Ядро почти на пятую часть (afaik) написано редхатовцами. Если бы они начали грязно играть, это уже давно выплыло бы.

Да да, в демократических странах представителей спецслужб с порога корпораций гонят вонючими тапками Столлмана.

Ога....

Achtung!

>A теперь вопрос, от какой бсд IPSEC-стек используется в других ОС, в частности, в венде?

//fix

>По его заявлению, ФБР разработала ряд бэкдоров и механизмов утечки ключей в подсистеме шифрования OpenBSD, предназначеных для мониторинга системы шифрования VPN.

А пафос! Пафоса то сколько! Да кому эта OpenBSD нужна?

очень интересно, вот вам и хваленный OpenBSD

Pay attention to security problems and fix them before anyone else does. (Try to be the #1 most secure operating system.)

http://www.openbsd.org/goals.html

к сожалению не в курсе, как это делается в серьезных конторах.

В серьёзных компаниях это делается через подписывание бумажек у сертифицированных контор, следование различным гостам/регламентным документам и т.п. Т.е. никак.

silw> Кто способен дать гарантию, что система аудита кода в Дебиане предотвращает попадание закладок в апстрим? При их огромной пакетной базе, кто-то постоянно проверяет все миллионы строк кода?

А теперь угадай, почему дебиан так долго выходит ;)

Шапка дорожит своей репутацией

Описание попытки внедрить дыру в ядро Linux. http://anticopyright.ru/wiki/Wait4%28%29

> Разраб опроверг уже.. http://blog.scottlowe.org/2010/12/14/allegations-regarding-fbi-involvement-wi...

Если я правильно понял, Scott Lowe это не разраб. В письме он упоминается как «a well respected author in virtualization circles who also happens top be on the FBI payroll, and who has also recently published several tutorials for the use of OpenBSD VMs in enterprise VMware vSphere deployments». И там утверждается, что он неслучайно вроде как пропогандирует использование OpenBSD, потому как сам связан с ФБР.

Ну а по приведённой Вами ссылке, сам Скотт Лове в своём блоге как раз оправдывается, что дескать никакой он не агент ФБР и никакого к ним отношения никогда не имел. В частности он предполагает, что в письме шла речь о другом Скоте Лове, и дает ссылку на свою бложную запись 2008 года, где описывает свою озадаченность возникновением своего одновременно тезки и однофамильца, который пишет для TechRepublic.

это несколько уменьшает количество возможностей, но отнюдь не исключает.

прикольно

>>Или скажешь, что для ФСБ у Боллмера одна Винда, а для магазинов другая?

Утверждать обратное - значит назвать Балмера идиотом.

Он был бы идиотом, если бы так делал.

1. Зачем Баллмеру компьютеры хомячков? А вот компьютеры госструктур - куда профитней.

2. Допустим, для ФСБ он показал идеальный код без закладок, а потом подсунул (или госструктуры сами купили в мгазаине/у поставщиков) «Винду для всех» (с закладками). А тут рааааз, и внеочередная проверка кода, допустим. И выясняется, что таки есть закладки. Зачем Боллмеру такой головняк и потеря рынка?

> Смахивает на чёрный пиар.

на чёрный юмор скорее

а где ты возьмешь код для аудита? Правильно, тебе его даст Балмер. Угадай с трех раз, будут ли в нем закладки? А если они получат его из других источников, то балмер всегда сможет обвинить их в нарушении законодательства, ибо дезассемблирование и реверс инжиниринг запрещены лицензией.

>Шапка дорожит своей репутацией, в отличие от OpenBSD team. Ядро почти на пятую часть (afaik) написано редхатовцами. Если бы они начали грязно играть, это уже давно выплыло бы.

Майкрософт и Яблоко тоже дорожат и даже Оракл. И чо? Так вот, что б дела делать - нужно договариваться во имя светлой идеи «борьбы с терроризмом».

Пятую часть кода? Т.е. 20% всего-то? Хм. А за остальные 80% они спокойны? Гарантируют, что там нет закладок?

И что выплыло бы? Кто 3 ляма строк кода смотреть будет? А даже если посмотрит - прям так сразу и разглядит? Глаза не замылятся, учитывая, что по приведенной в треде ссылки на попытку внедрения, вся суть бекдора сводилась в небольшом значке на С++, который чудом заметили.

P.S. Возникает вопрос - на каких условиях Линус получил паспорт и другие профиты.

P.P.S. Из всех дистростроителей я бы обратил особе внимание на Марка. Уж очень большой проныра и хочет повелевать хомячками - значит закладки может внедрить.

>1. Зачем Баллмеру компьютеры хомячков?

