Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 149 reacties
Submitter: DumbAss

De Zuid-Afrikaanse OpenBSD-ontwikkelaar Theo de Raadt heeft een e-mail ontvangen waarin wordt gesteld dat de FBI tien jaar geleden een aantal ontwikkelaars heeft betaald om een achterdeur toe te voegen aan de Ipsec-stack.

OpenBSDDe Raadt kreeg de e-mail van Gregory Perry, momenteel ceo bij GoVirtual Education, maar tien jaar geleden chief technology officer bij Netsec en betrokken bij de ontwikkeling van de Ipsec-implementatie voor OpenBSD. Met de Ipsec-stack kunnen ip-verbindingen door middel van encryptie worden beveiligd. Perry claimt dat de FBI tien jaar geleden een aantal OpenBSD-ontwikkelaars bij Netsec heeft benaderd en betaald om een achterdeur in de Ipsec-stack van het als zeer veilig bekend staande besturingssysteem in te bouwen.

De opsporingsdienst zou het achterdeurtje willen gebruiken om het dataverkeer op vpn-verbindingen te kunnen monitoren. Ook zou de FBI volgens Perry het gebruik van OpenBSD om dezelfde reden actief hebben aangemoedigd door vpn's en firewalls binnen gevirtualiseerde omgevingen te bouwen. Zo zou ontwikkelaar Scott Lowe door de FBI worden betaald en tevens een aantal tutorials hebben geschreven om OpenBSD in VMware vSphere-virtualisatieomgevingen te implementeren.

Perry zegt het bestaan van een achterdeur in de Ipsec-stack van OpenBSD openbaar te kunnen maken omdat zijn geheimhoudingsverklaring met de FBI is verlopen. De Raadt zegt niet met Perry in discussie te willen gaan over de kwestie, maar hij roept OpenBSD-ontwikkelaars wel op om de broncode van de Ipsec-stack tegen het licht te houden. Zo zou duidelijk moeten worden of de beweringen van Perry kloppen, mede omdat de Ipsec-stack in de afgelopen tien jaar diverse revisies heeft gekend en delen van de broncode ook in andere software worden toegepast.

Moderatie-faq Wijzig weergave

Reacties (149)

Wat in het artikel niet naar voor komt, maar wel in de bron, is dat de IPSec implementatie van OpenBSD de eerste vrij beschikbare implementatie van IPSec was en dat grote delen van die code ook in andere producten gebruikt is (mogelijk Linux bijvoorbeeld). Dit maakt dit mogelijk impact namelijk een stuk groter.
Niet in Linux waarschijnlijk, want die is niet gebaseerd op de OpenBSD implementatie.

Men kan natuurlijk nog steeds wel naar het algoritme hebben gekeken en dat overgenomen. Terwijl daar juist de achterdeur in zat. ;-)
Nog even wat leesvoer, Scott Lowe ontkent alle betrokkenheid:
Let’s get right to the point and set the record straight: I am not, nor have I ever been, affiliated with or employed by the FBI or any other government agency.
Bron: http://blog.scottlowe.org...involvement-with-openbsd/

[Reactie gewijzigd door Erikvl87 op 15 december 2010 11:38]

Dat kan kloppen. De standaard truuk is dat je in dienst bent van een consultancy bedrijf. Dat bedrijf echter, werkt voor <instelling>.

Zo kun je altijd ontkennen, zonder te liegen.
Scott Lowe stelt niet alleen dat hij niet gewerkt heeft voor de FBI,maar ook ook dat hij geen connecties heeft of had (not affiliated) met de FBI of andere overheidsinstelling.
Zou ik ook doen als ik hem was. :-)
Overigens:

Het verschil in de mate waarin je dit soort lekken kan verstoppen tussen open-source of free-software en proprietary of gesloten software is niet zo groot als een aantal blijkbaar denken.

Het aanbrengen van zo'n backdoor is per definitie heel low-profile. Ideaal gezien bijvoorbeeld een persoon die dit maakt.
Echter andere programmeurs binnen het ontwikkelteam van gesloten software kunnen net zo goed die code tegenkomen die toch wel dubieus is.

Ik denk dat het dan niet zoveel verschil maakt of die ontwikkelaar binnen een open-source ontwikkel team zijn werk doet of binnen proprietary ontwikkeling. Het komt vervolgens neer op de principes en motivatie van de ontwikkelaar die het ontdekt.

Het is echter WEL zo dat bedrijven liever dit soort zaken niet naar buiten brengen.
Maar het gevaar dat de "backdoor" ontdekt gaat worden is denk ik redelijk gelijk bij open-source en proprietary software; uiteindelijk bekijken de ontwikkelaars de code.
Alleen vanwege de open licentie structuur binnen Open-source (GPL, BSD) is er poptentieel kans op meer ogen die de code doorkijken.
In de praktijk denk ik dat dit enorm mee zal vallen.
Als de backdoor 10 jaar geleden erin is gekomen en de eerste op een volgende audit slag heeft het NIET aan het licht gebracht, dan is de kans erg klein dat die ooit ontdekt gaat worden. Immers, je gaat code niet opnieuw auditen die niet gewijzigd zijn te opzichte van code de in de vorige ronde al goed zijn gekeurd.

