Опубликовано опровержение слухов о бэкдорах в OpenBSD

> Хм. Если все так плохо, почему же мы не видим реального использования таких уязвимостей в жизни? На бумаге все хорошо смотрится, но это теория и на бумаге.

:-) всё ещё хуже. Вам StuxNet мало для паранойи? Разжевать?

Пока хватает и лёгкого вооружения. Везде внедрено легкоуязвимое ПО (windows) зачем до срока раскрывать возможности если хватает того что сами дают?

Кто вам сказал что их не используют?

Некоторые корпорации против GNU/Linux не только из-за потеряных сверхприбылей, но и по причине качественной криптозащиты (потенциально). Кто не знает позиции MS в системе безопасности США рекомендую поинтересоваться. Как эта убогая универсальная программа (W*) получила одобрение таких монстров как ЦРУ,АНБ и МО США? Даже пытались изобразить корабль под её управлением. Чтобы под эту рекламу остальные долбаки её себе ставили. Ну это из области предположений и принципа экономии мышления. Это было бы логично. Если это не так то американцы ещё глупее чем кажуться.

кажутся.

>Кто вам сказал что их не используют?

А были случаи? Я не помню.

> А были случаи? Я не помню.

Владимир Владимирович?! Ну если и Вам не докладывают, то мне точно ничего не светит.

«Excellent! Let's make some LSD!»

-- Fringe

Как врут очевидцы и прочие злые языки, интернет в Ираке «лег» примерно за час до начала второй иракской войны. За что купил, за то и продаю.

Опять же, почитайте про SkipJack во встроенным бэкдором. А не пользуются бекдорами потому, что обычно в реальной жизни почти нет информации, которую можно получитоь только перехватом трафика и прочими криптоаналитическими методами. Социальная инженерия и прочие «полезные идиоты», которые сливаю информацию тому же wikileaks гораздо эффективнее.

>Владимир Владимирович?!

Да не, для вас просто Господин Президент =)

Ой не знаю, не знаю. На счет Венды и прочего close soft'а - пускай так. На счет *BSD и Linux вряд ли.

Надо учитывать что такие же «не дураки» и пишут эти ваши бзд и линуксы и едва ли допустили бы ошибки, или стали бы их внедрять, а кто-то бы их случайно не обнаружил. С другой стороны столько кода, столько кода. Запутаться уже не мудрено. Особенно в этих ваших линуксах.

Бекдор — это не обязательно что-то встроенное специально. Это может быть и просто использование особенностей реакции системы на специально подготовленные внешние воздействия. Security hole — это тоже своего рода бэкдор. И в линуксе и фирибзде эти дыры периодически находят и затыкают. Впрочем как и в коммерческом софте.

Проблема в том, что сложность современных систем уже стала превышать порог их понимания. Поэтому дыр становится больше.

Собственно, именно открытость СПО, обеспечивающая доверие и повышает шансы внедрения бекдора и длительное его использование. Это как в анекдоте про Чампаева, англичан и покер — «Ну тут мне фишка-то и поперла!».

можно.. минимум раз в год.. а есть инфа, что до этого он не проводился несколько лет?

I will point out that Greg did not even work at NETSEC while the OCF development was going on.

--- Также Джейсон сообщил, что во время разработки OCF не работал в NETSEC, которая, по слухам, сотрудничает с ФБР.
+++ Также Джейсон сообщил, что во время разработки OCF Грегори Перри не работал в NETSEC, которая, по слухам, сотрудничает с ФБР.

хорошую волну подняли

Ложечки нашлись, но осадок остался... ©

> Как врут очевидцы и прочие злые языки, интернет в Ираке «лег» примерно за час до начала второй иракской войны. За что купил, за то и продаю.

Для этого вовсе необязательно использовать какие-то бекдоры.

где нашлись? тут слово одного мудака, у которого закончилось NDA, против слова другого мудака, у которого ещё не закончилось. «ложечки найдутся(или нет)» только после тчательной проверки, которую, похоже, никто и проводить не собирается(такая вот, понимаешь ли, секурность).

>тчательной

тщательной, конечно же.

кто говорит? имя, адрес? Торквемада не дремлет

> где нашлись?

Классику нужно знать.

- Спокойно. Спокойно. Секундочку. Никто никого не ругал. Все приседали, как макаки. Я перепутал. И КЦ это я привез.

- Какое КЦ?

- Ну спичку, которую ты вынул из шапки.

- Не было спички! Дядя Вова, что ты, родной!

- Извини, я забыл. Не было спички.

- Не было.

> I did not add backdoors to the OpenBSD operating system or the OpenBSD crypto framework ...

I did not have sexual relations with that woman. (Bill Clinton)

Раз уж ты вспомнил о Билле КЛинтоне - не в его пользу было показано платье с пятнами. Так может и ты покажешь, где тот бэкдор?

PS. Никто из вас так и не заметил, что ТС написал фамилию Тео с ошибкой.

> Я уж не говорю о всем известном наборе SHA - начальных значений от ФБР, которое заёт возможность не за 100 лет а за пару часов расшифровать ваши типа шифрованные недоразумения.

Вы сами это придумали, или можете сослаться на известный источник?

Далее наш ГОСТ тоже, как ни странно у нас один начальный набор, а от них этот же алгоритм имеет другой набор начальных данных.

Да, в ГОСТе S-Box'ы задаются как параметр алгоритма.

Отрубить все линки наружу не всегда достаточно, говорили, что и связность внутри удалось порушить. Впрочем — это все слухи.

Всё же более дешёвые способы, вроде взрыва немногочисленной электростанции и применения других «глушилок», кажутся более действенными в той ситуации.

Ещё одна история пиара Тео. В итоге выиграют все: и ФБР которое будет туманно надувать щёки, и Тео который получит аудит кода и докажет что его OBSD труЪ.