На пенсии ботнеты разводить :-D

2. Допустим, для ФСБ он показал идеальный код без закладок, а потом подсунул (или госструктуры сами купили в мгазаине/у поставщиков) «Винду для всех» (с закладками). А тут рааааз, и внеочередная проверка кода, допустим.

И снова у Балмера просят код, и снова он дает «чистые» сорцы. И все счастливы.

>В системах с малой пользовательской базой, не имеющих производных opensource-проектов (а проприетарщики могут и не делиться результатами аудита, тихонько закрыв дыру только у себя), к которым относятся практически все нынешние *BSD-системы, с «внешним» аудитом все очень печально. Это один из ключевых факторов, определяющих относительную редкость нахождения дыр в таких системах.

Ты слышал о неком Линуксе, в котором до недавнего времени можно было отправлять анонимные патчи, а в разработке участвовали все кому непопадя?

>Майкрософт и Яблоко тоже дорожат и даже Оракл.

Спасибо, поржал.

Если M$ и дорожит репутацией, то это репутация самой криворукой быдлокодерской конторы, свински имеющей своих пользователей. И для поддержания это репутации они регулярно добавляют баги, дыры и закладки.

Что касается яббла и оракла, то у них остается лишь

свински имеющей своих пользователей

поэтому они добавляют только закладки.

Ну я слышал о Linux (иногда мне кажется, что я тут такой единственный). И к чему это привело? Кого поломали, кого уязвили?

>Ты слышал о неком Линуксе, в котором до недавнего времени можно было отправлять анонимные патчи

За всю историю Линукса был только один анонимный патч (на wait4()), но его оперативно нашли и выкинули, так что ни в один релиз он не попал.

а в разработке участвовали все кому непопадя?

У Линукса есть разработчики, у БСД их нет. А завидовать нехорошо.

>>Шапка дорожит своей репутацией

Описание попытки внедрить дыру в ядро Linux. http://anticopyright.ru/wiki/Wait4%28%29

Это «шапка» сделала? Или ты тупой? Или я?

Похоже кто-то придумал как нахаляву провести полный аудит кода подсистемы IPSEC...

>Ну я слышал о Linux (иногда мне кажется, что я тут такой единственный). И к чему это привело? Кого поломали, кого уязвили?

А в OpenBSD к чему это привело?

А какие-нибудь автоматизированные средства для этого есть?

Галимый чОрный пиар. Подумайте мозгом кому нужна OBSD, что бы так целенаправленно разведки внедряли туда бэкдоры. Оно ведь стоит на компах редких гиков.

>Подумайте мозгом кому нужна OBSD, что бы так целенаправленно разведки внедряли туда бэкдоры. Оно ведь стоит на компах редких гиков.

В свое время ее разработку спонсировал DARPA. Видимо, тогда виды на ее будущее были гораздо лучше. Но BSDL, что делать-с...

> а где ты возьмешь код для аудита? Правильно, тебе его даст Балмер.

Код WRK можно скомпилить и он говорят, даже работает.

Да, это только ядро, конечною

>В свое время ее разработку спонсировал DARPA.

OBSD дапра не спонсировала.

Видимо, тогда виды на ее будущее были гораздо лучше. Но BSDL, что делать-с...

Я тебя понимаю, тебе не понять, почему именно BSDL. На самом деле всё просто --- BSD создавалась на деньги налогоплательщиков, поэтому её код открыт именно под этой лицензией. Сходи спроси в наши налоговые исходные коды их программ выложенных на ихнем сайте и соответственно созданных на деньги налогоплательщиков. Вместе поржом потом. Совок.

>А в OpenBSD к чему это привело?

При чем здесь OpenBSD? В OpenBSD как раз действовали профессиональные, высококвалифицированные разработчики.

>А если они получат его из других источников, то балмер всегда сможет обвинить их в нарушении законодательства, ибо дезассемблирование и реверс инжиниринг запрещены лицензией.

Можно обвинить. А можно не обвинить. Но факта-то наличия бэкдора это уже не изменит. И МС придется оправдываться, почему у них так. Оно им надо все это? Вот вы мне лучше скажите, а вы сами-то откуда знаете, что в Линуксе нет бэкдоров? Сами аудитом занимались? Точно так же поверили незнакомым дядькам. А ведь бэкдоры бывают 2-х видов: найденные и работающие. И не надо мне говорить про миллион глаз. То, что эти миллионы глаз не нашли бэкдор, не значит, что их нет вообще.

И ведь кто-нибудь напишет что-нибудь в духе «возьми да посмотри» или «а в Линуксе зато все можно посмотреть». Таким что об стенку горох.

>Я тебя понимаю, тебе не понять, почему именно BSDL. На самом деле всё просто --- BSD создавалась на деньги налогоплательщиков, поэтому её код открыт именно под этой лицензией.

