Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Backdoor dans openbsd, et ubuntu ?

jnq

La pile ipsec est trouée ! FBI et NSA inside.

http://linuxfr.org/~Zezinho/30572.html

Et celle d'ubuntu ?

helly

Je doute quand même d'une telle chose…

jnq

Bonjour, le code de la pile ipsec a été reprit dans bien d'autre distributions et produit dans le monde. Certe le code a évolué en dix ans mais il convient à mon avis de regarder la chose de prêt.

shindz

je ne sais pas trop, mais canonical s'est bien battue pour que le nouveau kernel integre Apparmor ,apparmor est une alternative a SElinux(NSA). on doit etre content que Apparmor ( produit repris par canonical et sera intergre au nouveau noyeau 2.6.38) sera de la partie.

MdMax

Nouvel article ici:
http://www.pcinpact.com/actu/news/60876-openbsd-backdoors-fbi-gregory-perry-theo-de-raadt.htm

Elzen

J'ai la flemme de copier-coller, mais j'ai donné mon avis dans le doublon fermé par helly.

Morgiver

Notez une chose intéressante, ce genre de révélation peuvent réveiller la curiosité de certains.
Des gens pourraient se mettre à faire leur propre Distribution GNU/Linux pour être vraiment sur de ce qu'il a dedans. Je veux dire par là que ça pourrait pousser les gens à aller encore plus loin, je sais bien que beaucoup de gens font déjà leur propre distrib, mais ce serait intéressant de voir une augmentation des distrib perso 😛

edit: si j'en avais le temps je m'intéresserais bien au développement d'une distrib personnelles, quand j'aurais le temps xD

Clem_ufo

:o La vache !!!

tshirtman

faut lire le thread original, pcinpact fait des approximation grosses comme des maison (c'est pas celui qui balance l'affaire qui était chargé de le faire, il balance le nopm du mec qui l'a fait)
http://comments.gmane.org/gmane.os.openbsd.tech/22557

le mec accusé se défend d'ailleurs… il nie absolument avoir fait ce genre de choses… (bon, normal en même temps)

Subject: Allegations regarding OpenBSD IPSEC

Every urban lengend is made more real by the inclusion of real names,
dates, and times. Gregory Perry's email falls into this category. I
cannot fathom his motivation for writing such falsehood (delusions
of grandeur or a self-promotion attempt perhaps?)

I will state clearly that I did not add backdoors to the OpenBSD
operating system or the OpenBSD crypto framework (OCF). The code I
touched during that work relates mostly to device drivers to support
the framework. I don't believe I ever touched isakmpd or photurisd
(userland key management programs), and I rarely touched the ipsec
internals (cryptodev and cryptosoft, yes). However, I welcome an
audit of everything I committed to OpenBSD's tree.

I demand an apology from Greg Perry (cc'd) for this accusation. Do
not use my name to add credibility to your cloak and dagger fairy
tales.

I will point out that Greg did not even work at NETSEC while the OCF
development was going on. Before January of 2000 Greg had left NETSEC.
The timeline for my involvement with IPSec can be clearly demonstrated
by looking at the revision history of:
src/sys/dev/pci/hifn7751.c (Dec 15, 1999)
src/sys/crypto/cryptosoft.c (March 2000)
The real work on OCF did not begin in earnest until February 2000.

Theo, a bit of warning would have been nice (an hour even... especially
since you had the allegations on Dec 11, 2010 and did not post them
until Dec 14, 2010). The first notice I got was an email from a
friend at 6pm (MST) on Dec 14, 2010 with a link to the already posted
message.

So, keep my name out of the rumor mill. It is a baseless accusation
the reason for which I cannot understand.

--Jason L. Wright

kyncani

Enfin pour l'instant, ce n'est que du FUD, aucune faille n'a été localisée.

Jarvis

MdMax a écritNouvel article ici:
http://www.pcinpact.com/actu/news/60876-openbsd-backdoors-fbi-gregory-perry-theo-de-raadt.htm

Ça sert à quoi de mettre un lien vers ce torchon ?

MdMax

kyncani a écritEnfin pour l'instant, ce n'est que du FUD, aucune faille n'a été localisée.

