FBI zapłaciło za backdoora w OpenBSD

FBI opłaciło ludzi pracujących nad kodem IPSEC w OpenBSD, żeby umieścili w nim backdoora.

Aktualnie nie udzielono informacji, czy backdoor nadal działa – trochę kodu przez 10 lat się zmieniło. Ponieważ stos IPSEC z OpenBSD jest darmowy, został użyty w wielu projektach i produktach.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

  1. Awatar spy000yps
    spy000yps

    Ah, czy można dostać lepszą informację z rana niż to, że tysiące pajaców, którzy przez lata uważali się za lepszych od innych, bo używają "bezpiecznego" systemu zostało wykołowanych przez FBI? 🙂

    Eh, życie jest piękne i pełne niespodzianek.

    A swoją drogą chciałbym jeszcze przypomnieć, że w Linuksie jest coś takiego, co się nazywa SELinux a co jest robione przez NSA – inną trzy literkową organizacją z trzy literkowego kraju USA…

    1. Awatar Sławek
      Sławek

      Dziwne jest to, że do tej pory nie udało się ustalić, czy luka faktycznie istniała. Mam nadzieję, że szybko uda się to ustalić.

    2. Awatar cutugno
      cutugno

      "można dostać lepszą informację z rana"

      Gdyby z Wikileaks wyskoczył rachunek z podpisem Theo…

      Ale tak poważnie: trudno mi uwierzyć, że na coś takiego gość miałby cyrograf tylko na 10 lat.

    3. Awatar o_O
      o_O

      W windowsie backdoorów na zamówienie rządu usa jest więc 10x tyle. Różnica jest jeszcze taka, że o nich nigdy nie usłyszysz.

      1. Awatar aix_Wolna_Głupota
        aix_Wolna_Głupota

        W Windowsie czy Mac OSX nie ma żadnych backdoorów. Producenci tych systemów mają zbyt wiele do stracenia – w końcu przynoszą grube miliony dolarów zysku.

        Za to w produktach Open Sourcowych jest pełno błędów i w dodatku każdy(!!!!) może wrzucić backdoora, bo tak naprawdę nikt w 100% nie kontroluje kodu źródłowego i to z bardzo prostej przyczyny – braku kasy, a co za tym idzie braku specjalistów, którzy mogliby to wychwycić.

        1. Awatar aix_Wolna_Głupota
          aix_Wolna_Głupota

          Zrobię tak jeżeli Ty w swoim nazwisku między litery 'k' i 'r' wstawisz 'u' następnie literę 'a' przesuniesz w miejsce zbitki 'czyk' ;).

        2. Awatar BigBen
          BigBen

          Polska policja korzysta z takiego fajnego programu o nazwie COFEE, który jest dostępny tylko dla wybranych instytucji. Program umożliwia dokładne przeanalizowanie zawartości twojego kompa. Żadne zabezpieczenia wbudowane w windowsa nie powstrzymają programu. Co więcej one otworzą się dla tego programu bo M$ specjalnie dodał do windowsa taką lukę bezpieczeństwa by COFEE mógł swobodnie penetrować twój komputer. Oczywiście przy tworzeniu COFEE palce maczał sam M$ więc Skoro polska policja ma dostęp do takiej luki to wyobraź sobie do czego dostęp ma FBI albo CIA.

          1. Awatar aix_Wolna_Głupota
            aix_Wolna_Głupota

            1. Program COFEE jest dostępny w Internecie i można go sobie nielegalnie ściągnąć.
            2. COFEE jest uruchamiany lokalnie jak najzwyklejszy każdy inny program.
            3. COFEE zbiera dane takie jak:
            – historię przeglądanych stron WWW
            – logi systemowe
            – zrzuty pamięci
            – pliki konfiguracyjne
            – uruchomione programy i usługi
            – loginy i hasła użytkowników
            – klucze z rejestru
            4. Jednym słowem żadna rewelacja. Po prostu przyspiesza zbieranie danych z kompa. Każdy admin Windowsowy jest w stanie napisać skrypt będący odpowiednikiem COFEE.

          2. Awatar BigBen
            BigBen

            1. W internecie jest wiele rzeczy których szary obywatel od tak nie zdobędzie np ten program co nie zmienia faktu że legalnie mogą go nabyć tylko wybrane instytucje.

            2. Jeszcze tego by brakowało żeby on przez internet działał.

            3 i 4 –

            Owszem jak ktoś się uprze to napiszę program/skrypt który zrobi to samo, ale niepokoi mnie fakt że producent systemu pomaga w pisaniu tego typu programów. Zwróć uwagę że cześć trojanów i innego złośliwego oprogramowania ma podobne funkcje ale ich raczej nie będziesz bronił.

  2. Awatar bobycob
    bobycob

    Drogi "autorze" skleć coś więcej niż jedno zdanie albo nie pisz wcale. Ten news w składa się aktualnie z tematu – treść pingwiny rozdziobały?

    1. Awatar spy000yps
      spy000yps

      Drogi "czytelniku".

      1 nie miałem czasu napisać więcej
      2 i tak więcej nie trzeba pisać – w newsie są zawarte wszystkie potrzebne informacje
      3 mógłbym dodać od siebie komentarz, że g… prawdą jest to, że deweloperzy OpenBSD cokolwiek audytują przed włączeniem kodu do jądra systemu. Mógłbym też napisać, że g… prawdą jest to, że otwarte systemy są bezpieczniejsze, bo ludzie audytują kod – i co? Przez 10 lat nie znaleźli backdora? 🙂
      4 goście wynajęci przez FBI, to albo mistrzowie w podkładaniu backdorów, albo to całe Open* w BSD i innych jest g… warte.
      5 jeśli tam było, to w innych systemach też jest

      Gdybym tylko o tym wszystkim napisał, to byście psioczyli, że news jest nieobiektywny

      1. Awatar putrycy
        putrycy

        To nawet nie jest pewna informacja, kolego.