Да нет, это как раз понятно. M$ и яббл тоже налогоплательщики, причем крупные, и ограничивать их доступ к таким проектам, даже в интресах других налогоплательщиков (простых юзеров), было бы аморально.

Дело в другом - какой смысл возлагать большие надежды на ось под такой лицензией?

>Можно обвинить. А можно не обвинить.

Уж M$-то первым делом во врага вцепится, пофигизма/терпимости в них ни на грамм. В результате целый отдел ФСБ (или кого там) в полном составе выпрут на пенсию. Кому это надо?

Но факта-то наличия бэкдора это уже не изменит. И МС придется оправдываться, почему у них так.

Можно подумать, им в первый раз. «This isn't a bug, this is a feature, а кто не согласен - просим в суд, за клевету.»

>M$ и яббл тоже налогоплательщики, причем крупные

Естественно. Ровно как и ты можешь взять и использовать, как тебе захочется и под какой угодно лицензией.

Дело в другом - какой смысл возлагать большие надежды на ось под такой лицензией?

Какой смысл возлагать надежды на ОС под GPL если 90% кода делают корпорации, на которые разведкам проще надавить, дабы те внесли в код бэкдоры. Недавние уязвимости в линуксе это показывают со всей очевидностью.

>Код WRK можно скомпилить и он говорят, даже работает.

А получаемые бинарники строго идентичны тем, которые распространяются M$ в коробочках с надписью Windows?

Если нет - значит, сорцы левые.

Как феерично! Ждем подобного про линукс, и можно спокойно ставить винду. Мы все под колпаком.

>Естественно. Ровно как и ты можешь взять и использовать, как тебе захочется и под какой угодно лицензией.

А производные продукты, созданные на базе исходного под проприетарными лицензиями, я не могу взять и использовать, в отличие от gpl. Моя свобода ущемлена. Печаль :-(

Какой смысл возлагать надежды на ОС под GPL

Очень многие надежды GNU/Linux уже оправдал, став самым перспективным и быстро развивающимся opensource проектом.

если 90% кода делают корпорации, на которые разведкам проще надавить, дабы те внесли в код бэкдоры.

Ерунда же. На крупную корпорацию давить себе дороже, она тоже давить сможет. Одна гигантская машина против нескольких других. Это только фанатиков-одиночек можно щелкать, как гнилые орехи.

И самое главное - репутация корпорации стоит несоизмеримо дороже репутации какого-то одиночки.

я собственно и не говорю, что в бэкдоров в нем нет. Даже наоборот, отталкиваюсь от того, что они там есть, но лично я ничего в данном случае не смогу, так как не обладаю достаточными знанием, опытом, временем.

Да и любой здравомыслящий человек понимает, что если от продукта зависят огромные прибыли, то владелец этого продукта приложит все усилия, чтобы обезопасить свои прибыли и иметь полный контроль над продуктом. Поэтому бэкдоров в той же винде тонна, на разных уровнях. И ни для кого не будет новостью. Только если попиариться.

нет, значит просто набор библиотек, версии библиотек, компилятора и фаза луны были другими.

>>Но факта-то наличия бэкдора это уже не изменит. И МС придется оправдываться, почему у них так.

Можно подумать, им в первый раз. «This isn't a bug, this is a feature, а кто не согласен - просим в суд, за клевету.»

Поверь, если найдут закладки, то МС будет не до судов за клевету. Они просто обанкротятся.

Так что нет там закладок. Посоны за базар отвечают.

Это вам не Линукс, где всегда можно сказать: «Это опенсорс - тебе никто ничего не должен, иди в эротическое путешествие». Даже судится за закладки не с кем.

>Поверь, если найдут закладки, то МС будет не до судов за клевету. Они просто обанкротятся.

Не верю. Дырявость и затрояненность винды из коробки - это ее отличительные черты, и все, кто выбирает винду, прекрасно понимают, на что идут.

Погугли, например, по словам «microsoft coffee».

Так что нет там закладок. Посоны за базар отвечают.

Бэкдоры есть, Балмер гарантирует: " If it's vital to government, it's mission critical to Microsoft."

Это вам не Линукс, где всегда можно сказать: «Это опенсорс - тебе никто ничего не должен, иди в эротическое путешествие». Даже судится за закладки не с кем.

Если в линуксе найдут закладки, судиться можно много с кем. С редхатом, новелом, ораклом - все они выпускают продукты на базе линукса и гарантируют их полную безопасность. Причем это не шуты гороховые их M$.

>А производные продукты, созданные на базе исходного под проприетарными лицензиями, я не могу взять и использовать, в отличие от gpl.

В чём же печаль? Люди взяли код, вложили свои бабки, на эти бабки доработали под себя, хотят их отбить. Это вполне нормально. Хочешь похожую фунциональность --- говно вопрос, либо доработай сам исходный код или заплати.

