnie z brazylijskim prawem podejrzanego nie można było zmusić do ujawnienia haseł – wyciągnięcie z niego informacji za pomocą tortur unieważniłoby całe śledztwo.

Zarówno Narodowy Instytut Kryminalistyki, jak i FBI próbowały swoich sił z atakiem słownikowym.
TrueCrypt umożliwia szyfrowanie całych partycji dyskowych “w locie”. Oprogramowanie to potrafi szyfrować całe dyski lub pojedyncze partycje, tak iż tylko po wprowadzeniu hasła możliwy jest odczyt bądź zmiana danych znajdujących się na szyfrowanej partycji. Po wprowadzeniu hasła, którym została zabezpieczona partycja, możliwa jest praca na danym dysku, tak jakby był to każdy inny dysk dostępny w systemie. Pozwala tworzyć wirtualne woluminy, pod które można podmontować zaszyfrowany system plików zapisany w pojedynczym pliku znajdującym się na nieszyfrowanym dysku, pamięci flash oraz na każdym innym napędzie dostępnym w systemie.

W TrueCrypt algorytm AES wykonuje 10 (klucz 128 bitów), 12 (klucz 192 bity) lub 14 (klucz 256 bitów) rund szyfrujących substitution-permutation. Składają się one z substytucji wstępnej, permutacji macierzowej (mieszanie wierszy, mieszanie kolumn) i modyfikacji za pomocą klucza. Funkcja substytucyjna ma bardzo oryginalną konstrukcję, która uodparnia ten algorytm na znane ataki kryptoanalizy różnicowej i liniowej.

Oprogramowanie wraz z kodem źródłowym udostępnione jest przez TrueCrypt Foundation na licencji TrueCrypt Collective License i można go pobrać z oficjalnej strony producenta:
http://www.truecrypt.org/downloads

Źródło: techworld.com


http://mojetechnologie.pl/do-ochrony-dys.....ie-zlamia/
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość
Bimi
Site Admin



Dołączył: 20 Sie 2005
Posty: 20448
Post zebrał 0 sat

PostWysłany: 10:59, 17 Gru '10   Temat postu: Odpowiedz z cytatem

Pragnę zwrócić uwagę, że implementacja staka z OpenBSD jest używana przez prawie wszystkie z dzisiejszych unixowych systemów.
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość Wyślij email Odwiedź stronę autora
mamamia




Dołączył: 30 Sie 2010
Posty: 504
Post zebrał 0 sat

PostWysłany: 11:58, 17 Gru '10   Temat postu: Odpowiedz z cytatem

Cytat:
Gregory Perry, który przed dziesięcioma laty pracował nad stosem IPSEC dla OpenBSD poinformował, że na zlecenie FBI umieszczał w systemie backdoory.


Zauważcie że jakiś facio po prostu sobie informuje o jakimś problemie i juz wszyscy są posrani... bo wiekszosc open-source jest pisana z wykorzystaniem tej technologii, wiec musi open-source jest 'dziurawe' - przekaz: trza korzystac z komercyjnych rozwiązań.

Jaka jest wiarygodnosc tej informacji? Czy przedstawil cos na poparcie swojej tezy? Chociaż jeden fragment kodu, który nie został wykryty przez te wszystkie lata? No z tego co sie orientuje to nie przedstawil.

Wiec jak to jest? Czy rzeczywiscie open-source jest niebezpieczny w tym temacie, czy jakas eskimoska firma, przygotowuje sobie grunt pod nowy produkt?
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość
Bimi
Site Admin



Dołączył: 20 Sie 2005
Posty: 20448
Post zebrał 0 sat

PostWysłany: 12:04, 17 Gru '10   Temat postu: Odpowiedz z cytatem

Zamiast teoretyzować, poszukaj to może znajdziesz, mamamia.
Oto podpowiedź:
Cytat:
Jason Wright and several other developers were responsible for those backdoors, and you would be well advised to review any and all code commits by Wright as well as the other developers he worked with originating from NETSEC.
Mówi ci to coś? Smile