      2. Awatar blinkkin
        blinkkin

        Ciekawe… jak komentujesz sprawę związaną z Wikileaks i osobą Juliana Assagne (aresztowanie itd.) to uważasz, cytuję:

        E, to to pewnie sfabrykowane oskarżenia.

        Jeśli natomiast sprawa dotyczy zarzutów (niepotwierdzonych dowodami) wobec tego, że byli commiterzy OpenBSD działali z FBI to jest pewnik i 100% prawda.

        Widocznie już tak jest, że osoby których najbliższy kontakt z OpenBSD zapewne ograniczył się do patrzenia na zrzut ekranu, mają najwięcej do powiedzenia. Sam nie jestem zwolennikiem tego systemu, ale z dużą ostrożnością podchodzę do tematu.

        1. Awatar spy000yps
          spy000yps

          No właśnie, ciekawe. Zarówno Assange jak i Perry ujawnili tajne informacje. Oczywiście Assange jest w pełni wiarygodny, ale informacje przedstawione przez Perryego już nie są wiarygodne, bo nie są pochlebne dla środowiska open source 😀

          Zresztą nie chce mi się tego komentować, rzuciłem temat, bo napisał o tym główny twórca openbsd. Czy to prawda, czy nie, to mnie to już ch… obchodzi. Możecie się o to pozabijać – nie dbam

      3. Awatar Sławek
        Sławek

        Proszę zwrócić uwagę, że szanowny autor sam napisał, iż trochę kodu sprzed 10 lat się zmieniło, więc jak mogli szukać tego niby backdoor-a przez 10 lat? Mieli audytować stary i porzucony kod?

    2. Awatar kocio
      kocio

      Po tym, jaki jest gadatliwy w komentarzach, też spodziewałem się dużo więcej.

      1. Awatar jasiu od wideł
        jasiu od wideł

        Więcej treści merytorycznej można znaleźć w innych serwisach. Na OSnews zostało niestety tylko bicie piany i trolling…
        Pozwalam sobie na to stwierdzenie, bo pamiętam czasy, gdy Ojciec Dyrektor zaczynał budować OSnews i widzę jakie zmiany serwis przeszedł.

  3. Awatar _DerDevil_
    _DerDevil_

    Przez 10 lat kod na pewno mógł ulec zmianie ale jeżeli te informacje są prawdziwe i okaże się że są jakieś furtki. To spodziewał bym się burzy bo te informacje mogą się odbić szerokim echem. I pożywką dla trolli.

    I teraz tak ciekaw jestem ile w Windowsie może być takich furtek na zlecenie USA tudzież innych rządów. 😀

    1. Awatar eval()
    2. Awatar dave
      dave

      jedna ale za to wieelkaa !

    3. Awatar Artwi
      Artwi

      No cóż: prawo USA nt eksportu technologii informatycznych jest od 1996 jasne: nie wolno (za wyj. specjalnych zezwoleń z Departamentu Stanu) eksportować produktów o kluczach szyfrujących > 64bit jeśli nie udostępni się NSA i podobnym instytucjom metody ich złamania…

      1. Awatar zalzal
        zalzal

        Proponuję poczytać oryginalne wiadomości z listy twórców obsd. Nie ma czego komentować.

    4. Awatar Slawek
      Slawek

      Microsoft z pewno[ci nie dostawaB pienidzy za luki – oni je po prostu nie[wiadomie kopiowali z BSD

    5. Awatar Sławek
      Sławek

      Microsoftowi nie musi w tej kwestii nikt płacić. Sami skopiują dziurawy kod z BSD, niewiedząc, że je ma 😉 .

    6. Awatar MarekD
      MarekD

      Na tyle dużo, że obecnie nie zostało już nic z tego backdora.

      Jak do tej pory nie ustalono jeszcze czy został on usunięty przypadkiem podczas jakiś innych zmian czy ktoś się pokapował, że coś nie halo i poprawił.

      Nie wiadomo również jak wiele oprogramowania zamkniętego które kopiowało kod z BSD zdążyło skopiować i backdora zanim został on usunięty (i czy u siebie też go usunęli).

      1. Awatar BigBen
        BigBen

        @DerDevil

        Trochę wyżej poczytaj mój komentarz o COFEE (musi tylko zostać zaakceptowany).

  4. Awatar Rsh
    Rsh

    Na razie są to jeszcze tylko oskarżenia .. zero dowodów – proszę zmienić tytuł na taki zgodny z rzeczywistością, dodać znak zapytania albo coś w tym stylu.

    1. Awatar pawels27
      pawels27

      Znak zapytania nie musi wyglądać, on ma oznaczać.

  5. Awatar krzabr
    krzabr

    Szkoda bo system by powszechnie uznawany za bezpieczny , strach pomyśleć ile takich dziur może być w linuxie , androidzie a co dopiero w macu czy windowsie.

  6. Awatar krzabr
    krzabr

    "However the "little ethic" of a private mail being forwarded is much smaller
    than the "big ethic" of government paying companies to pay open source
    developers (a member of a community-of-friends) to insert
    privacy-invading holes in software."

    Smutna rzeczywistość , sam fakt że to napisał Theo jest niepokojący , pozostaje mieć tylko nadzieje że ktoś to załatał i że nazwiska osobników za to odpowiedzialnych wypłyną do internetu.

  7. Awatar krzabr
    krzabr

    Na koniec dodam tylko że powinno być to dla wielu ostrzeżenie do czego są zdolni opłaceni dewovie np. przez wielkie firmy oraz jak poważne zagrożenia już istnieją w zamkniętych osach czy chmurach obliczeniowych.

    1. Awatar spy000yps
      spy000yps

      Ale przecież to samo mogliby zrobić deweloperzy, którzy nie są opłacani przez wielkie firmy! Co stoi na przeszkodzie?

      1. Awatar krzabr
        krzabr

        To że developerzy którzy piszą hobbystycznie kod dla siebie będą znacznie bardziej odporni na tego typu korpucję niż karierowski chłam.

