OpenBSD: падение с крутых вершин

Abdula аватар

OpenBSD - ОС или троян?Долгие годы операционная система OpenBSD являлась непревзойденным эталоном безопасности, надежности и стабильности. Собственно, такой она задумывалась изначально, и труд ее создателей увенчался заслуженным успехом и снискал уважение многомилионной армии ее пользователей, и не зря - за всю ее историю не было ни одного взлома системы (исключая случаи неграмотной настройки). Поэтому серьезные организации, для которых безопасность информации стояла во главе угла в треугольнике "безопасность - стоимость - удобство" , для своих проектов неизменно выбирали OpenBSD.

И на этом безоблачном фоне новость, появившаяся в Интернете, явилось громом с ясного неба. Ее полный текст приводим в нашей заметке.

---
В письме, адресованном лидеру разработки проекта BSD Тео Де Раадту, бывший технический директор компании NetSec Грегори Перри утверждает, что ФБР США обратилось к программистам компании с просьбой о создании нескольких бэкдоров для операционной системы с открытым кодом OpenBSD. В частности, предлагалось создать бэкдоры для криптографической среды, используемой в популярной операционной системе, правда, все эти события имели место около 10 лет назад.

Перри говорит, что компании NetSec пришлось подписать соглашение о неразглашении, но сейчас срок его действия истек, что позволяет привлечь внимание независимых программистов, участвующих в создании OpenBSD, к проблеме. В своем письме Перри высказывает предположение о том, что американское агентство по передовым научным разработкам DARPA, скорее всего, знало о наличии бэкдоров и поэтому не стало инвестировать несколько миллионов долларов в 2003 году в создание кодов для OpenBSD.

"Я хотел, чтобы все узнали, что ФБР развернуло несколько лазеек и обходных механизмов в OCF, чтобы иметь возможность отслеживать некоторые сайты и механизмы шифрования данных в VPN-сетях. За написание систем отвечала организация EOUSA, аффилированная с ФБР США, - пишет Перри. - Это (встраивание бэкдоров) также, вероятно, является причиной, по которой DARPA отказала в финансировании. Они наверняка знали о планах ФБР и не хотели создавать каких-либо производных проектов на базе того же кода".

Данное послание стало общедоступным, после того, как Де Раадт отправил его текст в список рассылки для пользователей и разработчиков OpenBSD. Де Раадт сегодня сообщил, что не будет заниматься этим вопросом лично, в то же время он сообщил, что будет настаивать на проведении аудита программного кода системы. По некоторым данным, ряд разработчиков уже начали процесс аудита стека IPSec, встроенного в OpenBSD, дабы проверить претензии Перри.

"Утверждается, что некоторые наши разработчики приняли деньги от правительства США, чтобы встроить в систему заданные бэкдоры. Поскольку, мы первыми опубликовали в открытом доступе исходники стэка IPSec, то за 10 лет практически весь его код уже был изменен и обновлен. За последние 10 лет IPSec прошла через множество изменений, поэтому неясно, являются ли данные обвинения истинными", - пишет Де Раадт.

До сих пор система OpenBSD характеризовалась как одна из самых безопасных, а стабильность и надежность кода программисты OpenBSD ставили во главу угла. В том случае, если сам бэкдор или его следы будут найдены в системе, то это станет сильнейшим ударом по авторитету ОС.

Источник

---
Таким образом, в очередной раз подтверждается старая истина, которую некогда своеобразно изрек всенародно обожаемый Мюллер - "(c) Верить никому нельзя, мне - можно".
Что аспекте наших проблем означает: доверять какой-либо системе (операционные системы, криптография и т.д.) можно только тогда, когда вы ее написали сами.

Ваша оценка: Ничего Средняя оценка: 8.7 (9 votes)
Chawoosh аватар

Очень старая новость, Амрулло! Можно сказать - старость...

Через пять минут:

Минувшим вечером один из разработчиков OpenBSD, некий Джейсон Райт (Jason Wright), очень недвусмысленно отреагировал на появившиеся на днях слухи о том, что в реализации IPsec содержатся закладки от американской правительственной организации - ФБР.

История началась с письма лидеру OpenBSD Тео де Раадту от Грегори Перри, занимавшегося разработкой криптографического кода в OpenBSD много лет назад. В своем сообщении он обвинил во внедрении зловредного кода Джейсона Райта. От Джейсона же последовал ответ, в котором просит Грегори держать свои домыслы подальше.

Джейсон Райт в почтовой рассылке openbsd-tech, отвечая на письма Тео, четко заявил, что «не добавлял никаких бэкдоров в операционную систему OpenBSD и OpenBSD crypto framework (OCF)» (I will state clearly that I did not add backdoors to the OpenBSD operating system or the OpenBSD crypto framework (OCF)). Кроме того, тот код, которым занимался Джейсон, по большей части относится к драйверам устройств.

Также Джейсон сообщил, что во время разработки OCF не работал в NETSEC, которая, по слухам, сотрудничает с ФБР.

Джейсон Райт полностью поддерживает идею аудита кода OpenBSD.

Ну и что троли линуксятники !
прошло уже очень много времяни с публикации а бекдоры так и небыли найденны
ищите ищите в исходниках

Так может быть их там простонет, потому и не нашли

RSS-материал