Chinaunix

标题: OpenBSD杯具了，FreeBSD和Linux估计也跑不掉。 [打印本页]

作者: fender0107401 时间: 2010-12-15 13:15
标题: OpenBSD杯具了，FreeBSD和Linux估计也跑不掉。
本帖最后由 fender0107401 于 2010-12-15 13:32 编辑

基于那些代码的同样都会受到牵连。

http://permalink.gmane.org/gmane.os.openbsd.tech/22557

作者: ahocat 时间: 2010-12-15 13:23

发生什么事了？

作者: fender0107401 时间: 2010-12-15 13:32

发生什么事了？
ahocat 发表于 2010-12-15 13:23

http://permalink.gmane.org/gmane.os.openbsd.tech/22557

作者: macafee 时间: 2010-12-15 13:53
这个消息被证实了？如果证实的话看来要重新改写这部分代码了。

作者: lsstarboy 时间: 2010-12-15 14:02
确实杯具了。

作者: jimke 时间: 2010-12-15 15:23
关于OpenBSD IPSEC的指控 Theo ・ de Raadt 2010-12-14 22:24 ：39格林维志时间
我接受了关于OpenBSD的早期的发展的邮件 IPSEC堆。宣称一些前开发商(和公司他们运作为了)被收下的美国政府钱能放后门入我们的网络堆，特别是IPSEC堆。大约2000-2001。因为我们有第一IPSEC堆可利用免费，大部分代码在许多其他项目或产品现在被找到。 10 几年， IPSEC代码审阅许多变动和固定，如此它是不明的什么这些指控的真实的冲击是。邮件自我未谈话对为的人私下进来了几乎10年。我拒绝成为一部分的这样阴谋，和与关于此的格雷戈里・佩里不会谈话。所以我是做它公众，以便 (a)使用代码的那些人能验核它这些问题的， (b)对故事是恼怒的那些可能采取其他行动， (c)，如果不是真实的，被指责的那些人可能保护自己。当然我don' 当批转时， t喜欢我的私有邮件。 " 一点ethic" 私有邮件批转的小于" 大ethic" 政府支付公司的支付开放来源开发商(成员的社区朋友)到插入物在软件的保密性侵略的孔。

作者: jimke 时间: 2010-12-15 15:24
yahoo译的

作者: ahocat 时间: 2010-12-15 15:32
本帖最后由 ahocat 于 2010-12-15 15:36 编辑

开源模式更安全的神话受到挑战了

从原文看不仅是IPSEC，其他的网络栈相关代码也都可能有问题

作者: langue 时间: 2010-12-15 18:59
目前看来，KAME、FAST_IPSEC和FreeS/WAN不受影响。

作者: Puer_Tea 时间: 2010-12-15 20:00
后门到处是啊。

作者: synchalt 时间: 2010-12-15 21:18
oh god 。。。2000年。。。那个时间。。。不正是。。。

作者: synchalt 时间: 2010-12-15 21:18
2000-2001 ？那个时间不正是。。。？

作者: send_linux 时间: 2010-12-15 22:02
唉，杯具了，不是开源的，大家不都是能够看到的么？

作者: ioiioi 时间: 2010-12-16 09:24
回复 13# send_linux

Theo de Raadt收到一封私人邮件，里面说了美国军方雇人在OpenBSD的IPSec stack里放置后门，他觉得有必要公开让大家知道这个事，但别忘了，他仅仅是公开而已，并没有证实这是一个事实。

作者: star_in_sky 时间: 2010-12-16 11:32
不用太悲观。已经10年了，IPSec的堆栈代码已经修改过很多次了；即使是真的，按照OpenBSD的代码审查制度，相关的后门应该也会很快被解决的。

我印象中，多年前存放Linux源代码的机器被人攻破，被恶意的植入了后门（不过很快被移除）；就是最近，不是发现开源的ProFTPD的源代码被植入了

后门么？Linux的IRC服务器(Unreal IRC)也被植入了后门（官方发表声明表示歉意，称他们发现镜像中的Unreal3.2.8.1.tar.gz文件，大约在2009

年11月被替换成一个有后门的版本, http://linux.cn/home/space-6187-do-thread-id-3508.html）。

实际上，我觉得最大得问题是，在开源界一向信奉得“多眼现象：只要源代码开放，看得人很多，bug和问题就会无处藏身。”可能就是错误的。你想想看，

如果这次OpenBSD的事情是真的，那么在代码中1个后门存在了近10年，直到最近的邮件披露大家才能知道，这是很危险的；而且在之前，我们是没有

任何意识去识别这样的危险。而如果真的保证代码不会被植入后门，可能需要建立一种全新的代码审查制度，而不仅仅依靠所谓的“多眼现象”。

作者: lantian728 时间: 2010-12-16 14:08
重写代码

作者: gvim 时间: 2010-12-16 14:55
本帖最后由 gvim 于 2010-12-16 14:56 编辑

靠制度约束人的基本点是成本，包括实施成本，犯罪成本等等。往大了说，任何人做任何事都出于成本考虑，祖宗不是也说亲兄弟明算账嘛。
对于这个案例，根本没有犯罪成本，不管哪个协议也没说你不能装后门，相反对实施者个人和国家有莫大的利益。
有网友说是BSDL协议本身导致被安装后门。我个人理解不到。。。。