    2. Awatar JD
      JD

      „dewovie” Czy to coś od dewiantów?

  8. Awatar Sławek
    Sławek

    FUD, FUD, FUD..

    1. Awatar Artwi
      Artwi

      Dlaczego tak uważasz? Nawet tak poważne firmy jak Cisco mają takie backdoory, w tym przypadku zwane „funkcjonalnościami” o czym świadczą np. instrukcje do ich sprzętu (np. routerów serii 7600) dla amerykańskich instytucji rządowych, opisujące np. mechanizmy Cisco Service Independent Intercept, umożliwiające z zewnątrz dyskretne podsłuchiwanie LAN i szyfrowanych tuneli, bez wiedzy użytkownika ich sprzętu. OpenBSD ma być lepsze? FBI nie wydaje mi się niezdolne do łapówkarstwa, a deweloperzy OpenBSD nie wydają mi się niezdolni do brania takich łapówek (zwłaszcza popartych „hakami” i szantażem)…

  9. Awatar konski_pytong
    konski_pytong

    dobre za openbsd musili płacić, ale już w linuksie nie bo niekumata społeczność i repozytoria dziurawe.

    1. Awatar Bartłomiej Krawczyk
      Bartłomiej Krawczyk

      Wiecie, czy w całym tym IntenseDebate można założyć filtr na komentujących?

      1. Awatar bobycob
        bobycob

        mi się włącza automatycznie gdy widzę ten nick wiem, że to nie opinia tylko próba wywołania flame

    2. Awatar norbert_ramzes
      norbert_ramzes

      Podejrzewam że konski_pytong ma dziurawy mózg 🙂 Albo MS mu nieźle płaci.

  10. Awatar Bartłomiej Krawczyk
    Bartłomiej Krawczyk

    "Only two remote holes in the default install, in a heck of a long time!" 🙂
    Oczywiście żart, OpenBSD nie zawiniło, bo inni deweloperzy innych systemów pewnie też są opłacani. W innych systemach takich backdorów zapewne też jest pełno. W takim świecie żyjemy…

    1. Awatar aix_Wolna_Głupota
      aix_Wolna_Głupota

      Są opłacani, ale developerzy m.in. Linuksa bo np. Apple na mnóstwo wypracowanego wyłącznie przez siebie zysku i nie musi się łasić na kasę od państwowa.

      1. Awatar Bartłomiej Krawczyk
        Bartłomiej Krawczyk

        aix_Wolna_Głupota @ czyli np. Apple ma "dość" zysku i gdyby miało taką możliwość, to nie skorzystałoby? 😀 nie chce mi się wierzyć 😀

      2. Awatar iron_irony
        iron_irony

        głupie telefony są podsłuchiwane przez państwa i to w dodatku każda firma telekomunikacyjna ma obowiązek udostępnienia odpowiedniej infrastruktury, a co dopiero tak skomplikowane zabawki jak komputery i oprogramowanie na nie…

    2. Awatar SiD
      SiD

      Bronienie się poprzez porównywanie się do gorszych od siebie, na dodatek bez żadnego potwierdzenia faktów, podpierając się jedynie "W innych systemach takich backdorów zapewne też jest pełno." to jest dopiero szkodliwe działanie PR-owe, podważające wszelką wiarygodność środowiska OpenSource.

      Jedyne co może oczyść BSD, to lepsza kontrola, udowodnienie brak luk, lub ich załatanie, a nie zawalanie na innych i mówienie, że na pewno są gorsi. A jak nie są? A kto to udowodni?

      Takie wypowiedzi, nie dość, że generują flame, to dodatkowo psują wizerunek wolnego oprogramowania.

      Co to w ogóle za argument, że co z tego, że u nas coś jest źle, skoro u innych jest przypuszczalnie gorzej?

      1. Awatar Bartłomiej Krawczyk
        Bartłomiej Krawczyk

        Ja się nie bronię, bo nigdy nikogo na używanie OpenSource nie namawiałem. Ja stwierdzam, że skoro w tak bezpiecznym z założenia systemie, gdzie kod jest z tego co słyszę mocno audytowany dzieją się takie rzeczy, to najprawdopodobniej wszędzie indziej też takie zjawiska występują.
        Theo nie bronił się w mailu i nie równa w doł, stwierdził, że trzeba to sprawdzić i że jeśli inne systemy korzystały z powstałego wtedy ich kodu, to mogą też mieć problem.
        I u jakich NAS? Czy ja w ogóle napisałem, że używam tego systemu?

  11. Awatar Witek
    Witek

    Ciekawe jak z Linuksem. Tutaj podobno większość deweloperów także jest opłacana – w sensie pensji, ale skoro ktoś płaci to i wymagać może…

    1. Awatar azazello
      azazello

      Linux ma własną implementację IPSec – NetKey

  12. Awatar aix_Wolna_Głupota
    aix_Wolna_Głupota

    W Windows nie ma żadnej furtki, ponieważ sam system zarabia na siebie, a nie żebrze o kasę jak projekty Open Sourcowe czego skutki są widoczne.

    1. Awatar Sławek
      Sławek

      Tak. Z tego powodu brytyjski minister obrony kiedyś sugerował wprowadzenie backdoor-a w Windows Vista, bo przecież premiera za rok… 😉 .

    2. Awatar revcorey
      revcorey

      tylko przypadkiem służby bezpieczeństwa wiedzą dokładnie jak działa generator pseudolosowy w windows.

    3. Awatar qluk
      qluk

      Co Ty …. ?! Nie mówimy o furtkach dla zdobycia przewagi korporacji jakiejś, a dla FBI. Tutaj sprawa jest prosta, albo korporacja się zgodzi, albo poleci np. ustawa antymonopolowa, czy wprowadzi się odpowiednie ustawodawstwo lub też zrezygnuję się z ich rozwiązań/supportu. W przypadku OS można poprzez pieniądze lub wyciągniecie czegoś z akt wymusić.
      Weź przeanalizuj ustawy w USA o bezpieczeństwa państwa oraz wprowadzone po 11 września dobrym przykładem jest Patriot ACT.