Dus dit soort meldingen geven aanleiding op de code nog eens goed OPNIEUW door te nemen.
Wie zegt dat Microsoft niet van de overheid tijdens het buildproces een extra hidden root-certificaat moet toevoegen in productie releases ?

Dat is wat je zou verwachten.

Alle programmeurs bij Microsoft hebben dan niks in de gaten.
Tja dat is het nadeel van Open Source.. wie kan je ervoor verantwoordelijk houden..

Hetzelfde geldt voor de Wiki pagina's. Er kunnen geen rechten aan worden ontleend..
Nou, het lijkt me dat je de FBI en de ontwikkelaars die dat smeergeld hebben aangenomen hiervoor verantwoordelijk kunt houden. Dat is toch niet zo moeilijk. Open source betekent toch niet automatisch dat niemand ervoor verantwoordelijk is.
Open Source betekend juist dat niemand ervoor verantwoordelijk gehouden kan worden. Lees de licenses maar eens goed door.

Open Source programma's worden (bijna?) altijd "as-is" aangeboden en er staat in de licentie overeenkomst (bijna?) altijd letterlijk 'we can not be held liable'.

Dat komt omdat, door het vrijgeven van de code, je niet meer weet wie wat waar wijzigt. En zelfs als je dat nog weet, als je dat soort verantwoording neer gaat leggen bij mensen dan zul open source snel zien sterven.

Waarom zou je, voor code waar je niet voor betaald word, risico lopen?

Er zijn wel bedrijven die bij hun open source code support verkopen, hoewel ze dan verantwoording vaak verkopen (ligt aan het type support) kan je als niet-support-afnemer daar geen rechten aan ontlenen.
Ja, maar als iemand iets crimineels doet, zoals zich laten omkopen met smeergeld, dan kom je er niet zomaar vanaf met "Kijk, in de licentie staat dat ik er niet verantwoordelijk voor ben!".
het is de vraag of het 'crimineel / illigaal' is volgens de wet, tenzij het maken van spyware destijds illigaal / verboden was, kun je hem weinig maken.

tegenwoordig zul je er wat minder makkelijk mee weg komen.

wel kan ik me voorstellen dat je als bedrijf zo iemand niet meer in dienst wil, en dat het in sommige gevallen (afhankelijk van je contract) misschien zelfs nu nog tot ontslag kan leiden. - je wilt als bedrijf natuurlijk niet iemand in dienst hebben zie een verleden met omkopingspractijken heeft.
In de praktijk zijn veel commerciele programma's ook "as-is" vanwege beperkende voorwaarden en simpelweg gebrekkige ondersteuning.
Lijkt me ook wel. Alleen...denk niet dat de FBI dit ooit gaat toegeven, of het nu waar is of niet, tenzij de bewijzen torenhoog op tafel liggen. Blijft over de klokkenluider, en om die nou te straffen zal toekomstige klokkenluiders ook niet bepaald aanmoedigen.
Wat valt er te bewijzen? Dat de FBI programmeurs betaald heeft om een feature te ontwikkelen. afaik niks illegaals.
Dat is gewoon onzin - en je weet het.
Juist door open source worden deze zaken zichtbaar. Bij closed source software zul je nooit weten of er een achterdeurtje in zit.

Een van de belangrijkste voordelen van open source software is dat de code publiek inzichtelijk is, er is door veel mensen naar gekeken, het is gereviewed en geaudit - en theoretisch kan zo'n achterdeur dus niet bestaan; zeker niet 10 jaar lang!
Ik heb medelijden met OpenBSD; gek genoeg zullen zij nu moeten bewijzen dat er niets mis is met hun product. Ik denk dat er ten onrechte schade topegebracht is aan Open Source in de breedste zin van het woord.
Ik vraag me af of de FBI dit bedacht om open source uit te roeien, zodat er straks alleen nog maar plaats is voor closed source software waar je wťl ongezien een achterdeurtje in kunt laten bouwen?

[Reactie gewijzigd door mrlammers op 15 december 2010 12:06]

Juist door open source worden deze zaken zichtbaar. Bij closed source software zul je nooit weten of er een achterdeurtje in zit.
Jah, als iemand daadwerkelijk de code gaat doorspitten. Maar wie doet dat? Als er een bug opgelost moet worden, dan kan het gebeuren dat zo iets gevonden word. Dat iemand op de code stuit en denkt "Wat is dit zou toch eigenlijk voor gekkigheid?". Of als er vermoedens zijn dat er iets niet helemaal zuiver is en men gaat zitten speuren, dan kan het gebeuren dat het gevonden word. Maar anders is de kans niet zo heel groot. Bedenk je wel even dat het heel veel en zeer complexe code is. En er zal geen commentaar bij staan waarin te lezen is dat de volgende x aantal regels een backdoor betreft voor de FBI.