Fakt jest faktem, że pomimo tych wskazówek, jak na razie nikt jeszcze nie opublikował danych n.t. żadnego faktycznego backdoora w tym kodzie.



jeszcze coś po polsku:
Cytat:
Założyciel projektu OpenBSD, Theo de Raadt, opublikował szokujący e-mail, wysłany przez Gregora Perry, szefa GoVirtual Education, który niegdyś jako szef ds. technologii NETSEC brał udział w projekcie OpenBSD.

W liście Perry utrzymuje, że 10 lat temu on oraz zespół NETSEC zainstalował tylne drzwi i specjalne luki w kodzie OpenBSD na żądanie FBI.

Teraz, gdy wygasło zobowiązanie dotrzymania tajemnicy Perry zaleca Raadtowi, aby kod OpenBSD został dokładnie sprawdzony.

"To dlatego wielu specjalistów na żołdzie FBI radziło wykorzystywać OpenBSD przy implementacjach VPN" - można m.in. przeczytać w e-mailu. Perry ujawnia także przyczynę zaprzestania wspierania projektu OpenBSD przez agencję DARPA - ta druga zaczęła bowiem obawiać się luk i chciała, by tworzone w ramach DARPA projekty były wolne od tych błędów.

De Raadt nie będzie podejmować żadnych kroków, liczy jednak na odpowiedź społeczności open source.

http://hacking.pl/pl/news-16197-0_lat_szpiegowali_open_source.html
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość Wyślij email Odwiedź stronę autora
rubin




Dołączył: 21 Wrz 2009
Posty: 10
Post zebrał 0 sat

PostWysłany: 07:54, 18 Gru '10   Temat postu: Odpowiedz z cytatem

Bimi, IMO powoływanie się na hacking.pl to trochę jak opieranie się na doniesieniach z pudelka... Jak dla mnie trzeba podejść do tematu z odrobinę większym spokojem. Pozwolę sobie zacytować komentarz z branżowego bloga.

Cytat:
OpenBSD skompromitowane do końca świata Smile
Jeden mail wysłany na listę OpenBSD wystarczył byśmy dowiedzieli się, że "FBI zaszyło pluskwy w szyfrowaniu dla serwerów" a "FBI odpowiedzialne za backdoor w stosie IPSEC (OpenBSD)".

Piotrek przynajmniej dał dla przyzwoitości znak zapytania w tytule (FBI odpowiedzialne za backdoor w stosie IPSEC (OpenBSD)?), za to u Alexa to już jest fakt (FBI zaszyło pluskwy w szyfrowaniu dla serwerów). W OSNews też: FBI zapłaciło za backdoora w OpenBSD.

Szef projektu OpenBSD napisał wprost, że "I refuse to become part of such a conspiracy, and will not be talking to Gregory Perry about this". Gregory napisał tyle, że w implementacji kryptografii w OpenBSD (OCF) są backdoory dodane przez wymienioną z nazwiska osobę (Jason L. Wright) na zlecenie FBI. Zalecił sprawdzenie całego kodu dodanego w latach 2000-2001 przez tego człowieka.

To bardzo poważne oskarżenie. Jason L. Wright jest współautorem dużej części nie tylko kodu, ale i architektury kryptograficznej OpenBSD i jest aktywnym uczestnikiem projektu do teraz. Kod OpenBSD jest przechowywany w CVS, więc znalezienie fragmentów kodu przysłanych przez Wrighta nie powinno być trudne (przykład). Przeanalizowanie ich pod kątem ewentualnych backdoorów (tu i tu)- czasochłonne, ale możliwe do zrobienia w kilka tygodni.