      1. Awatar Sławek
        Sławek

        Tak. USA jest takie, jak ZSRR. Chociaż wmowią Ci, że nie chciałeś slużbom bezpieczeństwa podać hasła do swojego komputera. I już masz darmowy biler do Guantanamo w jedną stronę.

  13. Awatar Witek
    Witek

    Gratulacje dla FBI, genialnie im to wyszło: bierzemy (lub zakładamy) organizację, która niby jest za wolnością, itd. Wstawiamy lukę, organizacja głosno krzyczy że ma najbezpieczniejszy system, "only two remote holes", ludzie zaczynają wierzyć i używać, a FBI tylko sięga po popcorn przy miłej lekturze.

  14. Awatar marines
    marines

    to jest przerażające :/

  15. Awatar stefan
    stefan

    http://en.wikipedia.org/wiki/NSAKEY

  16. Awatar abcman
    abcman

    Problem w tym, że gdy wieść o backdoorze się potwierdzi, to wtedy hasło Open Source, że "nasz kod jest bezpieczny. bo jest otwarty i przez to tysiące programistów go przegląda" można o kant tyłka rozbić.

    1. Awatar Reddie
      Reddie

      Ale to nie jest to hasło. Ono brzmi "nasz kod jest BEZPIECZNIEJSZY, bo jest otwarty". I to się zgadza.

    2. Awatar Sławek
      Sławek

      Z OpenBSD korzysta i rozwija go mało osób.

      1. Awatar krzabr
        krzabr

        Zauważcie że kod napisali zewnętrzni opłaceni developerzy.

    3. Awatar Bartłomiej Krawczyk
      Bartłomiej Krawczyk

      Nikt chyba nie stwierdzał, że OpenSource jest bezpieczny, a jedynie _może_ być bezpieczniejszy, bo _może_ go przeglądać więcej osób.
      Skoro mimo wszystko w OS trudno wykryć takie rzeczy to rusz głową i pomyśl jak ciężko tego dokonać w zamkniętym systemie (gdzie nota bene pewnie nikt by tego nie szukał, bo po prostu można firmie zapłacić za taką "funkcjonalność").

      1. Awatar o_O
        o_O

        Oczywiście.

        A nawet zakładając, że ms nie współpracuje z FBI w tym względzie, to i tak wystarczy opłacić jednego programistę w ms i to doda.
        A że tam NIKT na kod juz nie patrzy, to przeżyje on tam wieki bez wykrycia.

        Ten sam mechanizm dodania backdoora – podstawienie pracownika – ale przez model closed source dużo trudniejszy do wykrycia.

        Choć oczywistym jest, że w windows są backdoory na zamówienie rządu usa. O niejednym było już głośno: NSAKEY, błędy w obsłudze FAT12, aby odpalać kod z włożonego pendriva nawet bez autostartu (to istnieje do dzisiaj, widać się sprawdza – szkoda tylko, że powoduje masowe epidemie wirusów), dołączanie do wiadomości części klucza prywatnego podpisanej kluczem NSA (sprytne, bardzo przyspiesza krakowanie), itd.

        1. Awatar Sławek
          Sławek

          Możesz zarzucić odnośnik do tego błędu z FAT12? Akurat nie korzystam z Windows/nie zamierzam podpisać licencji, więc o jakiejkolwiek prezentacji na żywo nie może być mowy.

    4. Awatar jarek
      jarek

      > "nasz kod jest bezpieczny. bo jest otwarty i przez to tysiące programistów go przegląda"
      > można o kant tyłka rozbić.

      Ale to kazdy rozgarniety kto pracowal przy wiekszym projekcie wiedzial i tak,
      wystarczy pozbierac pare luznych faktow.

      Powyzej pewnej "masy krytycznej" zrodel sie nie dotyka dopoki sie nie musi, nie wazne,
      czy to OS czy nie, po prostu, jak dziala to sie nie rusza. Dolacza sie to jako calosc / biblioteke
      gdy jest potrzeba, bez zagladania w trzewia. W efekcie zrodla moga lezec latami nietkniete
      (co samo w sobie absolutnie nie jest zle). Skomplikowane projekty z wielkimi zrodlami
      ciezko ogarnac zwlaszcza przez jedna osobe. Tym bardziej, ze przytlaczajaca wiekszosc
      fanow OS to kompletni ignoranci, "manie zrodel" przez taka samozwancza holote nie rodzi
      zadnej jakosci i nie zwieksza bezpieczenstwa bo nie sa w stanie zrobic z nich uzytku. Dobrze
      jeszcze jak backdoor jest trywialny, jak whardkodowane haslo w InterBase. Ale w przypadku
      IPSec to moze byc duzo bardziej subtelne, rozproszone itd. Moze okazac sie potrzebna
      systematyczna analiza kodu, algorytmow, kryptoanaliza. A kto takie rzaczy robi? Zespoly
      specjalistow zatrudniane przez firmy (vide: niedawny przyklad analizy kodu Androida).
      Tyle, ze specjalisci w firmach zazwyczaj maja napiete grafiki i robia to, za co im sie placi.
      No i wracamy do punktu wyjscia, zrodla leza nieruszane.

      Swoja droga, to jakos trudno mi uwierzyc w te cala historie. Jesli rzeczywiscie
      FBI zasadzilo tego backdoora, to skad nagle taki przeciek o tym?

      1. Awatar Sławek
        Sławek

        Gościa, który opłaca projekty z częściowo otwartymi źródlami też nazwiesz hołotą? Gdyby nie on, to nikt nie miałby źrodeł.

