Le FBI aurait intégré des trojans dans OpenBSD
Bonjour
A savoir info ou intox ? moi je l'ai lu ici : http://www.pcinpact.com/actu/news/60876-openbsd-backdoors-fbi-gregory-perry-theo-de-raadt.htm
Comme quoi pensé ne suffit pas , mais je trouve quand même étrange que personne n'ai remarqué cette anomalie depuis toute ces années .
A savoir info ou intox ? moi je l'ai lu ici : http://www.pcinpact.com/actu/news/60876-openbsd-backdoors-fbi-gregory-perry-theo-de-raadt.htm
Comme quoi pensé ne suffit pas , mais je trouve quand même étrange que personne n'ai remarqué cette anomalie depuis toute ces années .
Je pense pas que ce soit de l'intox...en tout cas ça fait froid dans le dos...OpenBSD qui est quand même une grosse distribution infiltré par le FBI!!Ben dis donc,si on peut plus avoir confiance en Unix/linux..où ira t on? :-? :-?
Bonjour,
J'ai lu la même chose ici mais j'ai un gros doute sur l'info. Si le framework cryptographique est en source fermé c'est pas impossible (ils en ont probablement collé un aussi dans windows) mais s'il est en open source j'ai un gros doute la dessus ou alors les devs BSD sont vraiment mauvais et on se demande comment l'os tourne.
J'ai lu la même chose ici mais j'ai un gros doute sur l'info. Si le framework cryptographique est en source fermé c'est pas impossible (ils en ont probablement collé un aussi dans windows) mais s'il est en open source j'ai un gros doute la dessus ou alors les devs BSD sont vraiment mauvais et on se demande comment l'os tourne.
Moi je me dis que pour un OS comme OpenBSD il doit y avoir des milliers et des milliers de lignes de code voir millions...donc très honnetement je me demande comment les développeurs auraient pu s'en rendre compte.....Maxime Tierre wrote:Bonjour,
J'ai lu la même chose ici mais j'ai un gros doute sur l'info. Si le framework cryptographique est en source fermé c'est pas impossible (ils en ont probablement collé un aussi dans windows) mais s'il est en open source j'ai un gros doute la dessus ou alors les devs BSD sont vraiment mauvais et on se demande comment l'os tourne.
Moi la question que je me pose,c'est pourquoi l'info (comme quoi OpenBSD contient ou contenait des BackDoors) serait une intox? Qui gagnerait à faire croire cela et dans quel but?
Plein de raisons, montrer comme ça que même l'open source ne permet pas d'assurer la sécurité du code.Pitbull wrote:....
Moi je me dis que pour un OS comme OpenBSD il doit y avoir des milliers et des milliers de lignes de code voir millions...donc très honnetement je me demande comment les développeurs auraient pu s'en rendre compte.....
Moi la question que je me pose,c'est pourquoi l'info (comme quoi OpenBSD contient ou contenait des BackDoors) serait une intox? Qui gagnerait à faire croire cela et dans quel but?
- Modifié
Euh dites si vous reprenez les commentaires de pcinpact (attention il y a du lourd au niv. trolls), vous verrez que l'on a démontré que c'est un hoax.
Malheureusement tous le sites d'infos voir même des plus classiques ont repris la news sans chercher à comprendre. Pire, après 3 jours, ils n'ont même pas pas mis de démenties.
Malheureusement tous le sites d'infos voir même des plus classiques ont repris la news sans chercher à comprendre. Pire, après 3 jours, ils n'ont même pas pas mis de démenties.
Every urban lengend is made more real by the inclusion of real names,
dates, and times. Gregory Perry's email falls into this category. I
cannot fathom his motivation for writing such falsehood (delusions
of grandeur or a self-promotion attempt perhaps?)
I will state clearly that I did not add backdoors to the OpenBSD
operating system or the OpenBSD crypto framework (OCF). The code I
touched during that work relates mostly to device drivers to support
the framework. I don't believe I ever touched isakmpd or photurisd
(userland key management programs), and I rarely touched the ipsec
internals (cryptodev and cryptosoft, yes). However, I welcome an
audit of everything I committed to OpenBSD's tree.
