Организация OpenSSF (Open Source Security Foundation), созданная под покровительством Linux Foundation для повышения безопасности открытого ПО, предупредила сообщество о выявлении активности, связанной с попытками получения контроля над популярными открытыми проектами, напоминающей по своему стилю действия злоумышленников в процессе подготовки к подстановке бэкдора в проект xz. По аналогии атакой на xz сомнительные личности, ранее глубоко не вовлечённые в разработку, пытались использовать методы социального инжиниринга для достижения своих целей...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61010
Дожили. Дойдет до дискредитации всего ОпенСорц так скоро и все закроют. Корпорасты будут рады
Копры не будут рады, они же сами юзают СПО,
И как они будут воровать код, выдавая это за свои инновации?
> И как они будут воровать код, выдавая это за свои инновации?Как, как! Ставишь мышеловку, заряжаешь свежий сыр, на самом кассовом месте выставляешь... а потом ночью вот поссать приспичит... и истошный ор подтвердит: мышеловка - работает, а место - популярное! Как-то так, видимо.
Оооспыдя. Да "корпорасты" УЖЕ захватили развитие этого самого "ОпенСорц" чуть (Немонетизируемые хелловроты так уж и быть - пилите сами) менее, чем совсем и научились зарабатывать на нем в этих самых условиях.
Что значит захватили? Захват невозможен пока лицензия этого не позволяет.
Элементарно: перестанут код писать и всё. Никакие визги бородатого про щвабoдку и плач так называемого сообщества проект не спасут.
> Что значит захватили? Захват невозможен пока лицензия этого не позволяет.Redis чей?
Ротенберга?
Ротенберга выслать на Луну с тонной крупы.
1. Вряд ли закроют, сделают участие по скажем так аусвайсу; грубо говоря модель "всякий может нам помочь" останется только у проектов "ниже радара", а всё что более-менее в проде будет начинаться с "покажите паспорт".
2. Корпорасты не будут рады и наоборот буду искать способ сохранить модель совместной разработки и совместного использования, защитив её при этом от таких казусов. Она экономит всем огромное количество времени и средств, зачем от неё отказываться?
1.
Не вижу в пункте 1 ничего плохого.
Если проект серьезный, то разработчики должны хотя бы подписываться с использованием PGP.
А для того чтобы это было не "васян знает васяна который с васяном пили пиво в одном баре", нужно хотя бы один раз встретится лично.2.
У корпов такая ситуация может случиться реже, тк у них сотрудники с галеры и подотчетные.
Если к условному гуглу придут копы со словами "ваш сотрудник внедрил бекдор", то они его выдадут с потрохами и будут правы.
> Не вижу в пункте 1 ничего плохого.По-моему ничего не даст в смысле безопасности, а значит вредно.
Можно взять проект "ниже радара" с высокой перспективой на рост, внедрить в него бэкдор и дождаться перехода проекта в статус "маст хэв".
Наличие "аусвайса" не решает проблему. Что Вы мне сделаете, если мой "аусвайс" выдан в Конго или Северной Корее? А если будут приниматься только "аусвайсы" выданные фюрером Града На Холме, то какой же это опенсорс? Да и "аусвайс" можно украсть или подделать - самого разработчика то всё равно ни кто в глаза не видит.Тут скорее нужно изменить тактику принятия чужого кода. Проводить аудит на безопасность, читаемость и т.п., а уже потом сливать в main. Но как часто проекты проходят аудит на безопасность?
> Тут скорее нужно изменить тактику принятия чужого кода. Проводить аудит на безопасность, читаемость и т.п., а уже потом сливать в main.С таким подходом множество программистов за бортом останутся. Писать простой код и при этом не выпендриваться знанием обскурных языковых конструкций, не заниматься микрооптимизациями, в общем писать без «флёра» дано не каждому. Кодер, который пишет так, чтобы было понятно всем, кто это будет потом читать на вес золота. Слишком многие код пишут как на опеннете новости комментируют, с позиции, мол, неосиляторы должны страдать. И выкинул бы иного с проекта, но кто кодить тогда будет? Вот и приходится часы тратить на воспитание…
> Но как часто проекты проходят аудит на безопасность?
Не всякому проекту это необходимо. А кому необходимо, тем на аудит FAANG подаёт так или иначе.
> сделают участие по скажем так аусвайсуА смысл? Ну прилетел тебе на гитхаб патч и скан аусвайса. Что дальше?
Уже дескридитировано (protestware).
Они как раз таки и будут недовольны в первую очередь. Больше половины всего у них держится на Open Source
Была похожая история с php-swoole, когда ментейнеры ни с чего вдруг добавили eval(). Их быстро спалили и форкнули проект в open-swoole, но осадочек остался =\ хотя сейчас они вроде бы сидят и не отсвечивают.
