Leo管理员,很抱歉把帖子发在这个板块了,我虽觉得不合适,但其他几个板块更不合适。这个消息刚刚有网友发个給我的,我英文烂阿,不知道这个后门米国政府具体搞了什么名堂,也不知消息真假。发过来请教和求证。
链接:http://marc.info/?l=openbsd-tech&m=129236621626462&w=2
大家对OpenBSD IPSEC后门事件怎么看?
我很少关心这种花边新闻,也很少察看邮件列表,惭愧。unreal 写了:Leo管理员,很抱歉把帖子发在这个板块了,我虽觉得不合适,但其他几个板块更不合适。这个消息刚刚有网友发个給我的,我英文烂阿,不知道这个后门米国政府具体搞了什么名堂,也不知消息真假。发过来请教和求证。
链接:http://marc.info/?l=openbsd-tech&m=129236621626462&w=2
大致意思就是:
我收到了一封有关早期OpenBSD IPSEC堆栈开发的邮件。它声称一些早期的开发人员(以及雇用他们的公司),在2000到2001年期间,接受了美国政府的钱,在我们的网络堆栈里放置了后门程序,特别是IPSEC。
因为我们的IPSEC堆栈是首个自由使用的, 所以目前可以在很多项目/产品中找到它的代码。经过10年,IPSEC代码经过了很多次的变化和修正, 所以很难说这个说法会产生什么样的真正影响。
(我的理解这里的意思是:即便此事是真的,也要看你采用的是什么时候的OpenBSD的IPSEC堆栈代码。言下之意,目前我们OpenBSD的代码是安全的)
这份私人邮件来自一个将近10年没有和我联系的一个人。我不会参与这类阴谋, 也不会与Gregory Perry就此事进行进一步的交流。因此我决定现在将此邮件公开,以便:
(a) 使用这个代码的人可以自行检查或修正此问题,
(b) 那些对此事感到愤怒的人可以采取其他的行动,
(c) 如果此事纯属捏造,背诬陷方可以为自己辩护。
当然,我也不喜欢我的个人信件被别人到处转发。不过相对于政府花钱收买开源社区里的开发人员(我们的朋友中的一人)在程序里设置后门这种大是大非的问题,我转发一下别人邮件也就谈不上违背道德规范了。
原文我就不翻译了,但是相信大家可以从Theo的声明里体会出他的意思。
我的理解:
首先,这个说法已经无从查证了,源代码早就有了很大的变化。2000-2001年的源代码谁手里还有?即使有恐怕也不能作为呈堂证供吧,谁能说就是那个开发者所为?
其次,Theo的意思是,拷贝我们源代码的公司或个人请自行检查一下自己的代码,别说我没提醒大家。
再次,Theo的意思是,这个故事不是我编的,是别人告诉我的,而且这个人我也不知道是真是假,如果伤及了无辜,与我无关,你们可以自我辩解 —— 呵呵,这句话意义不大,首先是证据就不是铁证。消息本来就是道听途说。
总之, 有点无稽之谈的味道,我的理解是:
1. 既然Theo公布了这份邮件,我相信OpenBSD系统内的代码已经或马上会进行审查,我们直接关注patch就可以了。
2. 此外,是否真和美国不给OpenBSD资助有关我们也不得而知, 这个Theo心里最明白。(也许当初拿了那200万也就...)
3. 即便美国政府有这种想法,也不会以政府或这政党的身份收买开发人员,明摆着暴露后就别在下次选举中取胜了。
4. 即使要放置后门程序,硬件里迁入一段代码也并非难事。
我的理解:
首先,这个说法已经无从查证了,源代码早就有了很大的变化。2000-2001年的源代码谁手里还有?即使有恐怕也不能作为呈堂证供吧,谁能说就是那个开发者所为?
其次,Theo的意思是,拷贝我们源代码的公司或个人请自行检查一下自己的代码,别说我没提醒大家。
再次,Theo的意思是,这个故事不是我编的,是别人告诉我的,而且这个人我也不知道是真是假,如果伤及了无辜,与我无关,你们可以自我辩解 —— 呵呵,这句话意义不大,首先是证据就不是铁证。消息本来就是道听途说。
总之, 有点无稽之谈的味道,我的理解是:
1. 既然Theo公布了这份邮件,我相信OpenBSD系统内的代码已经或马上会进行审查,我们直接关注patch就可以了。
2. 此外,是否真和美国不给OpenBSD资助有关我们也不得而知, 这个Theo心里最明白。(也许当初拿了那200万也就...)
3. 即便美国政府有这种想法,也不会以政府或这政党的身份收买开发人员,明摆着暴露后就别在下次选举中取胜了。
4. 即使要放置后门程序,硬件里迁入一段代码也并非难事。
OpenBSD开发者否认加入FBI后门
http://solidot.org/articles/10/12/16/0341239.shtml
Gregory Perry声称FBI付费给OpenBSD的IPSEC协议栈开发商NETSEC,让他们在代码中植入后门。Perry曾担任NETSEC公司的CTO,他指控Jason Wright和其他几位开发者负责了后门的开发。
现在原开发者已经正式发表回应,要求Gregory Perry公开道歉,否认植入了任何后门。Jason L.Wright指出,在开发OpenBSD加密框架(OCF)期间,Perry没有在NETSEC工作,在2000年1月前Perry已经离开了NETSEC,OCF是从2000年2月才开始开发。他声称指控毫无根据。另外几位卷入此事的开发者和程序员也都否认指控。
OpenBSD在加密代码中发现两个bug
http://blog.chinaunix.net/u/11818/showart_2437340.html
在收到FBI付费给开发者在OpenBSD加密框架中植入后门的信函后,OpenBSD开始了代码审查工作,目前已经在加密代码中发现了两个bug。
OpenBSD项目创始人Theo de Raadt称,他们正在评估其影响,检查旧的代码。Gregory Perry指控IPSEC协议栈的前开发者与FBI合作,被公开姓名的两位前开发者Jason L.Wrigh和Scott Lowe都予以否认。
http://solidot.org/articles/10/12/16/0341239.shtml
Gregory Perry声称FBI付费给OpenBSD的IPSEC协议栈开发商NETSEC,让他们在代码中植入后门。Perry曾担任NETSEC公司的CTO,他指控Jason Wright和其他几位开发者负责了后门的开发。
现在原开发者已经正式发表回应,要求Gregory Perry公开道歉,否认植入了任何后门。Jason L.Wright指出,在开发OpenBSD加密框架(OCF)期间,Perry没有在NETSEC工作,在2000年1月前Perry已经离开了NETSEC,OCF是从2000年2月才开始开发。他声称指控毫无根据。另外几位卷入此事的开发者和程序员也都否认指控。
OpenBSD在加密代码中发现两个bug
http://blog.chinaunix.net/u/11818/showart_2437340.html
在收到FBI付费给开发者在OpenBSD加密框架中植入后门的信函后,OpenBSD开始了代码审查工作,目前已经在加密代码中发现了两个bug。
OpenBSD项目创始人Theo de Raadt称,他们正在评估其影响,检查旧的代码。Gregory Perry指控IPSEC协议栈的前开发者与FBI合作,被公开姓名的两位前开发者Jason L.Wrigh和Scott Lowe都予以否认。
在线用户
正浏览此版面之用户: 没有注册用户 和 28 访客