I demand an apology from Greg Perry (cc'd) for this accusation. Do
not use my name to add credibility to your cloak and dagger fairy
tales.
I will point out that Greg did not even work at NETSEC while the OCF
development was going on. Before January of 2000 Greg had left NETSEC.
The timeline for my involvement with IPSec can be clearly demonstrated
by looking at the revision history of:
src/sys/dev/pci/hifn7751.c (Dec 15, 1999)
src/sys/crypto/cryptosoft.c (March 2000)
The real work on OCF did not begin in earnest until February 2000.
Theo, a bit of warning would have been nice (an hour even... especially
since you had the allegations on Dec 11, 2010 and did not post them
until Dec 14, 2010). The notice I got was an email from a
friend at 6pm (MST) on Dec 14, 2010 with a link to the already posted
message.
So, keep my name out of the rumor mill. It is a baseless accusation
the reason for which I cannot understand.
--Jason L. Wright
Sur la mailinglist de BSD où il a répondu http://marc.info/?l=openbsd-tech&m=129244045916861&w=2
Pour la petite histoire, trois choses :
- au début c'est sur la base d'une simple reprise sur une mailinglist, que tout les journaux web se sont fondés. De plus connaissant Theo de réputation (pareils quant torvals utilise le mot nazi pour traiter certains commiters) ça fait marrer.
- on parle ici de l'implémentation d'une norme au sein d'un noyau, sachant comment ça fonctionne il est impossible qu'on patch un truc comme ça sans que plusieurs personnes ne regarde, vérifie, re- vérifie le code sans compter ceux qui s'occupent des dépendances et ceux qui devront gérer son utilisation. Bref grosso modo impossible de mettre quoique ce soit sans qu'une personne ne s'en rende compte sans compter que tout est documenté (vive le libre).
- Et pour terminer comme le fait remarquer ouragan dans les commentaires de pcinpact la norme IPSEC datant de 2001 est depuis devenu obsolète et incompatible avec les autres versions de bsd.
Pour la petite histoire, trois choses :
- au début c'est sur la base d'une simple reprise sur une mailinglist, que tout les journaux web se sont fondés. De plus connaissant Theo de réputation (pareils quant torvals utilise le mot nazi pour traiter certains commiters) ça fait marrer.
- on parle ici de l'implémentation d'une norme au sein d'un noyau, sachant comment ça fonctionne il est impossible qu'on patch un truc comme ça sans que plusieurs personnes ne regarde, vérifie, re- vérifie le code sans compter ceux qui s'occupent des dépendances et ceux qui devront gérer son utilisation. Bref grosso modo impossible de mettre quoique ce soit sans qu'une personne ne s'en rende compte sans compter que tout est documenté (vive le libre).
- Et pour terminer comme le fait remarquer ouragan dans les commentaires de pcinpact la norme IPSEC datant de 2001 est depuis devenu obsolète et incompatible avec les autres versions de bsd.
- Modifié
Ben merci pour les précisions Refuznik,ça rassure tout de même 8-) 8-)!!
- Modifié
stop blob ! audit the code ! don't worry, be puffy !
Tu es obligé de mettre ces images si grosses ?
Et surtout d'écrire en Anglais ? J'ai rien pigé à ton post.
Pour moi il y a deux possibilités :
- Le FBI veut vraiment avoir des backdoors dans les OS.
Clairement à leur place évidemment que je ne ferai pas un truc évident. Faut éviter de penser en petite geek au fond de la chambre du domicile familial. Une telle demande peut faire l'objet d'un vrai projet mobilisant plusieurs personnes pendant plusieurs années (le jeu en vaut clairement la chandelle).
Si on voit ca comme cela, il est évidemment possible de mettre en place du code malveillant en plusieurs patchs de telle sorte qu'ils soient tres difficiles à detecter.
Donc pour moi OpenBSD n'est pas en cause.
C'est comme dans Fedora, c'est un projet communautaire, on est obligé de faire confiance aux gens. Et comme dans tout systeme basé sur la confiance, à partir du moment où les elements malveillants sont assez nombreux popur se valider les uns les autres, le systeme de confinace est completement compromis.