Кстати вроде бы то тоже были китайцы.
c xz -- это были не китайцы, алюди косящие под китайцев, причсем не очень умело.
Пруфы?
В xz/liblzma был не китаец, и не сингапурец. В коммитах и в ответах на почту проскакивала временная зона +0300/+0200 (т.е. с зимним временем). Это часовой пояс EET (Eastern European Time):
Болгария
Греция
Израиль
Иордания
Кипр
Латвия
Ливан
Литва
Румыния
Молдавия
Государство Палестина
Сирия
Украина
Финляндия, включая
Аландские острова
Эстония
Думаешь китайцы не умеют временные зоны менять?
только комментаторы опеннета умеют по IP других вычислять, но себя скрывать
Хорошая попытка "вредоносный китаец", но мы знаем что это ты пакет затроянил.
Ну-ка вычисляй, сижу на голом динамическом IP
Но, если он пытался выдавать себя за китайца, то почему бы не менять часовой пояс на китайский?
Израильские компании славятся своими инструментами для взлома телефонов и прочими шпионскими игрушками.
> проскакивала временная зона +0300/+0200То есть когда мне звонят с номера 900, то это настоящий Сбербанк?
А какие ещё варианты? Конечно же он.
Иногда да.
С 900 — вероятно, настоящий. Мошенники гораздо чаще звонят с +7-985-ххх-хххх.
Для более кастомизированных аппаратов на Android есть опция безопасности типа "Блокировать вызовы от незнакомых". Для более простых аппаратов то же делает аппаратный режим "Не беспокоить". И то, и другое приведет к приему звонков только из адресной книги (хотя от подмены номеров не спасет).
И чисто случайно залили бекдор 23 февраля. Какое совпадение.
https://git.tukaani.org/?p=xz.git;a=commit;h=cf44e4b7f5dfdbf...
И вторую версию 8 марта, btwBump version and soname for 5.6.1. v5.6.1
Fri, 8 Mar 2024 19:42:50 -0800 (11:42 +0800)
https://git.tukaani.org/?p=xz.git;a=commit;h=fd1b975b7851e08...
Похоже на weekend-проджект скучающего на длинных выходных разраба.
rtfm) Там года 3 аккаунт готовили.
> Была похожая история с php-swooleЧто, мягко говоря, неправда. eval был добавлен основным и изначальным разработчиком swoole с целью поддержки "встроенного дашборда". Потом этот коммит был откачен. Но человек, занимавшийся поддержкой англоязычного сайта swoole (помним, что основная команда разработчиков - китайцы), решил сделать форк и создал openswoole.
На момент, когда я изучал ситуацию пару лет назад, мы имели (насколько могу вспомнить):
- openswoole, представляющий собой минорные фиксы к версии двухлетней давности; поддерживается единственным человеком, занимавшимся ранее администраторскими задачами проекта, который и стал причиной форка,
- swoole, успевший получить мажорное обновление; проддерживается полной командой разработчиков, которые занимались им и до форка (к слову, именно один из них закоммитил странное).Ситуация больше похожа на стандартное gimp/vs/glimpse , когда проект форкается тем, кто неспособен вести разработку, и после форка с большой долей вероятности замораживается, пока не помрёт; при этом основной проект продолжает развиваться.
Язык Rust активно навязывается и агрессивно навязывается, как замена C/C++ и группа поддержки вокруг есть и всё это так доброжелательно во имя безопасности...
Чорт, кажется нас заметили
> доброжелательное, но в то же время агрессивное и настойчивое, приставание малоизвестныхтак это вообще типично для любых инсектантов, не только линуксоидных евангелистов. так что все нормально, расходимся.
> JavaScript
> MochaПонятно.
А что понятно? Что названо в часть кофейного напитка? Чилийского острова? Эквадорского города? Не томи!
А что не так? Вы там хотели инклюзивности, вы напринимали всяких CoC в соответствии с которыми все важно, кроме технической компетенции. Ну и вот.
Я тебе больше скажу, техническая компетенция у этих людей, в общем-то, тоже огонь.
О какой технической компетенции можно говорить, если в XZ принимались и апрувались пуллреквесты с отключением тестов?
Без каких либо вопросов и объяснений.
Там сидели малопонимающие васяны, которым просто повезло (или не повезло))) что их проект выстрелил и стал популярным.
О, теперь можно говорить не "твой код -- дерьмо", а "код довольно запутанный, подозреваю бэкдор."
Но с большой вероятностью, если код какаха, то там будет если не бекдор, то просто какая-то уязвимость с RCE как минимум)
Это подтверждается новостями про "нашли пачку уязвимостей" про практически все опенсорсные проекты начиная с ядра до libc.