      2. Awatar kwant
        kwant

        Masz sporo racji, Ten kod jest bardzo duży i dość trudny do analizy. Jednak można znaleźć kilka przykładów ciągłej analizy takiego kodu: jest różnego rodzaju refraktoring przy okazji startowania nowych dużych projektów – np. Android, wprawdzie developerzy zajmują się głównie nowym kodem ale często regresje zmuszają do zaglądnięcia i zrozumienia ,,korzeni'', na kodzie OS szkoli się wszelkiego rodzaju automaty pomagające wykrywać potencjalne błędy a później zapuszcza do analizy różnego dostępnego kodu (źródeł linuxa i okolic na pewno w pierwszej kolejności :-)).

        Jednak masz rację, że dobrze rozproszony ,,bug'' byłby ciężki do wykrycia, jednak też super ciężki do założenia – no bo niby dlaczego osoba osoby odpowiedzialne za spójność kodu chciały by dopuścić nagle kilka ,,dziwnych'' poprawek w różnych miejscach. To musiała by być akcja rozłożona na długi czas i angażująca sporo organizacji. Wykonalne ale bardzo trudne… Czy FBI coś takiego zrobiło? Zobaczymy… skoro pojawiła się plotka, ktoś zacznie szukać, choćby ktoś z uczelni żeby napisać fajny artykuł z wysokim IF i mnóstwem cytowań (co bardzo liczy się w dorobku w takich instytucjach) 🙂

    5. Awatar -X-
      -X-

      Ale np. jakiś rząd, instytucja czy firma może sobie zatrudnić ludzi do zrobienia audytu. Jak ktoś tego nie robi, to wykazuje się po prostu bezpodstawnym zaufaniem. Skoro ja sam już dawno temu pomyślałem, że w open source można umieszczać backdory, to na pewno pomysleli o tym inni. I tak jest lepiej niż w zamknietym sofcie, bo przynajmniej można je tropić jak się chce.

  17. Awatar Doc
    Doc

    To ten BSD, w którym największy nacisk położono na bezpieczeństwo, tak? 😉

    1. Awatar MrBogus
      MrBogus

      Bezpieczeństwo dostępu do informacji dla FBI 😉

  18. Awatar fiodsjfd
    fiodsjfd

    Nie rozumiem czegoś. Tzn., że kod jest otwarty, ogólnodostępny i nikt nie zauważył tych backdoorów?

  19. Awatar AI
    AI

    Nie od dzis czlowiek jest najslabszym ogniwem bezpieczenstwa wiec czytaj uwaznie i wyciagaj POPRAWNE wnioski.

  20. Awatar alazif
    alazif

    Nie wyobrażam sobie by było inaczej to że żądy maja backdory w systemach operacyjnych to jest oczywiste , tu nie chodzi o jakieś szpiegowanie tylko o realną przewagę o bezpieczeństwo świata w którym żyjemy . Ja nie jestem prp USA wiem jakich zbrodni to Państwo się dopuściło ale generalnie Państwa demokratyczne dają możliowść rozwoju ludziom i życia kałacha obok głowy . Więc ja nie widzę problemyu w tym że pewni ludzie mają dostęp do „wszystkiego”
    ktoś musi bo pokój w którym żyjemy jest bardzo bardzo delikatny i Ci którzy znalexli się pośrodku jakiegoś konfliktu wiedzą że systuacja polityczna może zmienić się jak pogoda- ze słońca w tornado

    1. Awatar norbert_ramzes
      norbert_ramzes

      Rządy a nie żądy.

  21. Awatar hak
    hak

    Sorry za głupie pytanie, ale czy IPSEC jest wykorzystywany tylko do połączeń VPN, czy ma jeszce inne zastosowania?
    Tak na marginesie, to pewnie parę hamerykańskich agencji rządowych, korzystających z openbsd się lekko wkurzy na FBI.

  22. Awatar nth
    nth

    Aktualnie w ogóle nie wiadomo, czy kiedykolwiek był jakiś backdoor – nie ma żadnych argumentów to potwierdzających, poza jednym mailem od przypadkowej osoby, która nei jest ani developerem, ani specjalistą od bezpieczeństwa. Póki co sprawa wygląda na zwykły hoax.

    Dobry opis jest tu: http://ipsec.pl/ipsec/2010/openbsd-skompromitowan…

  23. Awatar -X-
    -X-

    Bacdoory można wstawić nawet do BSD, a co dopiero dla zamkniętoźródlowego firmwaru. Z tego powodu na świecie jest tylko kilka panstw mogących ufać własnemu uzbrojeniu.

  24. Awatar A_od3do20znakow
    A_od3do20znakow

    No i gdzie to bezpieczeństwo otwartego kodu, który przecież każdy może sobie sprawdzić czy nie zawiera złośliwych linijek…? 😉

    1. Awatar Bartłomiej Krawczyk
      Bartłomiej Krawczyk

      Może sprawdzić, ale nie musi – w zamkniętym sofcie NIE MOŻESZ sprawdzić kodu, więc tym bardziej nie wiesz o tych wszystkich backdoorach, które tam siedzą.

      1. Awatar Królik
        Królik

        Tak, bo luk to się szuka w kodach źródłowych… 😀

      2. Awatar Beholder
        Beholder

        > Może sprawdzić, ale nie musi

        No, ale co z tego, że „może”, skoro – „jak widać na załączonym obrazku” – nie sprawdza? 😀

        A’propos: a ile wierszy – i którego – kodu TY SAM sprawdziłeś „na okoliczność”, czy czasem „nie zawierają złośliwego kodu”? 😉

  25. Awatar spy000yps
    spy000yps

    dlaczego mój komentarz nie został opublikowany?

  26. Awatar krzabr
    krzabr

    Prawdopodobieństwo że w innych systemach os takie numery przeszły jest dużo większe openbsd nie dość że niszowy to jest tworzony w większości przez hobbystów i maniaków bezpieczeństwa dla wąskiej niszy urządzeń.

    Gorzej prezentuje się sytuacja z FreeBSD i Linuxem , tam opłacani devowie na potęgę tworzą kod.

