ФБР внедряло backdoor'ы в OpenBSD или вот тебе и самая безопасная ОС | автор: Luca | 15 декабря 2010
Категория: GNU/Linux, Security
Вот тебе и открытые исходные коды, вот тебе и самая безопасная ОС… вот и тебе комьюнити сутками напролет читающее исходные коды.
Основателю и идейному лидеру OpenBSD прислали письмо с признанием в том, что ФБР внедряла бэкдоры в код IPSec, который из OpenBSD тянули все, кому не лень…
Сама идея внедрения бекдоров в открытый код вызывает озадаченность.
Как минимум потому, что таким бекдором может воспользоваться не только автор и правительство, но и любой, кому хватит любопытства и квалификации разобраться с кодом. А это уже создание серьёзных рисков — ведь систему могут использовать и крупные коммерческие организации, и государственные (которым про наличие дырки знать не положено).
К теме про то как внедряют бэкдоры http://anticopyright.ru/wiki/Wait4%28%29 если отбросить шелуху, про "в линукс это невозможно, потому что невозможно", то более ясная картина вырисовывается.
Итого получается, что:
1. внедрить опасный код в открытые проекты (банально закоммитив патч) достаточно просто
2. внедрить код в закрытый (проприетарный) продукт многократно сложнее
3. открытый код спасает от разного рода простых зловредных коммитов
4. в случае с открытым кодом больше "точек вхождения" ибо придется спрашивать со всего сообщества, а не с одного человека
5. в закрытых проектах если и есть закладка, то она на 99,99% могла быть внесена только самим разработчиком, а не сторонним дядькой
6. открытый код слабо спасает от хитрых и зап.танных уязвимостей. Вспомним сколько дырок в FireFox и самом linux каждый месяц находят. Ведь любая дыра фактически равно закладка.
источник
Прочитано 9339 раз и оставлено 318 комментариев.
Вот тебе и открытые исходные коды, вот тебе и самая безопасная ОС… вот и тебе комьюнити сутками напролет читающее исходные коды.
Основателю и идейному лидеру OpenBSD прислали письмо с признанием в том, что ФБР внедряла бэкдоры в код IPSec, который из OpenBSD тянули все, кому не лень…
Сама идея внедрения бекдоров в открытый код вызывает озадаченность.
Как минимум потому, что таким бекдором может воспользоваться не только автор и правительство, но и любой, кому хватит любопытства и квалификации разобраться с кодом. А это уже создание серьёзных рисков — ведь систему могут использовать и крупные коммерческие организации, и государственные (которым про наличие дырки знать не положено).
К теме про то как внедряют бэкдоры http://anticopyright.ru/wiki/Wait4%28%29 если отбросить шелуху, про "в линукс это невозможно, потому что невозможно", то более ясная картина вырисовывается.
Итого получается, что:
1. внедрить опасный код в открытые проекты (банально закоммитив патч) достаточно просто
2. внедрить код в закрытый (проприетарный) продукт многократно сложнее
3. открытый код спасает от разного рода простых зловредных коммитов
4. в случае с открытым кодом больше "точек вхождения" ибо придется спрашивать со всего сообщества, а не с одного человека
5. в закрытых проектах если и есть закладка, то она на 99,99% могла быть внесена только самим разработчиком, а не сторонним дядькой
6. открытый код слабо спасает от хитрых и зап.танных уязвимостей. Вспомним сколько дырок в FireFox и самом linux каждый месяц находят. Ведь любая дыра фактически равно закладка.
источник
ВНИМАНИЕ !
Возможно что-то уже неактуально. Обращайте внимание на даты !
Эта статья опубликована 15 декабря 2010-го года !
Прочитано 9339 раз и оставлено 318 комментариев.
#1.Linfan