[Reactie gewijzigd door Nickname55 op 15 december 2010 13:28]

Ja. Bij commercieel verkrijgbare open source producten is de code gereviewed ťn geaudit.
Wie doet dat?
1) de community
2) consultants
3) 'stakeholders', als in klanten, aandeelhouders of afgevaardigden
4) en als je standaarden claimt zijn er ook nog onafhankelijke instanties die checken of de standaarden wel goed zijn toegepast.

Daarnaast is de code open; dat geeft jou als gebruiker de kans om redelijkerwijs op de hoogte te kunnen zijn van de inhoud. En als je dat zelf niet kunt, maar daar wel belang bij hebt, dan kun je dat uitbesteden.
En er zal geen commentaar bij staan waarin te lezen is dat de volgende x aantal regels een backdoor betreft voor de FBI.
Wellicht dat dŠt specifieke commentaar er dan niet bijstaat :P maar het zal je verbazen hoe goed de documentatie bij veel van die code is. Dat komt doordat de software vaak door veel verschillende mensen geschreven is die allemaal een bepaald stuk voor hun rekening hebben genomen. Om het dan 1 goedwerkend geheel te laten worden, zit er niets anders op dan goed te documenteren.
Of het wel of niet snel ontdekt wordt staat toch helemaal los van de vraag of er iemand verantwoordelijk voor gehouden kan worden.

Als ik een closed source programma koop en door de installatie hiervan ontstaat schade, dan klaag ik de fabrikant aan, maar wie moet ik voor de rechter slepen als dit gebeurt na een update van bijvoorbeeld OpenOffice? De hele community soms?

[Reactie gewijzigd door Gepetto op 15 december 2010 13:10]

Als ik een closed source programma koop en door de installatie hiervan ontstaat schade, dan klaag ik de fabrikant aan,
Precies, want dat soort zaken win je ook even (er ontstaat veel schade door bugs in windows maar ik zie microsoft maar zelden succesvol worden aangeklaagd, maw: kul)
En jij denkt dat je Microsoft kunt aanklagen als er iets mis gaat met huhn software ?
1. (waarschijnlijk?) staat in de EULA dat je die rechten niet hebt
2. ze hebben meer advocaten dan jij
Bugs zijn over het algemeen moeilijk te detecteren. Opzdettelijke bugs zijn veel lastiger te ontdekken. Lees The Underhanded C Contest 2007 maar eens.
Ik denk dat er ten onrechte schade topegebracht is aan Open Source in de breedste zin van het woord.
oh, oh. Is de heilige graal besmet?
Over discussie uit het verband trekken gesproken.

Dit gaat toch helemaal niet over open-source vs proprietary ?
Ik sta er totaal niet van te kijken dat een achterdeur KAN bestaan in open-source software voor 10 jaar lang.

En de FBI dit heeft bedacht om open-source uit te roeien??
Rare conclusie. iets te veel conspiracy theory.
Ik snap het "nadeel" van Open Source niet?
Dit zal ook met Windows afgesproken (kunnen) zijn...

Bij Open Source hadden "wij" dit alleen kunnen controleren,
en dat hebben "wij" (blijkbaar) niet gedaan.

(edit: en blijkbaar is dus niet eens opensource..!)

(edit2 Het nieuws in het Nederlands en een stuk uitgebreider: http://webwereld.nl/nieuws/68120/fbi-backdoors-in-veiligste-bsd-variant.html)

[Reactie gewijzigd door FiVAL op 15 december 2010 12:40]

Bij Open Source hadden "wij" dit alleen kunnen controleren,
en dat hebben "wij" (blijkbaar) niet gedaan.
Dat is nu precies het probleem met dat argument. Er is teveel software en het benodigde niveau is dusdanig hoog dat je niet kan stellen dat Open Source veiliger is omdat iedereen de sourcecode kan zien.
Er is te veel software jongens. En het benodigde niveau is zo hoog dat de ontwikkelaars zelf niet meer snappen wat ze geschreven hebben. Als er nieuwe code wordt aangeboden wordt het gewoon blindelings gecommit, omdat niemand tijd of kennis heeft om het te controleren.
Sterker nog.. ook bij window zaten er in die tijd backdoors.. Of dat nu zo is weet ik niet. Maar ik ga er voorzichtig van uit dat er wel iets in zit wat de zaak kan monitoren. wat wij gewoon niet weten. Overal is de laatste jaren gelobbyd geworden. En de FBI zal niet opeens een braaf jongetje zijn geworden. Of toch wel? O-)
Ik ben wel benieuwd naar jou bronnen over die backdoors in Windows die jij nu vermeldt. Ik kan zo geen bron vinden daarover.

Tegenwoordig is de industrie en zijn de communities zover ontwikkeld dat het inbouwen van een achterdeur niet lang onopgemerkt zal blijven. Kijk maar bijvoorbeeld naar de Stuxnet-worm.

De afkomst daarvan is nog steeds onbekend, maar je zult waarschijnlijk wel richting een inlichtingendienst van een land gaan kijken daarvoor. Dit virus was echter niet bedoeld om ontdekt te worden.... Ik vind het een beetje doom-denken dus..

Zoals het betaamt in Nederland, graag eerst bewijs voordat we mensen veroordelen :)
Ik ben wel benieuwd naar jou bronnen over die backdoors in Windows die jij nu vermeldt. Ik kan zo geen bron vinden daarover.
De Amerikaanse wet stelt expliciet dat je verplicht bent als maker van security/crypto software backdoors / masterkeys beschikbaar te stellen aan de inlichtingen diensten.

Het enige vreemde aan dit verhaal vind ik dan ook dat het de FBI zou zijn. De FBI doet vrij weinig met dit soort dingen, het is de NSA die ik logischer zou vinden voor zo'n stunt.
Hoewel ik vind dat backdoors soms iets te ver gaan vind ik het ook wel weer
noodzakelijk in sommige gevallen, neem als voorbeeld de pc van een verdachte van kinderporno in mijn ogen hoort de overheid gewoon inzicht te krijgen om hem te kunnen straffen en dat hele netwerk op te rollen.

Het probleem is alleen wel dat de overheid een backdoor natuurlijk ook voor andere zaken zal gebruiken waar wij het misschien weer niet mee eens zijn.
vind ik het ook wel weer noodzakelijk in sommige gevallen
Maar dat kan nu eenmaal niet. Het is ůf noodzakelijk, of niet. En aangezien een backdoor onherroepelijk betekent dat de overheid ALTIJD bij ALLE gegevens kan, denk ik dat 'baas over eigen informatie zijn' een grondrecht hoort te zijn. De potentiŽle voordelen zijn nooit zů groot dat het opheffing van dat recht rechtvaardigt.
...en als de backdoor uitlekt, dan kan iedereen bij de gegevens.

En denk niet dat dat niet kan, denk maar aan de HDCP-masterkey die uitlekte.
Misschien bedoelt hij de "NSA Key" die ooit in Windows is gevonden, dat was inderdaad ongeveer 10 jaar geleden.
Volgens het wikipedia artikel dat je als bron brengt ontkend Microsoft dat de key bekend is buiten Microsoft en zijn er ook gewoon logische verklaringen voor het bestaan van de key. Dat mensen dat niet geloven, betekent niet automatisch dat er een backdoor is.
Dat er logische verklaringen zijn houdt niet in dat de meest voor de hand liggende logische verklaring niet de juiste kan zijn. Het ging hier om een alternatieve key die gebruikt kan worden als het primaire certificaat kwijt/corrupt raakt.

Dat zegt helemaal 0,0 over het feit dat het bruikbaar is als backdoor voor degenen die het root certificaat bezitten!
Hmmm when something looks too good to be true it's properly not ;)
Google op "windows backdoor", tweede hit:
How NSA access was built into Windows
Artikel uit 1999 over Windows 2000 en eerdere versies:
A CARELESS mistake by Microsoft programmers has revealed that special access codes prepared by the US National Security Agency have been secretly built into Windows. The NSA access system is built into every version of the Windows operating system now in use, except early releases of Windows 95 (and its predecessors). The discovery comes close on the heels of the revelations earlier this year that another US software giant, Lotus, had built an NSA "help information" trapdoor into its Notes system, and that security functions on other software systems had been deliberately crippled.
[...]
But according to two witnesses attending the conference, even Microsoft's top crypto programmers were astonished to learn that the version of ADVAPI.DLL shipping with Windows 2000 contains not two, but three keys. Brian LaMachia, head of CAPI development at Microsoft was "stunned" to learn of these discoveries, by outsiders. The latest discovery by Dr van Someren is based on advanced search methods which test and report on the "entropy" of programming code.

Within the Microsoft organisation, access to Windows source code is said to be highly compartmentalized, making it easy for modifications to be inserted without the knowledge of even the respective product managers.
Microsoft ontkent overigens het bestaan van een soortgelijke backdoor in Windows 7:
Microsoft ontkent backdoor in Windows 7
Niet erg overtuigend, want
De NSA liet tijdens een hoorzitting voor de Amerikaanse senaat weten dat het had meegeholpen aan Windows 7

[Reactie gewijzigd door berend_engelbrecht op 15 december 2010 12:02]


Microsoft ontkent overigens het bestaan van een soortgelijke backdoor in Windows 7:
Microsoft ontkent backdoor in Windows 7
Niet erg overtuigend, want 'De NSA liet tijdens een hoorzitting voor de Amerikaanse senaat weten dat het had meegeholpen aan Windows 7'

Aan de andere kant werd DES ook nooit vertrouwd, omdat de NSA op het laatste moment (in 1975) een aanpassing van het systeem had gedaan ten opzichte van het door IBM ingediende voorstel (in de zogenaamde S-boxen). Er zijn dan ook allerlei alternatieve implementaties geweest, die niet met de NSA wijzigingen werkten. Na 15 jaar (in 1990) laten wetenschappers echter differentiŽle cryptanalyse los op DES en wat blijkt? Alleen de versie met de S-boxen zoals voorgesteld door de NSA zijn bestand tegen die aanval en de alternatieve implementaties vallen door de mand.

Kortom, hoewel de NSA zich inderdaad ook van andere praktijken bedient, is het natuurlijk ook wel in het belang van de VS dat niet iedereen zomaar de communicatie tussen Windows computers van Amerikaanse bedrijven kan afluisteren. Het is dus niet ondenkbaar dat ze hebben meegeholpen om Windows veiliger te krijgen - het grootste leger cryptografische experts van de wereld zit immers bij de NSA.
Ik ben wel benieuwd naar jou bronnen over die backdoors in Windows die jij nu vermeldt. Ik kan zo geen bron vinden daarover.

http://www.angelfire.com/space/netcensus/backdoors.html

En dan de Russische en Chineze overheid die beiden de Windows sourcecode opeisten van MS anders wilden ze de software niet meer gebruiken. Of zijn die ook gewoon paranoide?

http://www.google.nl/#hl=...rfai=&fp=3ca62b987d3c644e
Dat is een retorische vraag, right?
ik denk dat je geen bronnen nodig hebt om aan te nemen dat er wel pogingen toe zijn ondernomen. een soort slapend gat ergens in de netwerk stack

vroeger (zo gaat het gerucht) werden er spionnen naar een land gestuurt die waren gebrainwashed om zelf niet meer te weten dat ze spy waren, eenmaal in het land waren er 'triggers' om ze 'wakker' te krijgen.

ik meen dat er ook een film over dit idee is geweest maar de naam ben ik even kwijt.
op de zelfde manier kun je natuurlijk prima ook een backdoor in software bouwen.
al zal het anno 2010 een verdomd moeilijke klus zijn om het bestaan ervan geheim te houden met alle antivirus / spyware software, de netwerk scanners etc etc.

ik wil niet zeggen dat ze erin zitten, maar het kan geen kwaad om er toch beducht op te zijn
ik meen dat er ook een film over dit idee is geweest maar de naam ben ik even kwijt.

Salt (2010) en The Bourne (Supremacy of Ultimatum). 2 of 3 dacht ik.
Sleeper Spy (2011)
Volgens mij bedoel je een oude film met Charles Bronson: Telefon.
Je kan ook redeneren dat omdat Microsoft de achterdeur niet wilde bouwen de FBI gekozen heeft om een achterdeur in een ander OS te laten inbouwen en dat actief te gaan promoten in de hoop dat mensen ipv de Microsoft software een product gaan gebruiken waar men wel in kan komen.

Want ik weet niet van het bestaan van enige achterdeur in Windows (maar goed, misschien heb ik iets gemist dus als je een bron hebt?)
Haha, heb jij dan wel eens onder WinXP je data 'versleuteld'? Die data kun je met een niet windows OS gewoonuitlezen hoor.

Maar of dat onder een 'backdoor' valt ...
niet waar. Begin hier maar eens met lezen.

Jij hebt het waarschijnlijk over Take ownership, waarbij een Administrator (of root onder ander OS) toegang heeft tot andersmans niet-encrypted files

[Reactie gewijzigd door Spider.007 op 15 december 2010 12:27]

Voordat de windows-hat0rz hier weer lacherig gaan snuiven over encryptie en beveilging in Windows, weet dan wel dat de gebruikte technieken voor het overgrote deel helemaal niet door Microsoft zijn ontworpen of zelfs geimplementeerd.

Goed voorbeeld is Kerberos. Heeft een hele brede implementatie binnen Windows maar ontwikkeling is gedaan door het MIT.
De implementatie binnen Windows is volgens die specificatie gedaan.

Veelal hebben andere besturingssystemen dezelfde beveiligings suites in gebruik (die dus door universiteiten of specialistische bedrijven zijn ontworpen. NIET door de ontwikkelaars van het OS.

Nu bestaat de veiligeheid van een OS niet alleen uit de implementatie van beveiligings protocollen, maar voor een groot deel is het er van afhankelijk.

Ik zou zeggen, neem dat gegeven wel mee, de volgende keer als je Windows weer eens neer wil halen omdat het zo onveilig is.
Zucht... Wanneer je niet weer waar je het over hebt, post dan niets.
Dat denk ik bij 50% van de reacties op Tweakers. Zeker bij mensen die oh zo nodig een 'first post' moeten hebben. Ik pleit voor een actiever ban beleid. Een moderatie-systeem is er al, als dat systeem nou iets meer consequenties heeft verwdijnen vanzelf allerlij nutteloze comments. 3x naar rood gemodereert in x tijdsbestek = maand comment ban ofzo.
Jawul beste nazi freund, laten we handelen met harde hand !
Lol jij moet dus NIET gaan werken als security specialist ;)
Misschien ook wel het voordeel. Nu is hij in ieder geval zo eerlijk het nog te zeggen. Geeft verder wel te denken. Wie zegt dat dit ook niet is gebeurd met de bekende commerciŽle OS bouwers uit de VS.
Hartstikke leuk, maar de TCP/IP stack van BSD is destijds ook gebruikt in closed source producten als Windows. De BSD licentie verplicht niet tot openbaarmaking.
Dat is niet hetzelfde als dit, maar laat zien dat "open source" ook in closed source kan zitten en dit soort problemen dus op meerdere plekken (platformen en producten) voor kunnen komen.

[Reactie gewijzigd door Mr.Aargh op 15 december 2010 11:35]

Wat ik mis in dit artikel is dat het slechts een 'gerucht' betreft; Uit de oorspronkelijke mail van Theo:
The mail came in privately from a person I have not talked to for
nearly 10 years. I refuse to become part of such a conspiracy, and
will not be talking to Gregory Perry about this. Therefore I am
making it public so that
(a) those who use the code can audit it for these problems,
(b) those that are angry at the story can take other actions,
(c) if it is not true, those who are being accused can defend themselves.
het voordeel is dat men het nu kan nagaan, dat men kan zien of deze beschuldigingen kloppen. Bij closed source software zou dat nooit mogelijk zijn tenzij iemand met staalharde bewijzen komt.
Dat vraag ik me af, ik zie iemand als Neelie Kroes er nog wel voor aan om desnoods via de rechter de broncode op te eisen om te onderzoeken (dus om bewijzen te vinden), als het in haar straatje te pas komt.
Via de rechter? Op beschuldiging waarvan? Er is toch niet illegaals gebeurd?
tegenwoordig stel ik wel vraagtekens bij je argumenten, het verspreiden van virussen is tegenwoordig niet meer zondermeer legaal, en dat zou ook wel eens voor bijv spyware kunnen gelden. en een programma met een backdoor is natuurljik gewoon spyware
Achterdeurtjes die door vreemde mogendheden zijn ingebouwd kunnen in Europa best illegaal of anderszins ongewenst zijn, maar het zou inderdaad kunnen dat de rechter er niet aan te pas komt en Mw. Kroes het ook zo al kan eisen.

Kijk ook naar de houding van Europa ten opzichte van andere vormen van informatiegaring. Mw. Hennes heeft enige tijd geleden nog het overdragen van informatie over vliegtuigpassagiers op de agenda gezet, en dat was niet eens een achterdeurtje.
Zeer jammer om te horen dat die OpenBSD ontwikkelaars zich (toen) om hebben laten kopen. Dit bewijst maar eens dat er een overkoepelend orgaan moet zijn die de code uitvoerig controleerd (en die niet zal zwichten voor een zak geld).

Het hebben van een beveiligingslek of een ontwerpfout in de software is niet te vermijden, maar het opzettelijk aanbrengen van een achterdeur vindt ik echt schandalig! Zeker als het 10 jaar niet wordt opgemerkt.

Dit geeft al aan dat het zeer belangrijk is om een besturingsysteem in meerdere lagen te beveiligen om zo eventuele backdoors en beveiligingslekken te vermijden of uit te schakelen. Ik denk er nu een hoop gebruikers zijn die OpenBSD niet meer vertrouwen, wat eigenlijk de essentie is van een beveiligd computer systeem.


Ik kan mijn gebruikers in ieder geval beloven dat alle software uitvoerig wordt getest in Fortress Linux. Mijn product is gefundeerd op een ideologie en ik zal niet zwichten voor een zak geld voor het creeeren van een lek.
Ik denk er nu een hoop gebruikers zijn die OpenBSD niet meer vertrouwen, wat eigenlijk de essentie is van een beveiligd computer systeem.
Waarom denk je dat een hoop gebruikers OpenBSD niet meer vertrouwen? Laat je een product vallen als er 1 keer een lek of backdoor in zit? OpenBSD heeft, vergeleken met andere OSsen een goede reputatie qua security.
Het is natuurlijk zeer vervelend dat er waarschijnlijk (het is nog niet eens zeker) een backdoor in OpenBSD zit. En zeker als het 10 jaar niet is opgemerkt. Maar ik denk niet dat OpenBSD het enige besturingssysteem is met (mogelijk) een backdoor. Waarschijnlijk zitten in Windows ook wel backdoors, en misschien ook wel in Linux.
Het probleem zit hem niet in een eventuele backdoor, bug, exploit etc. waardoor het vertrouwen van de gebruiker geschaad wordt. Dit is onvermijdelijk omdat software een product blijft dat uiteindelijk altijd door mensen bedacht en gemaakt wordt.

Waar het om gaat is dat een deel van het ontwikkelingsteam achter openbsd opzettelijk een achterdeur heeft aangebracht in de beveiliging en dat niemand nu met zekerheid kan zeggen dat die gasten niet ergens anders nog een achterdeurtje hebben ingebouwd in het systeem. Ik neem aan dat dit niet hun enige project was binnen openbsd.

Mensen zijn (helaas) vaak recidief in dit soort gevallen om de simpele redenen dat het eenvoudig cashen is voor het project of voor voor zichzelf.

De rede waarom openBSD zo "veilig" is, komt omdat er veel deprecated software en andere verouderde technologieen in zitten die hier en daar gepatched worden in het geval van een lek. Echte innovatie is vaak ver te zoeken in de BSD based besturingsystemen, laat staan goede out-of-the-box hardware support . Doe voor de gein maar eens een benchmark tussen een Linux en een BSD systeem.
Waarschijnlijker gaat het hier om een implementatie bug in het IPSEC-protocol, daar helpt geen enkele veiligheidslaten mee.

De bedoeling van zo'n overheidsinstantie (dat is hun werk) om te kunnen afluisten zonder dat ze daarbij ontdekt worden.

Testen helpt ook niet.
als je progt en je hebt een gebruikersnaam/passwoord, dan wordt dat gehashed en krijg je een hash van bijvoorbeeld 16 bits.
het aantal hashes is dus oneindig, maar het algoritme maakt van elke invoer een hash. het is dus zo dat van meer dan 1 invoer de hash exact hetzelfde zal zijn. weet je twee paswoorden met dezelfde hash, dan heb je al een achterdeur.

verder is het dus een kweste van ( een hele lange) tijd, om toch ergen binnen te raken.

maar ook al is er 1 key die MS zelf gebruikt, als ze die aan de nsa geven .. ben je net zo ver.

en die softwar zal niet zo makkelijk aan te passen zijn dat er on the fly even andere keys ingestopt kunnen worden.
nu ben ik geen programmeur maar zou iemand me uit kunnen leggen hoe je zo een backdoor onopvallend in kan bouwen. De sporadische keren dat ik door code van de linux kernel heen blader dan is alles duidelijk gedocumenteerd. Een backdoor moet een redelijk stukje code zijn dus dat moet wel opvallen.
Ik neem ook aan dat het geen backdoor is in de zin van een Trojaans paard, maar het bewust een steekje laten vallen bij de implementatie van een cryptografisch systeem.

Ik meen dat een tijd geleden werd ontdekt dat in bepaalde versies van Debian een fout was gemaakt bij het gebruik van random data voor het genereren van sleutels, waardoor de sleutels nog maar uit een heel klein bereik konden komen. Hoewel het systeem op zich veilig is bij groot genoege sleutels, zorgde deze fout ervoor dat je bij bepaalde Debian versies dus gewoon wist in welk gebied je moest zoeken. Hierdoor neemt het effectieve aantal bits van een sleutel af.

Doorgaans kost een aanval een hoeveelheid tijd is die exponentieel in het aantal bits van een sleutel en een suffe fout kan er zomaar voor zorgen dat je effectief nog maar een kwart van je bits overhoudt. Als je dan bijvoorbeeld van 128 naar 32 bits gaat, dan hoeft de aanvaller nog maar 4294967296 opties te proberen, in plaats van de (ongeveer) 340000000000000000000000000000000000000 opties die je normaal nodig hebt. Dat eerste is voor de FBI prima te brute forcen. Dat laatste wordt al een heel stuk problematischer.
Nee hoor. Als je ergens in de key-exchange een groot stuk code zet, daar geen commetaar bij, en die zwakke key maakt in zeer uitzonderlijke omstandigheden, dan zien veel developers dat echt niet.

Kode auditen op veelvoorkomende vergissingen is makkelijk. Code nakijken op specifieke aanvallen die je niet kent, van stukken code waar je de functionaliteit net snapt is vrijwel onmogelijk.

bv. waarom http://koders.com/c/fid2F...46C.aspx?s=ipsec+bsd#L272 wordt daar de authused variable geraakt? Wat als een packet nu 3x wordt gestuurd, schiet hij dan niet door?
Waarom moet een een backdoor een redelijk stukje code zijn? Dat is nergens voor nodig. Het hoeft maar een kleine, opzettelijke zwakheid te zijn in het systeem.
Zo zie je dat open source programma's ook niet helemaal veilig zijn. Voor geld doet men alles...

[Reactie gewijzigd door tweaker2010 op 15 december 2010 11:46]

Dit slaat natuurlijk nergens op. Deze backdoor heeft zo lang en actief kunnen bestaan omdat de actieve gebruikersgroep van OpenBSD die ook nog eens een goede achtergrond hebben met beveiliging en programmeren over het algemeen betrekkelijk klein is vergeleken met Linux bijvoorbeeld. Daarmee maakt het ontdekken van dit soort zaken gewoon heel lastig.
De actieve gebruikersgroep van OpenBSD is inderdaad klein, maar het deel daarvan die een goede achtergrond hebben met beveiliging en programmeren is juist extreem hoog, juist omdat het zo'n specialistisch op security gefocused OS is. De slogan van OpenBSD:
Only two remote holes in the default install, in a heck of a long time!
, en als je kijkt naar de goals:
# Pay attention to security problems and fix them before anyone else does. (Try to be the #1 most secure operating system.)

# Greater integration of cryptographic software. This means IPsec, key engines, Kerberos, free-AFS, and other forms of strong crypto or crypto-using systems. OpenBSD is developed and released from Canada and due to Canadian law it is legal to export crypto to the world (as researched by a Canadian individual and as documented in the Export Control list of Canada). OpenBSD developers are doing active research and development on IPsec.
zie je dat er juist expliciet op het gebied van cryptografie, en IPsec in het bijzonder, veel gedaan wordt. Dat maakt dit bericht juist zo'n groot nieuws, en in mijn ogen ongeloofwaardig.

[Reactie gewijzigd door paulus83 op 15 december 2010 20:58]

Waarom zou een geheimhoudingsverklaring slechts tien jaar duren? Mocht het plan werken dan wil je je later niet in de vingers snijden.
Kan een geval van foutjebedankt zijn, verkeerde verklaring laten ondertekenen. Of het was toen een acute noodzaak waarvan het niet erg is dat hij later zou uitlekken.
Mogelijk omdat ze verwachten dat de nieuwe computers zo veel sneller zijn dat bruteforce ook wel werkt ?
De FBI dacht natuurlijk - toendertijd! - dat de IPSec-stack, na 10 jaar wel inmiddels herschreven zou zijn.
Weet iemand(jurist of iets) of dit wel mag volgens de wet(ten) die gelden in afzetlanden? Mag deze OS(btw in windows zit ook zoiets, de beruchte NSA-key backdoor) waar bewust een backdoor in zit wel zo verkocht worden aan mensen? Is dit niet van af het begin aan al privacy schennis?

[Reactie gewijzigd door grind op 15 december 2010 11:47]

Ben geen jurist, maar je mobieltje mag volgense onze weet ook al afgeluisterd worden, en die worden ook vrolijk verkocht. Het zou inderdaad fijn zijn als je privacy gegarandeerd werd, maar helaas is dat anno 2010 geen prioriteit meer.
En wat wil je ermee bereiken? Het punt is dat de bron(OPENBSD IPsec) een BSD licentie heeft. Dat houd in dat derden de code naar eigen believen mogen kopiŽren en aanpassen en deze niet terug hoeven te melden naar de oorspronkelijk. partij die het ontwikkeld heeft.
Het is dus de verantwoordelijkheid van derde partij hoe goed zij de code hebben doorgespit en deze hebben verbeterd indien nodig. En geen enkele serieuze partij gaat zomaar een stuk implementeren wat te maken heeft met security zonder de broncode na te checken of er wel serieuze gaten zijn die gedicht moeten worden.
En mocht het blijken dat dat er klanten zijn die actief last van deze bug hebben komt het meestal op neer dat er beroep op het support wordt gedaan(omdat er in het contract staat dat de partij zich eerst de kans moet krijgen om zich te verbeteren en mochten er fouten geconstateerd worden dat de partij niet ter verantwoording geroepen kan tenzij er een aanzienlijke schadepost is ontstaan die niet hoger mag zijn dat een x percentage) om het alsnog te repareren. De schade die de betreffende bedrijven lijden kunnen zij niet verhalen op OpenBSD en ook niet de FBI want het is hun eigen verantwoordelijkheid geweest.

Uiteindelijk zal de FBI niet eens een politieke tik op de vingers krijgen want Amerikaanse diensten mogen in principe vrijwel alles doen in het kader van "Homeland security". en daarmee is de zaak af.
In Open Source zou iemand dat toch moeten hebben zien, lijkt me.
Was er geen ipsec stuff van OpenBSD naar Linux geport ook op een bepaald moment?
FreeSWAN en OpenSWAN, de meestgebruikte ipsec oplossingen voor Linux, zijn niet gebaseerd op *BSD. Bron: http://twitter.com/letoams/status/14830806371401728
Klopt. Die gebruik ik ook. Maar er is ook ipsec-tools, afgeleid van KAME en dat zit wel in FreeBSD/NetBSD/OpenBSD.
Er is ENORM veel vanuit BSD gebruikt.
ZO en zo in alle UNICES, maar ook in Linux.
Zelfs in Windows op een bepaalde moment. (netwerk stack, maar dat is nu niet meer zo)
BSD != openBSD != FreeBSD
BSD = openBSD = FreeBSD
Dat zeg ik ook nergens.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True