    1. Awatar o_O
      o_O

      Jeszcze gorzej w windows, gdzie jak opłacisz jednego programistę, to już nikt przez wieki nie znajdzie backdoora, którego podłożył.

      Jeśli uważasz, że to zdarzenie odbije się na renomie bezpieczeństwa Open Source, to jednocześnie stwierdzasz, że Closed Source utraciło całkowicie jakiekolwiek zaufanie jeśli chodzi o bezpieczeństwo.

      W Closed Source takie rzeczy jest zrobić 100x łatwiej i zapewne NIKT NIGDY o tym nie usłyszy.

      1. Awatar krzabr
        krzabr

        Closed Source to jedno , ja mówie o dwóch komercyjnych pobojowiskach FreeBSD i Linuxie gdzie włożyć taki kod będzie 10 razy łatwiej niż np w OpenBSD , dlatego już teraz trzeba omijać te 2 chore zjawiska szerokim łukiem i zastosować otwarty system tworzony przez społeczność dla społeczności.

        Minix lub DragonFlyBSD

      2. Awatar Beholder
        Beholder

        > jak opłacisz jednego programistę, to już nikt przez wieki nie
        > znajdzie backdoora, którego podłożył.

        „Opłaconemu” programiście można wstawić do umowy klauzulę, np.: „wstawianie jakichkolwiek backdoorów do kodu powoduje konieczność zapłacenia przez Wykonawcę kary 10 mln USD”.

        Czymś takim nie można zagrozić „ochotnikowi”, który robi darmo, na zasadzie: „jak komuś coś nie pasi, to nie musi korzystać”.

  27. Awatar Devil
    Devil

    Hej

    W Windows takie dziury są oficjalnie i nawet sam MS kiedyś przyznał, że rząd USA ma dojścia do Windows.

    IMHO jeżeli jest to prawda to tylko kolejny dowód na to, że to, że x osób przegląda kod nie znaczy, że kod jest przez to bezpieczniejszy.

    Devil

    1. Awatar Bartłomiej Krawczyk
      Bartłomiej Krawczyk

      Dokładnie – ale jak widzisz jest tu kupa niedowiarków, która twierdzi, że np. MS i Apple tak dobrze zarabiają, że nie skalałyby się takimi układami z rządami państw 😀

      Jest to jedynie dowód na to, że nie wszystko da się łatwo znaleźć. Jest prawdopodobieństwo, że taki ogólnodostępny kod _może_ być bezpieczniejszy niż zamknięty. Co wcale nie znaczy, że musi. I tyle.

      1. Awatar -X-
        -X-

        Te niedowiarki to są ludzie skrajnie naiwni, wyznający bardzo uproszczony obraz świata, np. zakładają, że służby działaja w myśl schematów z filmow o Jamesie Bondzie, tzn. gdy trzeba coś zrobić wysyłają przystojnego zabijakę, który złomocze wrogów, zaliczy panne i wróci do domu łodzią podwodną.

    2. Awatar konski_pytong
      konski_pytong

      ba raczej znaczy, ze nie jest bezpieczniejszy, bo każdy przebieglejszy może zaproponować zmianę.. pora wykreślić kolejny mit, mowiący, że linux/czy cokolwiek innego jest bezpieczniejsze niż Windows

      1. Awatar o_O
        o_O

        "Każdy przebieglejszy" raczej nie będzie umiał oprogramować kernela, czy to Linuksa, czy windowsa.

        A ten co umie, jest opłacony przez kogoś, komu na luce zależy.

        Teraz trudne zadanie: POMYŚL:
        1) Tak samo można opłacić pracownika microsoftu.
        2) Kodu, który on doda już nikt nigdy nie ma szans zobaczyć, bo jest zamknięty.
        3) Argument windowsiarzy: "przecież kto by się przejmował 1% rynku!! hurr durr". Idąc tym tokiem rozumowania, to skoro ktoś się przejął i dodał backdoora w tak niszowym openbsd, to pomyśl jaka masa backdoorów została dodana w ten sam sposób do windowsa.
        4) Pracownika microsoftu łatwiej przekupić niż kodera open source, bo ten pierwszy z definicji robi to tylko dla kasy.

        Jeszcze ci się nie dymi z głowy?

        1. Awatar -X-
          -X-

          Dodać można, że jak ktoś unika Windowsa na rzecz BSD, to władza może mieć wiekszą ochotę mu sie przyjrzeć, więc argument z niszowością nie ma sensu. Spamerzy, właściciele botnetów to inna branża, a rząd to inna. Rząd nie oleje 1% maszyn za niszowość bo cała opozycja albo inne państwa mogą na nich pracować.

          A co do przekupstwa pracownika, to przecież może sie to odbywać na poziomie służby -firma. np. MS może dostać pracownika ze służb i nikt nie jest przekupywany. MS ma spokoj z antymonopolem, a rzad ma bacdkora. Z dziennikarzami tak się robiło, robi się tak i z inżynierami.

          1. Awatar krzabr
            krzabr

            Ma sens bo dla linuxa 90% kodu piszą prywatne firmy którym takie luki mogą być na rękę , za to np. w minixie do takich sytuacji prędko nie dojdzie bo to malutki , bezniszowy os i nie ma po co tam tworzyć backdoora , tym bardziej że luka dotyczyła jednego z narzędzi chętnie stosowanego w innych osach czy nawet programach , a nie samego kernela OpenBSD.

  28. Awatar frostbite
    frostbite

    Krzabr, dobrze prawisz. Pozwól, niech poleję Ci wódki.
    Ciekawę jak sprawa wygląda w Solaris-ie… Aż strach pytać.

