OpenBSD stack backdoored by FBI -- 10 years ago!

[Gen1us2k]

В России, "вообще говоря" (т.е. несмотря на то, что отдельные люди могут выпадать из общей тенденции и вполне успешно работать на международных проектах) существует собственное, извращённое представление о Computing, которое включает в частности некоторое презрение к Линуксу, всеобщее принятие Windows, и веру в то, что "настоящие хакеры" сидят на BSD.

Надо ли объяснять, что в мире взгляд иной? - по-моему, для избавления от провинциальности, надо. Потому вот сокращённый перевод новости, попавшей на "/." (= Слэшдот).

FBI встроила чёрный ход в IPSEC на платформе BSD 10 лет назад

Theo de Raadt обнародовал e-mail сообщение, посланное ему Gregory Perry, работавшим над криптографической частью BSD 10 лет назад. Сообщение показывает, что ФБР заплатило разработчикам за внедрение "чёрного хода" в IPSEC stack.
Сегодня Мистер Перри завляет, что его подписка о неразглашении истекла, а потому он обнародовал послания.
Код был добавлен 10 лет назад, и с тех пор довольно заметно изменился, "так что неясно, каково значение этих разоблачений сегодня", говорит Мистер деРаадт. "Поскольку первый IPSEC stack был открытым, огромные части кода перекoчевали в большое число проектов и продуктов"

(..однако Freeswan и Openswan - открытые программы для создания VPN, например, под Линуксом - не основаны на коде BSD)



А от себя могу добавить - вот вам ещё один довод почему GNU лучше чем лицензии BSD (первые, кстати, Майкрософт ненавидит, утверждая, что они заражают антикоммерческим духом как вирус, тогда как вторые - обожает, т.к. оттуда можно красть всё что угодно, затем объявляя себя полным владельцем и держателем копирайта на украденное):

неоткрытый клуб разработчиков ПОДКУПАЕТСЯ.

Кстати, этот случай может служить еще одной иллюстрацией к давно занимающему LJ-автора Vitus-wagner'a тезису: современные программы настолько сложны, что даже если есть доступ к коду, никто в мире не сможет/не будет проверять его.
Как показывает описанное - 10 лет и больше - пока у "давшего подписку" не вырастут яйца или пока не истечет срок подписки.

---[slashdot]---
http://bsd.slashdot.org/story/10/12/15/ ... k?from=rss

---[the emails]---
http://marc.info/?l=openbsd-tech&m=129236621626462&w=2


Т.к. комментарии показали нежелание читателей познакомиться с текстами e-mails, ПРИВОЖУ ПЕРЕВОД
Ибо общие рассуждения не в тему нам не нужны. Новость слишком серьёзная.

Итак,:


From: Gregory Perry <gregory.perry@govirtual.tv>
To: "deraadt@openbsd.org" <deraadt@openbsd.org>
Subject: OpenBSD Crypto Framework
Thread-Topic: OpenBSD Crypto Framework
Thread-Index: AcuZjuF6cT4gcSmqQv+Fo3/+2m80eg==
Date: Sat, 11 Dec 2010 23:55:25 +0000
Message-ID: <8D3222F9EB68474DA381831A120B1023019AC034@mbx021-e2-nj-5.exch021.domain.local>
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
MIME-Version: 1.0
Status: RO

Привет, Тео
Hello Theo,

Давно не общались. Если помнишь, я был Главным Инженером в NETSEC
и занимался финансированием и пожертвованиями для Крипто-подсистемы
в OpenBSD. В то самое время я также был консультантом ФБР, для их
"Центра Технической Поддержки GSA", который был проектом вскрытия
криптопрограмм ("reverse engineering"), целью которого было встраивание
"черных ходов" и создания механизмов централизованного хранения
криптоключей для smart-cards и иных аппаратных технологий.
--------------
Long time no talk. If you will recall, a while back I was the CTO at
NETSEC and arranged funding and donations for the OpenBSD Crypto
Framework. At that same time I also did some consulting for the FBI,
for their GSA Technical Support Center, which was a cryptologic
reverse engineering project aimed at backdooring and implementing key
escrow mechanisms for smart card and other hardware-based computing
technologies.