Mail Perry'ego może być prawdziwy. Może być też wybrykiem osoby niezrównoważonej psychicznie lub, wprost przeciwnie, w pełni świadomą próbą zdyskredytowania Wrighta lub całego projektu OpenBSD. Reakcja Theo - prawdopodobnie najlepsza z możliwych w tej sytuacji. Tymczasem zaczynają się pojawiać pierwsze komentarze ze strony innych wymienionych osób, w tym Jasona. (...)
http://ipsec.pl/ipsec/2010/openbsd-skompromitowane-do-konca-swiata.html
poczekajmy na potwierdzenie obecności tych sensacyjnych furtek. Sprawa może okazać się zwyczajnym szumem informacyjnym.
_________________
Niedobrze, gdy rozum jest specjalistą od krótkich dystansów. ~ Zbigniew Waydyk
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość
Bimi
Site Admin



Dołączył: 20 Sie 2005
Posty: 20448
Post zebrał 0 sat

PostWysłany: 11:45, 18 Gru '10   Temat postu: Odpowiedz z cytatem

Ja się na nikogo nie powołuję - ja to wiem.
A zacytowałem hacking.pl bo nie chciało mi się pisać tego samemu.
Szczerze mówiąc forma newsa z hacking.pl jest o wiele bardziej rzeczowa niż wypisywanie że Perry to być może osoba niezrównoważona psychicznie, a w całej Polsce jest zaledwie kilkaset osób, które wiedzą co to jest OpenBSD. Smile

Wracając.
Wright zaprzeczył że sam dodał do kodu backdoory, ale nie zaprzeczył że pracował w firmie NETSEC, która z kolei pracowała dla FBI. Nie zaprzeczył też że mógł to zrobić któryś z jego współpracowników.

Kod:
Subject: Allegations regarding OpenBSD IPSEC

Every urban lengend is made more real by the inclusion of real names,
dates, and times. Gregory Perry's email falls into this category.  I
cannot fathom his motivation for writing such falsehood (delusions
of grandeur or a self-promotion attempt perhaps?)

I will state clearly that I did not add backdoors to the OpenBSD
operating system or the OpenBSD crypto framework (OCF). The code I
touched during that work relates mostly to device drivers to support
the framework. I don't believe I ever touched isakmpd or photurisd
(userland key management programs), and I rarely touched the ipsec
internals (cryptodev and cryptosoft, yes).  However, I welcome an
audit of everything I committed to OpenBSD's tree.

I demand an apology from Greg Perry (cc'd) for this accusation.  Do
not use my name to add credibility to your cloak and dagger fairy
tales.

I will point out that Greg did not even work at NETSEC while the OCF
development was going on.  Before January of 2000 Greg had left NETSEC.
The timeline for my involvement with IPSec can be clearly demonstrated
by looking at the revision history of:
   src/sys/dev/pci/hifn7751.c (Dec 15, 1999)
   src/sys/crypto/cryptosoft.c (March 2000)
The real work on OCF did not begin in earnest until February 2000.

Theo, a bit of warning would have been nice (an hour even... especially
since you had the allegations on Dec 11, 2010 and did not post them
until Dec 14, 2010).  The first notice I got was an email from a
friend at 6pm (MST) on Dec 14, 2010 with a link to the already posted
message.

So, keep my name out of the rumor mill.  It is a baseless accusation
the reason for which I cannot understand.

--Jason L. Wright


A jedyny pewny sposób na potwierdzenie tego, że w IPSEC są backdoory dla FBI to ich znalezienie.
Więc jak autor bloga ipsec.pl (jeden z nielicznych ludzi w polsce któzy wiedzą co to OpenBSD) nie ma co robić, to zamiast teoretyzować po blogach, lepiej niech zacznie audytować ten kod - a nuż mu się poszczęści i zostanie bohaterem Smile
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość Wyślij email Odwiedź stronę autora
PhantomSoul




Dołączył: 07 Lip 2009
Posty: 140
Post zebrał 0 sat

PostWysłany: 02:44, 22 Gru '10   Temat postu: Odpowiedz z cytatem

Bimi napisał:
Pragnę zwrócić uwagę, że implementacja staka z OpenBSD jest używana przez prawie wszystkie z dzisiejszych unixowych systemów.


