Уязвимости в стеке IPSEC OpenBSD

Хм

Есть нечто... эмм... забавное в том, что те люди, которые так упорно хвастались качеством и безопасностью своего кода, в течение многих лет не могли найти бэкдоры у себя под носом :)

nnz (15.12.2010 9:58:32)

И кто же должен их искать? Тот самый девелопер, который их туда и вставлял?

silw (15.12.2010 10:02:20)

>И кто же должен их искать? Тот самый девелопер, который их туда и вставлял?

Его коллеги, например.
Основы безопасной разработки включают, в частности, аудит кода. Естественно, эту операцию осуществляет отнюдь не автор.

В данном случае мы имеем не только предательство разработчиком интересов сообщества (пустяки, дело житейское), но практически полное отсутствие вменяемого аудита кода. Вот это уже очень важный момент.

nnz (15.12.2010 10:07:22)

к сожалению не в курсе, как это делается в серьезных конторах. Но если во главе цепочки аудита стоит один человек, то спецслужбам не составит труда с ним пообщаться. Если же требуется верификация от нескольких источников, то как это скажется на производительности такой системы? не создаст ли это хаоса?

silw (15.12.2010 10:11:11)

И что характерно — скорее всего даже после этого эпизода OpenBSD сохранит имидж самой безопасной системы, и даже надпись «Only two remote holes in the default install, in a heck of a long time!» менять не будут.

Потому что «Не бойся дырявым быть, бойся дырявым слыть», аудит кода ничто, пиар — все.

nnz (15.12.2010 10:13:46)

>Но если во главе цепочки аудита стоит один человек, то спецслужбам не составит труда с ним пообщаться.

Любой из участников цепочки, если он не давал подписки, может забить на приказ начальства и спалить контору. Так что общаться надо со всеми, и к каждому найти свой подход. При достаточно большом сообществе это нереально.

И что важно — пользователи, которым важна безопасность, тоже могут осуществлять аудит. Такими пользователями могут быть, например, крупные компании. Я уже не говорю про разработчиков производных продуктов.

В системах с малой пользовательской базой, не имеющих производных opensource-проектов (а проприетарщики могут и не делиться результатами аудита, тихонько закрыв дыру только у себя), к которым относятся практически все нынешние *BSD-системы, с «внешним» аудитом все очень печально. Это один из ключевых факторов, определяющих относительную редкость нахождения дыр в таких системах.

>Если же требуется верификация от нескольких источников, то как это скажется на производительности такой системы?

Если они будут работать параллельно, то скорость проверки будет определяться скоростью наиболее медленного аудитора.

nnz (15.12.2010 10:22:01)

Агенты среди разработчиков OpenBSD?

http://bfolder.ru/photo/blead/oh_ved/10-0-84

emaxx (15.12.2010 10:24:08)

> Но если во главе цепочки аудита стоит один человек, то спецслужбам не составит труда с ним пообщаться.

У автора письма NDA с ФБР истёк.

Begemoth (15.12.2010 10:25:29)

Интересно, сколько в альте человек из органов?

emaxx (15.12.2010 10:34:36)

прочитал письмо. Как страшно жить. Но Грегори респект, сразу после окончания NDA сорвал покровы.

silw (15.12.2010 10:49:40)

ohlol, NDA с ФБР?))) чо реально соглашение о неразглашении?? вот так штука...а не проще было ФБР пообещать отстрелить ему яйца при любом сроке давности?

Kompilainenn (15.12.2010 12:20:41)

да все поголовно, наверняка Череп самый главный у них

Kompilainenn (15.12.2010 12:22:07)

1. На opennete новость полнее. В ней присутствует и человек, который знал об этом, но был по подпиской о неразглашении 10 лет.

2. "Вот тебе, бабушка, и opensource". Код как бы открыт, но 10 лет никто бэкдора не разглядел. Вывод = в опенсорсе никто код не смотрит: "мне некогда/не умею/лень, пусть другой парень сделает это за меня".

3. Кстати, а кто будет код ОпенБЗДи аудитить? Кто просмотрит все миллионы строчек?

4. Как думаете, посоны, сколько Линус бэкдоров запузырил в ядро за американский паспорт?

>мы имеем ////////// практически полное отсутствие вменяемого аудита кода.

Ты так говоришь, как буд-то 3 миллиона кода Линукса кто-то смотрел. Напомнить слова одного из разрабов, который так и заявил: "посоны, все это просмотреть просто нереально"?

