mboost-dp1

openbsd

OpenBSD IPSEC indeholder måske en bagdør

- Via Gmane - , redigeret af Avenger- , indsendt af Hubert

Sikkerhed i OpenBSD er af stor betydning, også når det kommer til netværkssikkerhed med IPSEC. Her er der dog nu sået tvivl om, hvorvidt sikkerheden er helt i top.

Årsagen er en mail fra Gregory Parry til Theo de Raadt, der forklarer, at han i forbindelse med sit arbejde som teknisk chef for NETSEC i 2000 blev vidende om, at en række udviklere blev betalt af FBI til at indbygge en bagdør i systemet.

Parry har sin viden fra FBI, idet han på samme tidspunkt arbejdede som konsulent for forbundspolitiet. Han oplyser, at han siden 2000 har været underlagt en fortrolighedserklæring, men at den nu er udløbet.

Hvorvidt oplysningerne er korrekte, er der rejst tvivl om. Blandt andet har Damien Miller i en mail beskrevet, at han ser det som usandsynligt, at koden indeholder en bagdør. Han kommer dog med en række forslag til, hvor det er mest sandsynligt, at en eventuel bagdør vil være implementeret.





Gå til bund
Gravatar #1 - Louis
15. dec. 2010 11:59
Gammelt OpenBSD slogan:
Only two remote holes in the default install, in a heck of a long time!


Nyt OpenBSD slogan:
Only 2521 remote holes in the default install, in a heck of a short time!

Gravatar #2 - syska
15. dec. 2010 12:06
Hahah

Ja, jeg håber sq ikke det er rigtigt.

Har selv brugt IPSEC tidligere ( for ca. 10 år siden ) ... men nu er remote access to resources jo blevet en del næmmere, så det problem for mig er ikke så stort i dag.

Men et eller andet sted kunne det være sjovt, hvis der reelt set var blevet lavet en bagdør.

mvh
Gravatar #3 - Barnabas
15. dec. 2010 12:15
Louis (1) skrev:
Gammelt OpenBSD slogan:


Nyt OpenBSD slogan:
Only 2521 remote holes in the default install, in a heck of a short time!


Hmm, en openbsd installerer vist ikke en VPN server på en default install?

Så det slogan holder nok stadig.

Med mindre du ser openbsd projektet som ansvarlig for al den software du installerer og configurerer på din box :-)
Gravatar #4 - TheAvatar
15. dec. 2010 18:24
openBSD - hvad havde I regnet med? :-)
Gravatar #5 - arne_v
15. dec. 2010 19:17
#0

Det lyder som en and.

OpenBSD gør traditionelt meget ud af code reviews.

Hvordan skulle sådan en bagdør have undgået opdagelse i code reviews gennem 10 år.
Gravatar #6 - Hubert
15. dec. 2010 21:07
arne_v (5) skrev:
#0

Det lyder som en and.

OpenBSD gør traditionelt meget ud af code reviews.

Hvordan skulle sådan en bagdør have undgået opdagelse i code reviews gennem 10 år.


Jeg må indrømme at jeg også hælder ganske meget til Damien Miller siden her. En anden ting der taler for at det skulle være en and er at FBI åbenbart kun har lavet en NDA med en løbetid på 10 år.
Gravatar #7 - arne_v
15. dec. 2010 22:55
#6

Ja.

"National security - classified for 100 years" lød mere oplagt.
Gravatar #8 - Pally
15. dec. 2010 23:25
arne_v (5) skrev:
#0

Det lyder som en and.

OpenBSD gør traditionelt meget ud af code reviews.

Hvordan skulle sådan en bagdør have undgået opdagelse i code reviews gennem 10 år.

Jeg er enig i, at det lugter af and. Men code-reviews er (i min erfaring) oftest af ny og/eller ændret kode, så at det ikke har været opdaget i 10 år, synes jeg langt fra lyder usandsynligt.
Gravatar #9 - arne_v
15. dec. 2010 23:47
#8

De lavede mig bekendt også code review dengang.

Og jeg vil formode at der er rettet i den kode gennem de sidste 10 år som led i maintenance og der har været review i den anledning også.

Jeg har ikke erfaring med kodning af bagdøre, men jeg har lidt svært ved at tro, at det ikke er nemt at se i koden.
Gravatar #10 - Hubert
16. dec. 2010 06:45
Lidt mere læsestof til den her historie

http://blogs.csoonline.com/1296/an_fbi_backdoor_in...

http://marc.info/?l=openbsd-tech&m=12924404591...
Gravatar #11 - syska
20. dec. 2010 17:14
Nogen der har hørt mere om det ?
Gravatar #12 - Hubert
20. dec. 2010 21:29
syska (11) skrev:
Nogen der har hørt mere om det ?


Det tyder på at være en and... Der er nogle ting der ikke helt passer ind i hvordan det burde være hvis det ikke var en and.
Gravatar #13 - arne_v
23. dec. 2010 18:18
http://www.h-online.com/security/news/item/OpenBSD...
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login