Nieprawda. Linux ma własny stack.
Mozliwe że większość systemów BSD*, oraz stare windowsy używają tego stacka.

Aczkolwiek wszystko to jest niepotwierdzone.
Kod jest otwarty, więc na pewno już 100 różnych osób/organizacji robi audyty... W ciągu miesiąca się dowiemy czy faktycznie jest tam backdoor.
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość
Bimi
Site Admin



Dołączył: 20 Sie 2005
Posty: 20448
Post zebrał 0 sat

PostWysłany: 11:14, 22 Gru '10   Temat postu: Odpowiedz z cytatem

PhantomSoul napisał:
Bimi napisał:
Pragnę zwrócić uwagę, że implementacja staka z OpenBSD jest używana przez prawie wszystkie z dzisiejszych unixowych systemów.

Nieprawda. Linux ma własny stack.

Nie mówimy tu o starym jak internet staku TCP/IP (w tym trudno by było ukryć backdoora), ale o stosunkowo nowym wynalazku jakim jest IPsec - warstwa wyższa umożliwiająca tworzenie "zamkniętych" sieci (tzw. VPN) wewnątrz internetu.
Tak że niestety prawda.
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość Wyślij email Odwiedź stronę autora
PhantomSoul




Dołączył: 07 Lip 2009
Posty: 140
Post zebrał 0 sat

PostWysłany: 18:04, 22 Gru '10   Temat postu: Odpowiedz z cytatem

Bimi napisał:
Nie mówimy tu o starym jak internet staku TCP/IP (w tym trudno by było ukryć backdoora), ale o stosunkowo nowym wynalazku jakim jest IPsec - warstwa wyższa umożliwiająca tworzenie "zamkniętych" sieci (tzw. VPN) wewnątrz internetu.
Tak że niestety prawda.


Niekoniecznie. Widzisz, kod Linuksa jest znacznie ostrzej rozwijany niż BSD i ten fragment mógł zostać już 10 razy przepisany od nowa.

Zauważ że mówimy o kodzie, który ma 10 lat. Wiesz ile linii kodu miał kernel wtedy a ile ma teraz ? Różnica jest kolosalna.

-----
BTW, swoją drogą jeżeli to okaże się prawdą i nawet do otwartoźródłowego systemu da się tak łatwo wprowadzić tylną furtkę, będzie to oznaczać że praktycznie WSZYSTKIE komercyjne/zamkniętoźródłowe systemy mają takie backdoory. A w szczególności Windows.

Ba, te ogromne ilości dziur które odkryto w windowsie mogłby być przecież tak naprawdę backdoorami, które hackerzy wykorzystali przez przypadek.
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość
Bimi
Site Admin



Dołączył: 20 Sie 2005
Posty: 20448
Post zebrał 0 sat

PostWysłany: 18:19, 22 Gru '10   Temat postu: Odpowiedz z cytatem

PhantomSoul napisał:
Bimi napisał:
Nie mówimy tu o starym jak internet staku TCP/IP (w tym trudno by było ukryć backdoora), ale o stosunkowo nowym wynalazku jakim jest IPsec - warstwa wyższa umożliwiająca tworzenie "zamkniętych" sieci (tzw. VPN) wewnątrz internetu.
Tak że niestety prawda.


Niekoniecznie. Widzisz, kod Linuksa jest znacznie ostrzej rozwijany niż BSD i ten fragment mógł zostać już 10 razy przepisany od nowa.

Zauważ że mówimy o kodzie, który ma 10 lat. Wiesz ile linii kodu miał kernel wtedy a ile ma teraz ? Różnica jest kolosalna.