Exact, mais grâce à la transparence et la communication de la part Theo de Raadt dans cette affaire, les utilisateurs peuvent prendre des mesures et soit auditer les sources (et/ou leurs compilateurs), soit ne plus utiliser IPsec, ou alors chercher une alternative. La vraie personne qui aurait envoyé ce mail peut éventuellement démentir si tout cela est faux.

On verra bien. Mais ce qui est beau avec le libre, c'est que les possibilités sont nombreuses. En général, dans le monde propriétaire, ces trucs sont gardés sous silence et même lorsque les portes dérobées sont dévoilées, les utilisateurs ne peuvent rien faire d'autre que d'isoler totalement les systèmes qui utilisent les logiciels propriétaires, et tenter de blinder leurs réseaux avec des solutions externes. Dans le monde propriétaire, les corrections des vulnérabilités sont l'exception et non la règle.

Sir Na Kraïou

ArkSeth a écritJ'ai la flemme de copier-coller, mais j'ai donné mon avis dans le doublon fermé par helly.

Pareillement.

MdMax

Jarvis a écrit
MdMax a écritNouvel article ici:
http://www.pcinpact.com/actu/news/60876-openbsd-backdoors-fbi-gregory-perry-theo-de-raadt.htm
Ça sert à quoi de mettre un lien vers ce torchon ?

Ce "torchon" comme tu dis cite sa source contrairement aux vrais torchons, le lecteur peut donc sans problème se faire sa propre idée. Et l'objet de mon lien est simplement de montrer que cette histoire fait un buzz. Alors c'est clair que ce n'est peut-être pas encore au point d'en faire parler le 20h de TF1, mais cela fera le tour du web orienté geek, et dépassera de loin l'actualité courante du libre.

valAa

ArkSet, dans l'autre sujet fermé a écritContrairement à GNU/Linux, les différents *BSD implantent les mêmes spécifications, mais n'ont pas de code en commun.

😐
Une révision intéressante du code de FreeBSD
(révision prise au hasard, bien sûr 😛)

Ubuntu1988

Bizarre que ça ait pas été découvert avant une telle chose :/

ehmicky

Ca ressemble fortement à du FUD cette histoire (ça marche bien en tout cas).
Malgré les recompenses offfertes (3 x 100$) et la horde de geeks qui va s'afférer dans les jours qui suivent, si aucun code n'est pour autant trouvé (ce que je pense), le FUD restera.
Le mail original provient d'un mec qui visiblement n'a plus rien à voir avec le mouvement libre, et est empli de cynisme (se ponctue sur un "Merry Christmas..."). En le lisant, on a vraiment pas le sentiment de quelqu'un qui est là par altruisme mais plus quelqu'un qui cherche à mettre le bazar (pour parler poliment).

Elzen

valAa a écrit😐
Une révision intéressante du code de FreeBSD
(révision prise au hasard, bien sûr 😛)

Hormis le fait que mon pseudo prend un h et qu'ils indiquent que le code a été « influencé par », je vous pas où est le rapport…

Y a des trucs dans BSD qui ont influencé des trucs dans GNU et réciproquement, c'est pas pour ça que FreeBSD et Ubuntu ont du code commun.

valAa

ArkSeth a écrit
valAa a écrit😐
Une révision intéressante du code de FreeBSD
(révision prise au hasard, bien sûr 😛)
Hormis le fait que mon pseudo prend un h et qu'ils indiquent que le code a été « influencé par », je vous pas où est le rapport…

Y a des trucs dans BSD qui ont influencé des trucs dans GNU et réciproquement, c'est pas pour ça que FreeBSD et Ubuntu ont du code commun.

Toutes mes excuses pour ton pseudo.
Sinon, pour le reste, on peut regarder les fichiers sources ça donne une idée. Par exemple dans la pile IPsec :
ip_ipip.c dans OpenBSD au 10/06/2002
xform_ipip.c dans FreeBSD au 16/10/2002
Des blocs de plus de 80 lignes rigoureusement identiques, c'est ce que j'appelle avoir du code en commun (voilà le rapport).
Ils ont pas le même noyau, beaucoup de code différent, mais aussi du code identique.

Henry de Monfreid

Ubuntu1988 a écritBizarre que ça ait pas été découvert avant une telle chose :/

Si les back-doors ont été bien programmées, c'est normal.

Si elles nécessitent un password pour être activées, on ne pourra (probablement) jamais tomber dessus par hasard.

Page suivante »