作者: fender0107401 时间: 2010-12-16 15:41

靠制度约束人的基本点是成本，包括实施成本，犯罪成本等等。往大了说，任何人做任何事都出于成本考虑，祖宗 ...
gvim 发表于 2010-12-16 14:55

那是他脑子发昏。

作者: lsstarboy 时间: 2010-12-16 22:11
看来多眼理论仍然没经受住实践的检验。

多眼理论应该没错，但是对于能正常运行的系统，又有几个人愿意去研读它代码呢？

作者: mobo 时间: 2010-12-17 08:38
反过来推论MS，会是怎样的情形？

作者: lllaaa 时间: 2010-12-17 08:38
即使有fbi资助的人参与也不一定是安插了后门。selinux还是NSA参与开发的呢，也没见人退避三舍啊。

作者: lsstarboy 时间: 2010-12-17 10:56
回复 20# catrat-net

管理者水平固然重要，但是也是要由技术做保证才行！

管理者水平再高，单凭http技术，也避免不了别人对你流量的分析。

现在最杯具的是本来依靠的东西突然不安全了，试想一下如果md5、sha在一夜之间都得跟明文一样，那会是什么感觉？

作者: lsstarboy 时间: 2010-12-17 11:00

目前看来，KAME、FAST_IPSEC和FreeS/WAN不受影响。
langue 发表于 2010-12-15 18:59

是不是现在的FB用的就是FAST_IPSEC？好像在某一个发行版本说去掉了一个ipsec的支持。

老的手册上还提到FAST_IPSEC，现在去掉了。

作者: langue 时间: 2010-12-17 13:57
是的，参见 fb ml
http://www.mail-archive.com/freebsd-net@freebsd.org/msg22711.html

作者: rhinux 时间: 2010-12-18 12:04
只是一个协议被曝光而已。这个东西是一个国家安全，商业安全的问题。

作者: jerrymy 时间: 2010-12-18 19:50
这个问题跟开源闭源没有关系。

闭源的鬼知道没有后门。

作者: zjzfb 时间: 2010-12-18 23:41
基于这样的考虑
我们用的软硬件大部分都不是我们自己生产制造的
砸了电脑吧，世界清静了

不过，想想可能吗？

作者: ahocat 时间: 2010-12-19 11:25
回复 27# jerrymy

这个例子说明，开源有没有后门，同样也很难发现

作者: tpro 时间: 2010-12-19 12:36
也许硬件中存在后门，只是我们不知道罢了。
后门无处不在。。。

作者: zjzfb 时间: 2010-12-19 13:11
天网恢恢，疏而不漏
后门不启动，只是没有启动的必要而已

我等P民，没必要担心这个
后门处理，也是需要成本的
统计计算几十亿的P民，相信这个代价老美还不愿意付

作者: Yume15 时间: 2010-12-19 19:09
貌似今年的系统好多都有后门...

作者: L_kernel 时间: 2010-12-19 20:46
在考虑这个FreeBSD的头像该不该换了。

作者: fazi_cu 时间: 2010-12-20 13:31
开源的优势还是很明显的。
就像美国也同样会存在腐败一样，为什么万恶的资本主义就腐败少呢？？？

作者: ipeter 时间: 2010-12-20 17:37

开源的优势还是很明显的。
就像美国也同样会存在腐败一样，为什么万恶的资本主义就腐败少呢？？？
fazi_cu 发表于 2010-12-20 13:31

楼上的话我爱听

作者: damcool 时间: 2010-12-21 20:18
嗨~~！被人钳制阿

作者: catrat-net 时间: 2011-01-26 12:01

回复 catrat-net

管理者水平固然重要，但是也是要由技术做保证才行！

管理者水平再高，单凭h ...
lsstarboy 发表于 2010-12-17 10:56

MD5 SHA 被破解那本来就是必然的吧？但别的不说，如果是 MD5 + SHA256 + 长度的摘要串呢？被破解的概率又是多少？就算只能用 MD5（比如必须兼容老的加密硬件时）分片 MD5 + 总和 MD5的摘要信息，被破解的概率又是多少呢？

ipsec 就算真的被后门，如果上层网站一直用 https 呢？如果应用程序一直坚持自己再走一次加密呢？狭义的“流量”分析如果遇到虚拟流量呢？

实际上，安全永远比破解来的轻松和简易，只是太多人太过执着于过分的简易罢了……

作者: nzg88992 时间: 2011-01-26 12:10
最担心的是硬件集成自毁功能或是内置无线发射芯片当有特殊军事情况发生只要某个特殊的信号自动启动到时候什么信息也拦不住

作者: yhlovemj 时间: 2011-01-26 12:12
楼上说的是啊, intel 的肯定有的,只是我们不知道而已

作者: catrat-net 时间: 2011-01-26 12:43

最担心的是硬件集成自毁功能或是内置无线发射芯片当有特殊军事情况发生只要某个特殊的信号自动启动到时 ...
nzg88992 发表于 2011-01-26 12:10

从数学上讲，凡是能实现逻辑机功能的设备，都可以用来进行难以破解的加密通信

换句话说，就算CPU内置无线发射芯片，就算它真的不可能被全频段阻塞干扰，只要编程者有能力也有意向，同样完全可以进行至少在数据层面上的安全通讯的

作者: zhengwei_zw 时间: 2011-01-27 09:37
任何系统都有。但是都没链接网络。都是内网。。。只有物理攻击了

作者: lantian728 时间: 2011-01-29 10:46
到处都是后门，后门

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)