  29. Awatar nth
    nth

    Okazuje się, że Greg Perry (autor pogłosek o backdoorze) w czasie, gdy backdoor rzekomo był implementowany, w ogóle nie pracował już w firmie, która miała go implementować: http://marc.info/?l=openbsd-tech&m=1292440459…

  30. Awatar klajok
    klajok

    Wojna na słowa rozgorzała na dobre. Mimo to polecam przeczytanie odpowiedzi programisty zamieszanego w tę “aferę”:
    http://marc.info/?l=openbsd-tech&m=1292440459…

    [Chciałem "zgłosić" ten nius, ale nie chce mi się rejestrować w systemie]

    1. Awatar blinkkin
      blinkkin

      Lepiej by było zamieścić odnośnik do całego wątku na liście dyskusyjnej w newsie: http://thread.gmane.org/gmane.os.openbsd.tech/225…

  31. Awatar klajok
    klajok

    Wojna na słowa rozgorzała na dobre. Mimo to polecam przeczytanie odpowiedzi programisty zamieszanego w tę „aferę”:

    http://marc.info/?l=openbsd-tech&m=129244045916861&w=2

  32. Awatar darekry
    darekry

    zaletą OS, jest fakt, że teraz ter ewentualne backdoory zostaną usunięte, podczas gdy w softcie komercyjnym nie dałoby się ich usunąć, nawet jakby były potwierdzone.

  33. Awatar balrog
    balrog

    "Ponieważ stos IPSEC z OpenBSD jest darmowy, został użyty w wielu projektach i produktach."

    Nie dlatego, że jest darmowy, tylko dlatego, że jest swobodny i otwarty. Free można tłumaczyć tak albo tak, ale tylko jedno tłumaczenie ma sens w tym wypadku 🙂

    1. Awatar Sławek
      Sławek

      Komputery PC też nie zdobyły swojej popularności, bo były darmowe(chociaż w zasadzie były bardzo tanie), ale w związku, że były otwarte.

      1. Awatar o_O
        o_O

        Szkoda tylko, że pociągnęły za sobą do sławy takie szambo jak dos i windows…

        1. Awatar krzabr
          krzabr

          Windows NT od początku był oparty na OpenVMSie mało znanym aczkolwiek dobrze zaprojektowanym systemie na klastry , więc o szambowatości zasad projektowych nie ma co mówić , problemem był od początku model tworzenia i dystrybucji Windowsa , zamknięty , dostępny tylko dla nielicznych , lobbystyczny i wyciągający za ciężką kasę pieniądze z ludzi i małych firm.

          1. Awatar el.pescado
            el.pescado

            Nie był oparty, co najwyżej luźno wzorowany (oba systemy wszak były projektowane przez jedną osobę).

          2. Awatar krzabr
            krzabr

            Emulowałem VMSa i jego podobieństwa ze wczesnymi NT były bardzo duże , więc Cutler nie tylko przeniósł rozwiązania ale jak dla mnie stworzył bardzo zbliżony projektowo system.

            Na marginesie znalazłem coś takiego na Amerykańskiej wikipedii , ciekawe ile w tym prawdy :

            Cutler had been developing a follow-on to VMS at DEC called Mica, and when DEC dropped the project he brought the expertise and around 20 engineers with him to Microsoft. DEC also believed he brought Mica's code to Microsoft and sued.[3] Microsoft eventually paid US$150 million and agreed to support DEC's Alpha CPU chip in NT.

          3. Awatar el.pescado
            el.pescado

            Emulowałem VMSa i jego podobieństwa ze wczesnymi NT były bardzo duże

            A ja używałem komercyjnych Uniksów i ich podobieństwa z Linuksem też były bardzo duże, co jednak nie świadczy o tym że Linux jest oparty na Uniksie. Inspiracje są jednak dobrze widoczne.

          4. Awatar Budyń
            Budyń

            @krzabr

            Bredzisz w kwestii kosztów – MS z tego żył i żyje, że oferował na pewnym wycinku rynku prawie tyle co komercyjne Unixy ale za ułamek ułamka ceny komercyjnych Unixów.

          5. Awatar krzabr
            krzabr

            To było dawno temu obecnie można bez problemu postawić za darmo w firmie linuxa czy BSD za darmo które mają co najmniej zbliżone możliwości do Windows Server , a jak tego komuś mało zawsze może wziąść komercyjny support chociażby od RH , Novella czy iXi

  34. Awatar doominic
    doominic

    Czy może ktoś tak przypadkiem przetestował te backdorowe możliwości w OpenBSD ??. Jako byle user chciał bym mieć jakiś sensowy dowód, bo sam czytanie że gdzieś tak jest jakaś furtka to trochę za mało.

  35. Awatar gielo
    gielo

    Czy IPSEC to projekt open source ? czyli o otwartym kodzie ? Bo przeglądając różne fora i blogi jakoś ciężĸo mi to stwierdzić jednoznacznie. To że jest darmowy to wiem ale darmowy nie znaczy open source.

  36. Awatar BigMaxxx
    BigMaxxx

    Już wiem że nie przesiądę się z Linuksa na BSD. A używam Fedory i niby SELinux jest tworzony przez NSA?
    Tak czy siak, pomimo tego co niektórzy z Was piszą, uważam że otwarte źródła gwarantują bezpieczeństwo, bo np. jest wielu hackerów którzy chcą shaczyć potencjalne serwerki na linuchach i sobie przeglądają przeróżne kody (tak sobie – ja laik wyobrażam to!) a jeśli znajdą backdoora to w końcu jęzor przecież ludzki nie jest sztywny jest mięki i giętki i taki hack-man powie koledze, kolega pochwali się koledze kolegi i bratu, ten powie reszcie, wiadomo open source i się rozejdzie. BSD to bsd, a Linux i Open Source to jednak co innego. Piszecie o bsd jakby to były otwarte źródła (niektórzy z was na tej podstawie twierdzą że open source jednak nie jest bezpieczniejsze od windy) – bzdura imho, bo przecież bsd nie ma otwartych źródeł.