Teoretyzujesz w oderwaniu od rzeczywistości.
Tak się składa że akurat ten fragment najczęściej nie został przepisany 10 razy od nowa. Smile
Tylko nieliczne linuxy (bodajże np. minix) mają własną implementację ipsec - wszystkie inne oparte są na openbsd
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość Wyślij email Odwiedź stronę autora
M8




Dołączył: 08 Cze 2008
Posty: 612
Post zebrał 0 sat

PostWysłany: 18:45, 22 Gru '10   Temat postu: Odpowiedz z cytatem

Dobrze że są inne protokoły do VPN Smile
No i nie wiadomo ile nowych backdoorów trafiło do jądra przez te 10 lat Very Happy
Chyba czas najwyższy przesiąść się na minixa Razz
_________________
Zapraszam na forum o ezoteryce i okultyźmie: http://transgresja.em8.pl
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość Odwiedź stronę autora
PhantomSoul




Dołączył: 07 Lip 2009
Posty: 140
Post zebrał 0 sat

PostWysłany: 18:51, 22 Gru '10   Temat postu: Odpowiedz z cytatem

Bimi napisał:
Teoretyzujesz w oderwaniu od rzeczywistości.


To ty zacząłeś.

Cały ten temat to jest teoretyzowanie, bo istnienie backdoora nie zostało niczym potwierdzone.
Czytałem szczegółowo na temat sprawy na Slashdocie i to jakiś koleś gdzieś tam, co nawet nie jest programistą, powiedział że "podobno gdzieś tam FBI zlecało napisanie jakiegoś backdoora". Jaka jest wiarygodność takich danych ? Czyste teoretyzowanie.
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość
Bimi
Site Admin



Dołączył: 20 Sie 2005
Posty: 20448
Post zebrał 0 sat

PostWysłany: 19:04, 22 Gru '10   Temat postu: Odpowiedz z cytatem

istnienie backdoora - to teoretyzowanie, jednakże zapoczątkowane przez pewnego newsa z którego wynika, że tworzenie kodu ipsec w openbsd sponsorowało m.in. FBI

natomiast to że ipsec z openbsd jest dziś używany w większości unix-podobnych systemów - to fakt

tu nie chodzi o to że "podobno gdzieś tam FBI zlecało napisanie jakiegoś backdoora", tylko o to że jedna z firm (konkretnie NETSEC) zaangażowanych w tworzenie kodu ipsec pracowała dla FBI.
to są konkrety, a nie jakieś "podobno gdzieś tam...".
to po co twoim zdaniem FBI płaciło ludziom za pisanie open source?
czyżby w ramach treningu kadry? Smile nie tylko absurdalne, ale i mało prawdopodobne, gdyż to nie była ich kadra, lecz wynajęta zewnętrzna firma.
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość Wyślij email Odwiedź stronę autora
PhantomSoul




Dołączył: 07 Lip 2009
Posty: 140
Post zebrał 0 sat

PostWysłany: 19:33, 22 Gru '10   Temat postu: Odpowiedz z cytatem

Nawet jeżeli backdoor tam jest, to setki ludzi i organizacji (w tym w szczególności państwa wrogie USA, które w swoich krytycznych rozwiązaniach mogą używać tego kodu) w tym momencie już przeglądają ten kod, więc jeżeli on istnieje , to znalezienie go jest rzeczą pewną.

FBI i całe USA we tym momencie zagrały w rosyjską ruletkę i przegrały, bo teraz każdy ważny kod używany przez rządy krajów i duże firmy będzie skrupulatnie sprawdzany. Więc niezależnie od tego czy furtka jest czy nie, wszyscy na tym korzystamy.
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość
Bimi
Site Admin



Dołączył: 20 Sie 2005
Posty: 20448
Post zebrał 0 sat

PostWysłany: 19:47, 22 Gru '10   Temat postu: Odpowiedz z cytatem

jeśli jest sprytnie pomyślany to mogą go jeszcze dłuuugo nie znaleźć. czasem przecinek zamiast kropki, albo I zamiast 1, potrafi diametralnie zmienić działanie kodu...

