FBI x OpenBSD: o que podemos aprender com o “caso IPSEC”?
A auditoria na implementação do IPSEC no OpenBSD continua (e já encontrou 2 bugs), e acredito que ainda estamos longe de ver o fim dessa história iniciada com a denúncia (não comprovada) de que o FBI teria financiado o enfraquecimento deste software de segurança subornando pelo menos 2 de seus desenvolvedores.
Mas, seja esta denúncia baseada em fato ou invenção, acredito que ela traz consigo algumas oportunidades de reflexão, e é delas que tratei no meu novo artigo no IBM DeveloperWorks.
• Publicado por Augusto Campos em
2010-12-21
@brlinuxblog
Feed RSS
Quando li a notícia me veio a cabeça dois antigos casos:
1- http://news.netcraft.com/archives/2010/07/15/firefox-security-test-add-on-was-backdoored.html
2- http://forums.unrealircd.com/viewtopic.php?t=6562
É bom sempre estar atento ao que colocamos no sistema, mesmo sendo de uma fonte “confiável”
Falou bem, não sei se conhece o velho artigo do Ken Thompson toca nesse ponto: http://cm.bell-labs.com/who/ken/trust.html
Pois é, confiança não é à prova de falhas e tudo que será colocado para comunidade deveria ser auditado. Não só por desconfiança no caráter da pessoa mas também porque pode haver algum erro grave no código. Alguém lembra daquela falha grave no openssh em 2008 no Debian Etch? http://www.debian.org/security/2008/dsa-1576
Ela ficou lá uns 2 anos, desde de 2006 e tudo porque o código não foi auditado antes de ser colocado à público. Foi um erro do devel ou o FBI também estava aqui? rsrsrsr Bem o fato é que sem uma política de segurança mais elaborada, isso infelizmente poderá ocorrer muitas outras vezes sendo elas bem ou mal intencionadas.
Nossa.. Calma Augusto.
“AGAIN: I’m not saying that this is part of the backdoor nor that it weakens
the PRNG. HOWEVER, this does not look right and leaves some bad feeling for
me!”
Os devs mal responderam ao post do cara e você já diz que acharam dois bugs.
Ops, desculpa Augusto. Vi o link dos dois bugs já encontrados.
acho que foi parte de uma teoria da conspiração feita para enfraquecer o movimento… quem poderia estar por trás do FBI nessa tramóia? só alguém maligno o bastante… como Steve Ballmer!
ué? cade os defensores mimizentos dos opensXXX da vida?
É o tal negócio: cavalo dado você tem que olhar os dentes e o resto sim.
Eu n sei pq vcs se espantam com isso. Imaginem o openBSD nas mãos do bin laden para fazer suas artimanhas. É claro que isto iria acontecer mais cedo ou mais tarde.
Se eu fosse o chefão do FBI, já teria feito isso e muito mais, por exemplo:
a) o kernel deveria ter uma ou mais vulnerabilidades propositais para que pudesse ser usada. E se Linux n concordasse com isso sua nacionalidade americana não seria aprovada.
b) manter a FSF sob uma regra de silêncio baseada na segurança nacional – e os EUA podem fazer isso, como windows e mac.
realmente, vcs s muito inocentes em achar que isso nao pode ter ocorrido antes.
pelo gosto do tereso, e da familia bush, o linux deveria dexar de ser livre e toda a pesquisa atômica ser paralisada, a vida imperial é assim.
@tereso@tereso.com
Sobre o Linux, você só esqueceu que a FSF não tem ingerência sobre o código fonte do Linux.
O código fonte é implementado por gente de toda parte, inclusive por brasileiros.
Os EUA não conseguiriam ditar os rumos do código unilateralmente.
E mais:
Não existe prova alguma que algo tenha ocorrido com o openBSD.
Aliás, existe muita coisa dizendo que nada ocorreu.
FBI não tem atribuição de espionagem em larga escala. Essa é atribuição nos EUA da NSA.
Dizer que o FBI contratou fulano de talk através de NDA… Isso sim é um pouco de inocência.
Ao que parece, pelo menos.
>>>> . Imaginem o openBSD nas mãos do bin laden para fazer suas artimanhas
Pronto. Bota uma bandeira dos EUA no teu avatar ¬¬.
>>> E se Linux n concordasse com isso sua nacionalidade americana não seria aprovada.
Linus = Pessoa; Linux = SO.
>>> e os EUA podem fazer isso, como windows e mac.
Ninguém é “muito inocente”. Você que chegou TARDE e não leu as teorias da conspiração do outro tópico ;)
Para André Luis Pereira dos Santos, erico e os demais colegas:
eu não estou dizendo que vcs estão errados, muito pelo contrário. Só quis mostrar que qualquer pessoa pode ser pressionada a fazer conseções e nome da “segurança nacional” de qualquer país.
O que eu falei sobre o Linus (foi erro de digitação -> linux) não pode ser real? Imaginem se condicionam a cidadania americana a uma “certa flexibilidade” no kernel??? Não estou aqui denegrindo a imagem dele.
Pode até ser mais fácil: peguem um módulo qualquer de um hardware já antigo que ainda é suportadopelo kernel. Há uma “vantagem pecuniária” para alguém deixá-lo propositadamente bugado para permitir acesso aleatório. É tão improvável assim???
===========================
Sendo o openbsd muito seguro, vcs acham impossível o bin laden ou outros terroristas – como as FARC – usá-lo para seus propósitos???
Vcs duvidam da capacidade técnica da “al caeda” (deve ser escrito assim) de usá-lo eficientemente ou mesmo de criar sua própria distrolinux para suas necessidades???
VCS ACHAM ISTO TECNICAMENTE IMPOSSÍVEL OU DIFÍCIL???
Se eu fosse do grupo deles, seria minha primeira providência.
O que disse aqui não tem nada de absurdo, tudo é possível. Se qualquer usuário pode criar sua própria distro, por que não qualquer rede terrorista, gang internacional, traficantes, contrabandistas???
Não é teoria de conspiração, é fatoreal mesmo.
O código é livre para todos usarem. E deve-se lutar para que ele seja seguro para todos usarem, seja nós, as FARC ou Al Kaeda. Essa é uma das liberdades do software livre. Boicotar isso com backdoors, seja com qual desculpa for, é perigoso demais para ser permitido.
Se o tal de Echelon existe mesmo, já deve ter colocado essa pagina na lista de analise “Lista de analise de sites potencialmente usados para terroristas” pelo tanto de vez que foi usado estas palavras.
Com isso o que podemos dizer sobre o Selinux que teve ajuda da NSA?
E do Windows 7 se não me engano que a NSA ajudou?
Se isto for confirmado, deve se fazer auditorias em varios outros programas, principalmente os patrocinados pela NSA.