Так что не удивлюсь закладкам в Линуксе.

Achtung!

A теперь вопрос, какой IPSEC-стек используется в других бсдишках, в частности, во фри?

fi (15.12.2010 14:01:05)

>Ты так говоришь, как буд-то 3 миллиона кода Линукса кто-то смотрел.

Есть подозрение, что их смотрели хотя бы мейнтейнеры подсистем перед коммитом.

>Так что не удивлюсь закладкам в Линуксе.

Сотрудники спецслужб не хотят писать закладки для линуха — боятся, что несвободная вирусная GPL сожрет их интеллектуальную собственность, а потом доберется до их детей :D

nnz (15.12.2010 14:06:09)

> Есть подозрение, что их смотрели хотя бы мейнтейнеры подсистем перед коммитом.

Которые могут оплачиваться заинтересованными организациями.

Begemoth (15.12.2010 14:10:33)

>Сотрудники спецслужб не хотят писать закладки для линуха

Где уверенность, что сам Линукс не пишет? Все равно никто не в силах разобрать все 3 миллиона строчек.

>Линукс

Линус же, конечно.

> в течение многих лет не могли найти бэкдоры у себя под носом :)

Вопрос в том, насколько реальны эти бэкдоры.

tailgunner (15.12.2010 14:22:13)

>Вопрос в том, насколько реальны эти бэкдоры.

Как и вопрос наличия закладок в Винде. Кстати. ФСБ получало для аудита код Винды и нормально - утвердили для использования в госучреждениях. Или скажешь, что для ФСБ у Боллмера одна Винда, а для магазинов другая?

>> Вопрос в том, насколько реальны эти бэкдоры.

> Как и вопрос наличия закладок в Винде.

Я ничего не говорил о венде.

> Или скажешь, что для ФСБ у Боллмера одна Винда, а для магазинов другая?

Я скажу, что это возможно.

tailgunner (15.12.2010 14:34:11)

>Я скажу, что это возможно.

Как возможно и то, что каждый ментйнер дистра может всунуть в свой дистр любую закладку, не смотря на святость (а святость ли?) Линуса. Не так ли?

Может Марк уже всунул столько закладок, что Винде и не снилось :(

реквестирую эксплоит

Прочеши код стека, найди нужную строку, напиши эксплойт. че сложного то?

>2. "Вот тебе, бабушка, и opensource". Код как бы открыт, но 10 лет никто бэкдора не разглядел. Вывод = в опенсорсе никто код не смотрит: "мне некогда/не умею/лень, пусть другой парень сделает это за меня".

Потому что OpenBSD никто не пользуется.

Когда системой пользуются многие, в том числе и крупные организации, коммерческие или государственные, шанс найти бэкдор больше. Потому линукс в этом плане выглядит намного лучше.

>Где уверенность, что сам Линукс не пишет? Все равно никто не в силах разобрать все 3 миллиона строчек.

Уверенности нет и быть не может, но есть простая мыслишка.
Линус вот федору юзает, которая известно на каком ядре.

А разработчики *BSD...
Если глянуть на вечные
>Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.2.12) Gecko/20101027 Thunderbird/3.1.6
>Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.12) Gecko/20101027 Thunderbird/3.1.6
>Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; en-US; rv:1.9.2.12) Gecko/20101027 Thunderbird/3.1.6
в заголовках рассылки freebsd-announce, станет понятно, что они юзают. В OpenBSD, полагаю, все точно так же.
С этими ребятами ясно — безопасность и стабильность разрабатываемых систем не являются их личными, шкурным интересами.

Стал бы Линус сидеть на своей федоре, если бы знал, что любой сотрудник спецслужб с соответствующим доступом может получить доступ к его компу? Или он каждый раз пересобирает ядро для себя, накладывая антибэкдор-патчи? :D

nnz (15.12.2010 15:01:58)

> И что характерно — скорее всего даже после этого эпизода OpenBSD сохранит имидж самой безопасной

Разумно --- это же не дыра. Это фича. "Ваша безопаснось в руках ФБР" --- из будущий слоган.

sv75 (15.12.2010 15:04:10)

>реквестирую эксплоит

0day эксплоит скачать бесплатно без смс торрент

А новость, собственно, не сильно удивила. Только вот параноиков жалко, которые до этого сидели на "безопасной системе", а теперь, наверное, рвут на себе волосы.