- deuxieme possibilité, simplement nuire au libre.
C'est possible aussi (mais c'est qd meme moins interessants que d'avoir des backdoors de partout, mais ca coute moins cher et ca rapporte)
Apres quel autre choix pour Theo de faire suivre le mail? Trop risqué de le cacher.
C'est aussi le mode de fonctionnement du libre : j'ai une info je la donne et je balance les noms. Ca met la pression, et si ca s'avere vrai....
- Le FBI veut vraiment avoir des backdoors dans les OS.
Clairement à leur place évidemment que je ne ferai pas un truc évident. Faut éviter de penser en petite geek au fond de la chambre du domicile familial. Une telle demande peut faire l'objet d'un vrai projet mobilisant plusieurs personnes pendant plusieurs années (le jeu en vaut clairement la chandelle).
Si on voit ca comme cela, il est évidemment possible de mettre en place du code malveillant en plusieurs patchs de telle sorte qu'ils soient tres difficiles à detecter.
Donc pour moi OpenBSD n'est pas en cause.
C'est comme dans Fedora, c'est un projet communautaire, on est obligé de faire confiance aux gens. Et comme dans tout systeme basé sur la confiance, à partir du moment où les elements malveillants sont assez nombreux popur se valider les uns les autres, le systeme de confinace est completement compromis.
- deuxieme possibilité, simplement nuire au libre.
C'est possible aussi (mais c'est qd meme moins interessants que d'avoir des backdoors de partout, mais ca coute moins cher et ca rapporte)
Apres quel autre choix pour Theo de faire suivre le mail? Trop risqué de le cacher.
C'est aussi le mode de fonctionnement du libre : j'ai une info je la donne et je balance les noms. Ca met la pression, et si ca s'avere vrai....
- Modifié
Bon en premier ce n'est pas un backdoor, c'est la mise en place d'une faille au sein d'un protocole de sécurisation permettant d'être exploité. Ce n'est même pas le principe de clef (nsakey) cher au OS proprio. (rien de prouvé, microsoft ayant toujours nié).
Sinon comme faisait remarquer quelqu'un, on se retrouve quant même avec un gros problème éthique pour le FBI. En effet mettre une faille pouvant être exploité par n'importe qui (usa ou étranger) au sein d'un des systèmes les plus utilisés dans les agences critiques gouvernementales aux USA (défense, et autres) ça se pose quant même.
Perso. je pense toujours à un bon gros FUD.
Sinon comme faisait remarquer quelqu'un, on se retrouve quant même avec un gros problème éthique pour le FBI. En effet mettre une faille pouvant être exploité par n'importe qui (usa ou étranger) au sein d'un des systèmes les plus utilisés dans les agences critiques gouvernementales aux USA (défense, et autres) ça se pose quant même.
Perso. je pense toujours à un bon gros FUD.
Ah, éthique et FBI ! c'est des mots qui vont ensemble ?Refuznik wrote:...on se retrouve quant même avec un gros problème éthique pour le FBI...
J'aurais pu remplacer par d'autres signes pour instances équivalentes des autres pays ...
Marien, on ne peux que sans féliciter.Marien wrote:Juste pour préciser, même si le FBI n'a pas réellement caché de backdoors, l'audit mené a déjà soulevé deux bugs
Tout ça n'aura donc pas servi à rien 😉
Personnellement BSD a toujours eut une politique de transparence pour tous ces utilisateurs et ici on le voit encore quoique Théo a aussi ses détracteurs. Mais au lieu de s'en retrouver renforcé tout le monde troll sur le libre.
D'ailleurs on voit souvent ces mags online suivre les messages passés sur les mailinglist d'une distrib.
Voyons ils n'y vont jamais et s'intéressent souvent peu à l'univers linux ou unix. Mais là tous les mags online d'en tirer un papier sans savoir de quoi ils parlent ; quoique outre-atlantique ils sont plus modérés.
Bonne nouvelle l'audit du code n'a rien trouver, a part un bug corriger en 2002 : http://www.generation-nt.com/openbsd-backdoor-fbi-actualite-1135011.html