jeśli kolesie byli bystrzy, a należy założyć że byli bo FBI raczej nie zatrudnia lamerów (jak polska policja) to prędzej przy okazji znajdą i załatają kilka innych dziur i bugów, niż samego rzeczonego backdoora. co też jest poniekąd pozytywne... Smile
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość Wyślij email Odwiedź stronę autora
PhantomSoul




Dołączył: 07 Lip 2009
Posty: 140
Post zebrał 0 sat

PostWysłany: 21:28, 22 Gru '10   Temat postu: Odpowiedz z cytatem

Bimi napisał:
jeśli jest sprytnie pomyślany to mogą go jeszcze dłuuugo nie znaleźć. czasem przecinek zamiast kropki, albo I zamiast 1, potrafi diametralnie zmienić działanie kodu...


Wiem coś o tym, jestem programistą.
Sprawa nie jest taka prosta jak myślisz. Jeżeli zrobisz taki "zmieszany i nie wstrząśnięty" kod, w którym nie wiadomo o co chodzi, to od razu ląduje on na liście kodów podejrzanych bo jest nieczytelny.

Metodą "wszystko co nie wiadomo o co w tym chodzi jest podejrzane" można wyłapać praktycznie 100% backdoorów.

Poza tym jestem pewien że teraz już służby wywiadowcze co ważniejszych krajów będą pół roku skanować ten kod, więc na pewno wszystko wyjdzie na światło dzienne. Gdy wszyscy patrzą ci na ręce, ciężko coś ukryć.
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość
Bimi
Site Admin



Dołączył: 20 Sie 2005
Posty: 20448
Post zebrał 0 sat

PostWysłany: 21:51, 22 Gru '10   Temat postu: Odpowiedz z cytatem

PhantomSoul napisał:
Wiem coś o tym, jestem programistą.
Sprawa nie jest taka prosta jak myślisz. Jeżeli zrobisz taki "zmieszany i nie wstrząśnięty" kod, w którym nie wiadomo o co chodzi, to od razu ląduje on na liście kodów podejrzanych bo jest nieczytelny.

Ale nie musi być nieczytelny.
Może być bardzo czytelny i odpowiadać stylowi całej reszcie. A jednak mieć przecinek zamiast kropki. Bug który nie musi robić niczego konkretnego, poza tym, że przy pewnych danych wejściowych wykona stak overfloła a na stosie zostaną akurat zapisane te dane które ktoś podesłał z zewnątrz - wystarczy powrót z dowolnej funkcji by wykonać własny kod.
nie pierwsza i nie ostatnia dziura która to umożliwia.
nikt mu nawet nie udowodni że zrobił tego buga specjalnie.
podczas gdy on go zaprojektował. też bym tak potrafił - kwestia żeby napisać wystarczająco dużo kodu Smile
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość Wyślij email Odwiedź stronę autora
PhantomSoul




Dołączył: 07 Lip 2009
Posty: 140
Post zebrał 0 sat

PostWysłany: 22:43, 22 Gru '10   Temat postu: Odpowiedz z cytatem

Bimi napisał:

Ale nie musi być nieczytelny.
Może być bardzo czytelny i odpowiadać stylowi całej reszcie. A jednak mieć przecinek zamiast kropki. Bug który nie musi robić niczego konkretnego, poza tym, że przy pewnych danych wejściowych wykona stak overfloła a na stosie zostaną akurat zapisane te dane które ktoś podesłał z zewnątrz


Oczywiście, da się to zrobić, ale tak czy siak jest ekstremalnie trudne do zrobienia.
Taki błąd/backdoor może też zostać przypadkowo poprawiony lub zmieniony przez jakiegoś programistę, który będzie przeglądał kod.

Jeszcze trudniejszą sprawą jest zadbanie o to żeby nikt tego kodu przypadkowo nie usunął przy okazji przepisywania jakiegoś fragmentu aplikacji.