    1. Awatar Vlad
      Vlad

      ma bardziej otwarte zrodla niz Linux synku

      1. Awatar BigMaxxx
        BigMaxxx

        Nie przypominam sobie by łączyły nas jakieś więzi pokrewieństwa. Licencja BSD o ile pamiętam (nie chce mi się wgłębiać) to zamknięte źródła, właśnie dlatego podobno jest tak atrakcyjna dla softu komercyjnego i ma być dlatego bardziej atrakcyjna niż licencja na której jest Linux.
        Jestem laikiem w tym względzie, natomiast wiem jedno – nie ufam zamkniętym źródłom, to jest kolejny powód by korzystać z Open Source. Minusujcie dalej 🙂
        Prawda jest taka, że Linux od BSD jest zwyczajnie lepszy (choćby obsługa sprzętu) i wielość rozwiązań (a także ich jakość) no i teraz też bezpieczeństwo. W czym niby ma być BSD lepsze? System portów – ok bardzo fajne rozwiązanie, ale to za mało dzisiaj by konkurować z Linuksem, bo jak już wiemy mit bezpiecznego open bsd to bajka. Nie instalowałem nigdy open bsd, tylko free bsd i pc bsd, obydwa są fajne, ale jednak Linux lepiej się sprawuje na desktopach 🙂

        1. Awatar o_O
          o_O

          BSD ma otwerty kod. Różni się od Linuksa (GPL) tym, że możesz sobie ten kod wziąć do swojego projektu i go zamknąć, czyli nie udostępnić poprawek.

          Ale samo *BSD nadal jest w pełni otwarte i przyjmuje tylko otwarte patche.

          1. Awatar krzabr
            krzabr

            Mało tego BSD dla wielu jest badziej otwarte od GPL bo nie zmusza nikogo do używania danej licencji jak w przypadku GPL.

        2. Awatar Bartłomiej Krawczyk
          Bartłomiej Krawczyk

          Poczytaj najpierw o licencjach, o których się wypowiadasz. W ogóle postaraj się bardziej orientować w temacie, na który się wypowiadasz, bo śmieszne komentarze piszesz 🙂

        3. Awatar piter
          piter

          Zastanawia mnie po co zadajesz sobie trud pisania bredni na temat o którym nie masz pojęcia, przyznając się w tym samym zdaniu do tego. Powiem więcej – większych BZDUR w jednym zdaniu dawno nie czytałem. Piszesz jawnie "jestem laikiem w tym względzie", "Licencja BSD (…) to zamknięte źródła" i "nie chce mi się wgłębiać" – krótko mówiąc wypisujesz tutaj bzdury podobnego kalibru jak człowiek wchodzący na sympozjum fizyki kwantowej oświadczający "Panowie, jestem totalnym ignorantem w dziedzinie fizyki kwantowej, fizyka kwantowa mówi mi tyle co mechanizm rozrodu pantofelka, czyli nic, ale powiem wam że bredzicie i nie ufam wam ani na milimetr. Co więcej, cała ta wasza fizyka kwantowa to stek bzdur"

    2. Awatar Sławek
      Sławek

      BSD jest rodzajem licencji, ale także całą rodziną Uniksopodobnych systemów operacyjnych. BSD zostało zamknięte(wg. mnie sędzia, który na to zezwolił powinien smażyć się w piekle, gdyż pozwolił korporacji na darmowe zagarnięcie czyjejś pracy), ale ludzie i tak napisali OpenBSD, FreeBSD – nie potrafię powiedzieć, czy tworząc fork ze starszych wersji czy pisząc od początku.

    3. Awatar krzabr
      krzabr

      Linux paradoksalnie ma więcej zamkniętego softu niż BSD :
      http://www.google.pl/search?q=binary+blobs+in+lin…

      I "zamknięte" BSD :
      http://www.freebsd.org/cgi/cvsweb.cgi/ http://cvsweb.netbsd.org/bsdweb.cgi/?only_with_ta… http://www.openbsd.org/cgi-bin/cvsweb/ http://www.dragonflybsd.org/download/

    4. Awatar Neonique
      Neonique

      Wiem, wiem że to prowokacja, ale mimo wszystko:
      Co to za pierdoły? BSD ma otwarte źródła i w dodatku łatwo dostępne. Pierwsze zdanie z Wikipedii o licencji BSD:
      [blockquote]Licencja BSD (Berkeley Software Distribution License, BSDL) – jedna z licencji zgodnych z zasadami Wolnego Oprogramowania.[/blockquote]

      Co do to niektórym wydaje się, że jak coś zostało napisane w internecie to jest to prawda bo przecież można ją sprawdzić w internecie. Samo rzucenie oskarżenia nie dowodzi winy. Mam tylko nadzieję, że ci co się dziś spełnili czytając tę informację nie sięgną po żyletki jak już się okaże, że to prowokacja była.

  37. Awatar BigMaxxx
    BigMaxxx

    cenzura tu kwitnie. Prawda boli. Olewam od tej pory ten gówniany serwis

    1. Awatar robert plant
      robert plant

      a co chciales napisac?

  38. Awatar Bartłomiej Krawczyk
    Bartłomiej Krawczyk

    Co się stało z komentarzami?

  39. Awatar asymon
    asymon

    ludzie, co wy się jakimiś niszowymi systemami przejmujecie:

    http://wyborcza.pl/1,75478,8634123,Milion_billingow.html

  40. Awatar Argon
    Argon

    Nieładnie plotki powtarzać, nieładnie. Proszę:
    http://www.readwriteweb.com/enterprise/2010/12/update-openbsd-backdoor-seems.php
    Dla leniwszych:

    While auditing OpenBSD code, Marsh Ray discovered one serious bug that was fixed in 2002 without disclosure. However, as Ray wrote on his blog, this bug does not „meet the criteria for a malicious backdoor.” The bug was found in code created by Angelos Keromytis, a major contributor to OpenBSD who never worked at NETSEC.

    I dalej:

    The code audit improved the overall security of OpenBSD and proved that it is indeed one of the most secure operating systems available.

    I po co siać kolejny FUD? Żeby ludzie przestali używać OpenBSD, „bo coś usłyszeli”? Może to kolejna wersja „Get The Facts”? 😀

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *