<轉貼>FBI被指控：10年前在OpenBSD中放置後門程式

cremaker

可能有人對 OpenBSD 這個作業系統不了解, 但若是 FreeBSD 一族, 應該都了解它.. 有人會覺得 FreeBSD 不好玩, 如果有試過 OpenBSD, 玩起 FreeBSD 實在是太簡單了..

這麼嚴謹、安全, 有點不合人性的作業系統, 居然被人抓猴..

唉.. 米國還有多少 "維基解密" 的鳥事未能為人所知 .. XD

以下是轉貼網址及部份內容:

http://www.ithome.com.tw/itadm/article.php?c=65079

---- 轉貼部份內容 ----

由於OpenBSD開放軟體現已被其他Unix-based作業系統所廣泛採用，這個郵件曝光後引起了廣泛的關注。目前，FBI尚未對此事發表評論。

根據週二被(12/14)公佈出來的一封電子郵件指出，美國聯邦調查局(FBI)早在2000至2001年間，曾花錢買通部分OpenBSD IPSEC堆疊的開發人員，在程式中放入後門程式，以供監控加密流量之用。

這是由FBI前顧問Gregory Perry寫給OpenBSD創辦人Theo de Raadt的電子郵件，Theo de Raadt隨後將它公諸於世。信中表示，在歷經十年之後，IPSEC堆疊程式碼已經廣泛使用，並經過多次修正，他不知道這個迄今才出現的指控，真正造成了多大的影響。Theo de Raadt當時曾是OpenBSD計畫的主要開發人員。

chaos

如果是真的，FBI真是很好很強大...

這些事情總是真偽難辨..
即使是真的，FBI也可以放一些假消息讓事情真偽難辨、撲朔迷離
民意就不會一致，淪為茶餘飯後的鬥嘴話題，等下個爆料一來這事就拋到九霄雲外了

oldhan

別以為開放程式一定安全,
事實上有幾個人去看?
就算真的有後門放在那也視若無睹.
米國是現代的巴比倫邪惡帝國.

hehechang

邪惡的美帝不是叫假的
難怪對岸一直堅持從通訊協定到作業系統全部自己開發
就是怕被美國利用電腦系統偷取機密及背後桶刀.....XD

cremaker

嗯.. 我有同感..

現在的戰爭, 早就從面對面的廝殺變成資訊電子戰..

話說大陸那, 早就成立了資訊、電子戰部隊, 只要苗頭一不對, 就可很快速的癱瘓對方的電腦及指揮系統, 不知台灣在這方面做的如何了? XD..

wst2080

話說大陸那, 早就成立了資訊、電子戰部隊, 只要苗頭一不對, 就可很快速的癱瘓對方的電腦及指揮系統, 不知台灣在這方面做的如何了? XD..
cremaker 發表於 2010-12-18 11:31 AM http://bbs.pigoo.com/images/common/back.gif

台灣? 算了吧~~~ 台灣軍方唯一可取就只有 軍民網獨立 (不過還是有人違反規定) 這點而已~~~
至於他們有甚麼攻擊與防護能力???
哈哈!!! 怎麼有可能? 都太仰賴於現有的作業平台~~~ 並無自己的開發能力~~~

    這就是台灣的悲哀~~~ 看近不看遠~~~

lmu99

台灣的網軍應該只負責將長官的D槽塞爆而已吧:sam23

gi0001tw

這消息應該是假的成份比較多，如果你了解什麼叫做「open」。
它指的是開放原始程式碼，很多的人都下載原始程式碼再自己編譯成可以執行的程式。如果放了後門在原始程式碼，馬上就會被抓包，而且證據確鑿。
有些人直接下載編譯好的程式，如果把後門放在編譯好的程式裡面，一比對就會被抓包。

cremaker

這消息應該是假的成份比較多，如果你了解什麼叫做「open」。
它指的是開放原始程式碼，很多的人都下載原始 ...
gi0001tw 發表於 2010-12-18 09:55 PM http://bbs.pigoo.com/images/common/back.gif

說實在的, 我也不曉得真實性多高, 不過我覺得很有可能是真的..

1. 這個圈子不若政治、媒体.. 圈, 大家都是很珍惜羽毛的, 很少(幾乎)沒看過有人為了想出名, 發佈不實消息
2. 沒錯, 這是 OPEN 的, 可下載 source 來研究, 但有誰會閒閒的來看那幾萬其至幾十、幾百萬的程式來虐待自己, 這也是很多資安問題往往在事情發生了才引人注意, 而不是在 coding 階段就被找出來
3. 按 FBI 的惡習, 很有可能, 另外, 大家了解以前的 NT, 據說也是如此, "規定" 一定要裝些有的沒的
4. 在網路協定方面, 很多都是 BSD-Like 貢獻出來的, 那麼, 雖然是十年前的鳥事, 但誰敢保證現在沒問題了

逃兵

說實在的, 我也不曉得真實性多高, 不過我覺得很有可能是真的..

1. 這個圈子不若政治、媒体.. 圈, 大家都 ...
2. 沒錯, 這是 OPEN 的, 可下載 source 來研究, 但有誰會閒閒的來看那幾萬其至幾十、幾百萬的程式來虐待自己, 這也是很多資安問題往往在事情發生了才引人注意, 而不是在 coding 階段就被找出來
cremaker 發表於 2010-12-18 10:15 PM http://bbs.pigoo.com/images/common/back.gif

    你不會去看，不表示別人不會去看。
你不去看的原因是你不寫程式。
別人會去看，是因為他們要做的產品是 IP 分享器等等等的設備。
它裏面有太多可以給那些工程師抄的。
以你說的，這麼多年來那個部份也改了很多版。
改版？？？能不去看它的原始碼就可以改嗎？
那樣的後門還能藏得住嗎？

cremaker

回復 10# 逃兵

呵.. 等你去看過程式, 再來請教你嚕.. :sam05..

conbawa

看做法吧...
如果像WINDOWS應用程式之類的做法,包裝成DLL給人調用
用的人只知道怎麼去CALL這個DLL,怎麼去接傳回值
這樣就有可能能夠把後門藏在裡面
OPEN SOURCE的話,應該不容易
險惡一點的想法是......用這個去打擊OpenBSD,搶市佔率?

逃兵

回復  逃兵

呵.. 等你去看過程式, 再來請教你嚕.. ..
cremaker 發表於 2010-12-20 09:57 AM http://bbs.pigoo.com/images/common/back.gif

    難喔。。。。。。
你還是先去悟定靜安慮得
物有本末,事有終始,知所先後,則近道矣
比較實在。n_136|

conbawa

哇咧......連大學之道,在明明德 都出現了   n_144|

cremaker

看做法吧...
如果像WINDOWS應用程式之類的做法,包裝成DLL給人調用
用的人只知道怎麼去CALL這個DLL,怎麼去接 ...
conbawa 發表於 2010-12-20 10:04 AM http://bbs.pigoo.com/images/common/back.gif

寫程式的都了解, 很少人會去看完整個 Source 的..

以痞酷使用的程式來說吧, 若要改一個部份, 有沒必要去看完整個程式呢? 這在效率及時間上絕對是划不來的..

而且目前程式大多是分工寫的, 很多只要了解程式的 IO (程式黑箱), 也就是輸入什麼, 可得到什麼, 這就夠了..

像很多使用 BSD-Like 開發的通訊硬体, 也是僅改要使用的部份, 沒完整的 trace 個整個程式, 因為時間就是金錢啊..

所以 Open Source 的, 不是沒問題, 只是這個問題有沒有人去發現.. 這才是重點..

逃兵

哇咧......連大學之道,在明明德 都出現了
conbawa 發表於 2010-12-20 11:43 AM http://bbs.pigoo.com/images/common/back.gif

    其實應該用論語中的"道聽而塗說"比較合適 n_119|

可是如果遇到自己不熟卻硬要違反自己的能力去做的話，就是要用"君子務本"來勸說了。n_099|

cremaker

到了這個年齡, 覺得最要的就是 "勿意、勿必、勿固、勿我".. 互勉之..

pchappy

其實應該用論語中的"道聽而塗說"比較合適

可是如果遇到自己不熟卻硬要違反自己的能力去做的話，就是要用"君子務本"來勸說了。
逃兵 發表於 2010-12-20 05:38 PM http://bbs.pigoo.com/images/common/back.gif

    還好 這個壞習慣我早就改了 哈哈 有一分證據就一分話 才是根本 我是被李昌鈺給感化的... 殺肉殺多了 真的可以體會這一句 @@

pchappy

看做法吧...
險惡一點的想法是......用這個去打擊OpenBSD,搶市佔率?
conbawa 發表於 2010-12-20 10:04 AM http://bbs.pigoo.com/images/common/back.gif

    現在應該是追殺比爾的時候到了...哈哈