Моя свобода ущемлена. Печаль :-(

Свобода на что? Поиметь результаты труда других людей? А если они этого не хотят?

Очень многие надежды GNU/Linux уже оправдал, став самым перспективным и быстро развивающимся opensource проектом.

Не спорю так оно и есть. Но, выкинь из своего дистрибутива все программы не под GPL. Что получиться? По твоему xorg Столман что ли пишет. (ни скока не уменьшая заслуг этого человека)

Ерунда же. На крупную корпорацию давить себе дороже, она тоже давить сможет.

Лол же. Зачем давить? можно просто попросить, и люди в 90% случаев согласятся без базара, ибо понимают что в ответ при нужном случае смогут попросить сами.

И самое главное - репутация корпорации стоит несоизмеримо дороже репутации какого-то одиночки.

Репутация копрорации это маркетоидный бред. «за 300% прибыли капиталисты пойдут на любые преступления» (с) К. Маркс

Вона стопицот раз бывали какие то слухи/новости что MS оставляет бэкдоры для разведок. И чё её репутация пострадала? Один хрен все гос учреждения в этой стране пользуются виндовс.

>нет, значит просто набор библиотек, версии библиотек, компилятора и фаза луны были другими.

Хорошая отмаза, но суть остается: сорцы - левые.

>>Поверь, если найдут закладки, то МС будет не до судов за клевету. Они просто обанкротятся.

Не верю. Дырявость и затрояненность винды из коробки - это ее отличительные черты

Не передергивай. Не делай вид, что не видишь разницы между уязвимостями, обнаруженными хацкерами и закладок от разработчиков.

Если в линуксе найдут закладки, судиться можно много с кем. С редхатом, новелом, ораклом

Ага, ну поди посудись. «Это не мы писали, это Вася-студент. Чем докажете, что именно мы эту часть писали? Вы хотите нас оклеветать! Вас подкупил Баллмер!».

>угадай, почему дебиан так долго выходит ;)

дебиан выходит вовремя. Мы ведь можем смело проигнорировать проблемы уб^W школьников?

И вообще продукты под GPL это лицемерие в чистом виде. Требуйте что бы нвидия и ати открыли код своих драйверов. Судитесь. Чё вы. Ваши(?) же права нарушают.

>В чём же печаль? Люди взяли код, вложили свои бабки, на эти бабки доработали под себя, хотят их отбить. Это вполне нормально.

Но чтобы их отбить, они хотят ущемить мои права - право получить качественный и безопасный продукт. Это печально.

Свобода на что? Поиметь результаты труда других людей? А если они этого не хотят?

В конечном счете получается, что я не могу поиметь результаты труда bsd-разработчиков, потому что они этого не хотят. Ведь если бы не было исходного bsd-продукта, не появился бы производный проприетарный проект.

По твоему xorg Столман что ли пишет.

Регулярно критикуемые иксы - отличный пример работы bsd-like лицензии. В свое время почти каждый вендор коммерческого юникса выпускал свою проприетарную версию иксов со своим набором вкусных фич, а их открытые аналоги пилили студенты по ночам. В результате сообщество получило уродливый протокол, изнемогающий под грудой костылей.

Репутация копрорации это маркетоидный бред. «за 300% прибыли капиталисты пойдут на любые преступления» (с) К. Маркс

Капиталисты разные бывают. Есть и те, которые дорожат своей репутацией. Особенно это важно для opensource-вендоров, тесно работающих с сообществами.

Вона стопицот раз бывали какие то слухи/новости что MS оставляет бэкдоры для разведок. И чё её репутация пострадала? Один хрен все гос учреждения в этой стране пользуются виндовс.

Монополисту на репутацию плевать.

конечно, и никто не в этом сомневаться не будет. Но доказать это публично ты не сможешь при всем желеании.

>И вообще продукты под GPL это лицемерие в чистом виде. Требуйте что бы нвидия и ати открыли код своих драйверов. Судитесь. Чё вы. Ваши(?) же права нарушают.

Разве их дрова созданы на основе открытых продуктов? (Ну разве что bsdшных.)

>Разве их дрова созданы на основе открытых продуктов?

Лол ты не знаешь мат части. Они линкуются с GPL кодом в случае линакса.

>Не передергивай. Не делай вид, что не видишь разницы между уязвимостями, обнаруженными хацкерами и закладок от разработчиков.

В винде есть и то и другое, все это знают. Так в чем значимость этой разницы в данном контексте?

Ага, ну поди посудись. «Это не мы писали, это Вася-студент. Чем докажете, что именно мы эту часть писали?

Достаточно того, что они гарантировали безопасность продукта в целом - тогда они отвечают за безопасность каждой строки кода.

>Они линкуются с GPL кодом в случае линакса.

И что?