A i jeszcze dodatkowy problem jest taki, że wszystkie systemy kontroli wersji używane przez programistów (CVS, SVN, Git, Mercurial, Bazaar etc.) prowadzą dokładną ewidencję kto, co, gdzie, kiedy, i w jakich okolicznościach dodał. Więc nie musisz tak naprawdę przeglądać całego kodu. Wystarczy, że zlokalizujesz podejrzanego programistę i przejrzysz dokładnie co robi każdy kod, który on dodał. Nie jest to trudne, sam mógłbym zrobić coś takiego, tyle że ja nie programuję w C/C++ akuratnie.

----
A ogólnie myślę że takie spekulowanie nie ma sensu. Za góra parę miesięcy na 100% dowiemy się czy był tam backdoor (i czy dalej tam jest) czy nie i wtedy.
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość
Bimi
Site Admin



Dołączył: 20 Sie 2005
Posty: 20448
Post zebrał 0 sat

PostWysłany: 11:11, 08 Maj '12   Temat postu: Odpowiedz z cytatem

FBI chce tylnych drzwi w oprogramowaniu

Jak dowiedzieli się dziennikarze serwisu CNET FBI rozmawia z przedsiębiorstwami, by te nie sprzeciwiały się planom wprowadzenia zmian do ustawy, które zobowiązywałaby firmy takie jak Microsoft, Facebook czy Google do wprowadzania do własnego kodu tylnych drzwi. Byłyby one wykorzystywane przez agendy rządowe do śledzenia użytkowników.

Podczas spotkania z przedstawicielami biznesu, Białego Domu oraz Senatu wysocy rangą urzędnicy FBI przekonywali, że rosnąca popularność internetu powoduje, iż coraz trudniej jest podsłuchiwać osoby podejrzewane o popełnianie przestępstw. Dlatego też FBI chce zaproponować ustawę, która wymagałaby od witryn społecznościowych, dostawców telefonii internetowej (VoIP), komunikatorów oraz e-maili wprowadzenie do swoich produktów kodu umożliwiającego podsłuch. Ustawa miałaby dotyczyć tylko tych produktów, które zyskały pewien określony w niej stopień popularności.

Proponowana przez FBI ustawa rozszerzałaby zakres działania Communications Assistance for Law Enforcement Act (CALEA) z 1994 roku, która dotyczy firmy telekomunikacyjne, a w 2004 roku została rozszerzona o dostawców sieci szerokopasmowych.


dalej: http://kopalniawiedzy.pl/FBI-tylne-drzwi-podsluch-ustawa,15770
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość Wyślij email Odwiedź stronę autora
King Crimson




Dołączył: 27 Mar 2009
Posty: 2081
Post zebrał 0 sat

PostWysłany: 20:31, 08 Maj '12   Temat postu: Odpowiedz z cytatem

FBI to jednak tępaki. Jak już chcą oficjalnych backdoor`ów to niech poproszą o normalne drzwi frontowe, tudzież oficjalną notkę do softu: "Prosimy o nieblokowanie portu takiego i tqakiego, wyłączenie firewalla i odesłanie nam metryczki z posiadanego systemu operacyjnego i podesłanie haseł. Za każdy atak hakerski z naszej strony obciążymi Państwa kosztami ataku. Będziemy Państwa prześwietlać na tyle dyskretnie, żeby nie odczuli Państwo skrępowania."
Oficjalna konspiracja to troszkę jak Leclerc w Allo Allo Smile
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość
Wyświetl posty z ostatnich:   
Napisz nowy temat   Odpowiedz do tematu    Prawda2.Info -> Forum -> Wiadomości Wszystkie czasy w strefie CET (Europa)
Strona 1 z 1

 
Skocz do:  
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz moderować swoich tematów


Backdoor w OpenBSD na zlecenie FBI
Powered by phpBB © 2001, 2005 phpBB Group.
Wymuś wyświetlanie w trybie Mobile