А ещё они хвастались, что опенбсд - самая-самая нанобезопасная ОС... Без комментариев.

uju (15.12.2010 15:10:35)

> Или скажешь, что для ФСБ у Боллмера одна Винда, а для магазинов другая?

В Майкросфте поют оду индусам. Их стараниями, сервиспакинг, виндовсупдатинг и хотфиксинг позволяют в течение 4 недель разлить новые бэкдоры на все винды по всему миру по мере необходимости :-)

no-dashi (15.12.2010 15:15:44)

Даю 100 пудов, что после этого сообщение овер9000 кинутся проверять код, но так ничего и не найдут. Ибо все уже давно выпилили.

dikiy (15.12.2010 15:16:44)

>Ибо все уже давно выпилили.

Если вообще было что выпиливать.

dikiy (15.12.2010 15:17:06)

Эпичненько. А кто подпустил парней из ФБР к коду OpenBSD?

yoghurt (15.12.2010 15:18:09)

Разраб опроверг уже.. http://blog.scottlowe.org/2010/12/14/allegations-regarding-fbi-involvement-wi...

Н-да, вспоминается история с ГПСЧ от IANA для герерации саенсовых ключей и слухи про "специфику" таблицы подстановок для ГОСТ'а.

ly (15.12.2010 15:30:05)

Скорее всего это фейк и диверсия со стороны Линуса: теперь openbsd'шники в течении долгого времени будут препарировать IPSEC в поисках несуществующей закладки и в итоге перепишут его от безысходности с нуля.

KblCb (15.12.2010 15:31:16)

nobody cares :)

yaws (15.12.2010 15:32:53)

мне интересно, а местная публика вообще читать умеет? В новости нигде не написано, что в openbsd _есть_ бэкдор. По ссылке в письмах этого тоже не написано.

Ну Debian вроде справляется хорошо с этим.

le_legioner (15.12.2010 15:40:01)

>мне интересно, а местная публика вообще читать умеет? В новости нигде не написано, что в openbsd _есть_ бэкдор. По ссылке в письмах этого тоже не написано.
Т.е. ФБР банально кинули на бабки.

WatchCat (15.12.2010 15:41:10)

Смахивает на чёрный пиар.

gandjubas (15.12.2010 15:46:05)

>вроде

Вот именно. Кто способен дать гарантию, что система аудита кода в Дебиане предотвращает попадание закладок в апстрим? При их огромной пакетной базе, кто-то постоянно проверяет все миллионы строк кода?

silw (15.12.2010 15:49:03)

Куда страшнее за код SELinux, не думаю, что RedHat не пошло на сотрудничество с ФБР, скорее они - за.

gh0stwizard (15.12.2010 15:58:49)

Теперь OpenBSD Team будет петь очень грустные песни

overmind88 (15.12.2010 15:59:37)

>Разраб опроверг уже.. http://blog.scottlowe.org/2010/12/14/allegations-regarding-fbi-involvement-wi...

У него еще срок NDA не истек, он и будет все отрицать.

>Смахивает на чёрный пиар.

Причем от самого лидера проекта.

>Куда страшнее за код SELinux, не думаю, что RedHat не пошло на сотрудничество с ФБР, скорее они - за.

Шапка дорожит своей репутацией, в отличие от OpenBSD team.

Ядро почти на пятую часть (afaik) написано редхатовцами. Если бы они начали грязно играть, это уже давно выплыло бы.

>Или скажешь, что для ФСБ у Боллмера одна Винда, а для магазинов другая?

Утверждать обратное - значит назвать Балмера идиотом.

Я тебе сейчас метрическую тонну дам, что после этого хомячки пойдуть фапать на код, тем самым создавая помехи в обнаружении настоящих лазеек.

Хоть в толксах и изошлись на слив-защётан, а факт остаётся фактом - соглашаясь использовать софт, будь спокоен, к нему всегда есть ключик с хитрый резьба по анусу.

Соответсвенно риск от использования такого ПО каждый оценивает для себя сам.

Домашнему хомаку фиолетово, коммерческому предприятию - мирное время и при отсутствии обстоятельств непреодолимой силы - очень далеко не фиолетово.

При масштабной войне - хомаку и ентерпрайзу абсолютно пох на бэкдоры, т.к. пропадает необходимость юзать софт вообще.

При стихийном бедствии - энтерпрайзу тоже фиолетово, а еще даже лучше чтоб всё накрылось медным тазом и завалить бизнес с его догами и кредитами.

RTP (15.12.2010 16:26:23)