Моя подписка о неразглашении закончилась, и я хотел бы оповестить тебя
о том факте, что ФБР встроило в OSF несколько "чёрных входов" а также
механизмы для кражи ключей через "сторонний канал" для целей мониторинга
VPN между сайтами, которые устанавливало EOUSA, организация, стоящая
над ФБР. Отвечали за встраивание "черных ходов" Джейсон Райт и несколько
других разработчиков, и я бы порекомендовал тебе просмотреть все
добавления, commits [т.е. в систему контроля версий] сделанные Райтом
и прочими, с которыми он работал, из организации NETSEC.
--------------
My NDA with the FBI has recently expired, and I wanted to make you
aware of the fact that the FBI implemented a number of backdoors and
side channel key leaking mechanisms into the OCF, for the express
purpose of monitoring the site to site VPN encryption system
implemented by EOUSA, the parent organization to the FBI. Jason
Wright and several other developers were responsible for those
backdoors, and you would be well advised to review any and all code
commits by Wright as well as the other developers he worked with
originating from NETSEC.


Эта история также вероятно стала причиной потери тобой финансирования
из DARPA: более чем вероятно, они узнали о присутствии "черных ходов"
и не пожелали создавать производные продукты на основе таких программ.
--------------
This is also probably the reason why you lost your DARPA funding, they
more than likely caught wind of the fact that those backdoors were
present and didn't want to create any derivative products based upon
the same.

Эта история также объясняет, почему некоторые инсайдеры ФБР недавно
так рекламировали использование OPENBSD для создания VPN и файерволлов
[!!!!!! - переводчик] в виртуальных средах, например Скотт Лоув
хорошо известный автор среди работающих с виртуализацией, который
также получает оплату в ФБР - недавно опубликовал несколько обучающих
документов по использованию виртуальных машин OpenBSD в сценариях
использования для VMware vSphere.
--------------
This is also why several inside FBI folks have been recently
advocating the use of OpenBSD for VPN and firewalling implementations
in virtualized environments, for example Scott Lowe is a well
respected author in virtualization circles who also happens top be on
the FBI payroll, and who has also recently published several tutorials
for the use of OpenBSD VMs in enterprise VMware vSphere deployments.

Поздравляю с Рождеством
Merry Christmas...

Грегори Перри
Главный Корпоративный Служаший
компания GoVirtual Education
--------------
Gregory Perry
Chief Executive Officer
GoVirtual Education




Перечитайте еще раз выделенные мной, переводчиком, слова
Вы теперь поняли, ПО-ЧЕ-МУ у BSD-систем слава "супер-устойчивых",
которые нужно применять в первую очередь для создания систем
безопасности?!

[Raven]

Опубликовано опровержение слухов о бэкдорах в OpenBSD

Минувшим вечером один из разработчиков OpenBSD, некий Джейсон Райт (Jason Wright), очень недвусмысленно отреагировал на появившиеся на днях слухи о том, что в реализации IPsec содержатся закладки от американской правительственной организации - ФБР.

История началась с письма лидеру OpenBSD Тео де Раадту от Грегори Перри, занимавшегося разработкой криптографического кода в OpenBSD много лет назад. В своем сообщении он обвинил во внедрении зловредного кода Джейсона Райта. От Джейсона же последовал ответ, в котором просит Грегори держать свои домыслы подальше.

Джейсон Райт в почтовой рассылке openbsd-tech, отвечая на письма Тео, четко заявил, что «не добавлял никаких бэкдоров в операционную систему OpenBSD и OpenBSD crypto framework (OCF)» (I will state clearly that I did not add backdoors to the OpenBSD operating system or the OpenBSD crypto framework (OCF)). Кроме того, тот код, которым занимался Джейсон, по большей части относится к драйверам устройств.

Также Джейсон сообщил, что во время разработки OCF не работал в NETSEC, которая, по слухам, сотрудничает с ФБР.

Джейсон Райт полностью поддерживает идею аудита кода OpenBSD.

Подробности

[wass]

И кому верить?

[Raven]

поддерживает идею аудита кода OpenBSD.

Думаю ему, раз не боится, значит скрывать нечего.