>Такера Карлсона с Павлом Дуровым. Очень интересно получилось. Создатель Telegram рассказывает про попытку 🇺🇸🎩ФБР завербовать одного из инженеров в его компании, которого спецслужбы хотели использовать для 😷"продвижения cпециальных open-source библиотек", чтобы интегрировать их в код Telegram, а затем использовать в качестве 🥷 бэкдора для шпионажа за пользователями.Этот ваш СПО совсем не вреден.
Суть одержимости может принимать любую форму, в т.ч. и форму вопросов про спулер печати в винде, пароли вайфай с телеметрией и веру в crates.io, npmjs.com и github.com просто потому что так сказали.
Учитывая "репутацию" что Пашка-верни-стену, что Такера (не уверен что это слово вообще можно применять к ним) то им верить, себя не уважать.
Не лишним будет напомнить - "все врут". Даже те, кто нам/вам очень нравится.
Вранье! Если все врут, то и вы врете, что все врут, а значит кто-то говорит правду. Иногда. Но это не точно.
> приставание малоизвестных участников сообщества к сопровождающимТак ведь это именна та инклюзивность, коиторой все хотели и которая прописана в СоС-ах!
А ты думал просто так продвигали?
> В качестве причины обновления указывалось на необходимость добавления "защиты от любых критических уязвимостей". При этом никаких подробностей о сути уязвимостей не приводилось.Как знакомо. Как и все 99% об уязвимостях - мы нашли, ааа, апасна!!! Но пруфов - не. Покупайте наш антивирус.
Правильно делают Open Source Security Foundation. Всегда должны прилагаться пруфы, показывающие что уязвимость есть.
Да это давно началось, когда инклюзивная моззила создала rust и началось его активное продвигание в том числе и ядро линукс
Вообще то что у языка, самой концептуальной и абстрактной вещи есть какие-то фонды, не есть хорошо
Потому что это никакая не свобода
а я вот думаю, что таким образом они хотят _некотролируемые уязвимости_ ограничить
Они хотят чтоб ты так думал
я на Си кодю с 15 лет. Я он меня достал, благо уже есть сравнению с другими языками, на которых я тоже пишу.
Покажи хоть один коммит в ядро или драйвер, который ты на кодил с 15 лет
>я на Си кодю с 15 лет.Т.е. меньше года.
Активизация мошеннической активности в сегменте СПО явно указывает на финансовую привлекательность. Плохая новость состоит в том, что отныне придется постоянно с этим жить (как со звонками из СБ банка)- они уже в покое не оставят.
Многим придется отращивать яйца, и научиться слать всех левых ребят куда подальше
не волнуйся, они скоро через CoC залезать научатся.
> Активизация мошеннической активности в сегменте СПО явно указывает на финансовую привлекательность.Неа, скорее на отсутствие, контроля, ответственности и здравого смысла)
Просто пишешь более менее рабочий код.
Рекламируешь его среди гиков, подсаживаешь на него корпов, а потом внедряешь бекдоры.
Просто "тысяча глаз" - это была отличная реклама "мнимой безопасности", которой, как выяснилось, нет и не было.
(Хотя наличие всяких хартблидов, уже намекало что опенсорс это не безопаснее чем закрытый код)> Плохая новость состоит в том, что отныне придется постоянно с этим жить (как со звонками из СБ банка)- они уже в покое не оставят.
В смысле?
Просто на входе в проект или тщательно проверяешь все-все пулл-реквесты (но тогда проще писать самому) или проверяешь паспорт)
В случае факапа - просто сообщаешь полиции/милиции что вот такой человек нехороший, а там пусть спецы разбираются.
>В качестве причины обновления указывалось на необходимость добавления "защиты от любых критических уязвимостей""На вашем счете орудуют мошенники, скажите код из смс!"
Классика
> запутанного или трудного для понимания кода.Это должно быть первым правилом, и даже не из-за безопасности, а из-за того, что запутанный или трудный для понимания код сложно поддерживать, а попытки внести туда изменения привносят баги.
Если код не понятен через пять секунд разглядывания, то надо прикидываться валенком и говорить: я не понимаю этого кода, переписывай. Исключения из этого правила возможны, но они должны быть а) обоснованы, б) всё же быть не сложнее, чем минимально необходимо.
И, кстати, это основная причина, почему ООП должен быть под запретом, он усложняет код, и делает простые вещи сложными, приводя в качестве обоснований какой-то бред типа "повторное использование кода" или что-то типа того.
Согласен со всем, кроме тезиса про ООП. Как правило он не мешает, позволяя создать нужные разработчику иерархии классов. (Опять же, какое ООП. То что в Java - не совсем ООП =) ) Опять же, если человек дебил, ему любую технологию дай, он везде умудрится всё испортить и сделать через задницу.
По моему опыту, чем умнее человек, и чем глубже он вник в ООП, тем больше он занят не тем, чтобы решать проблемы при помощи ООП, а чтобы городить ООП на ООП при помощи ООП, для того чтобы ООП ООП ООП ООП. Любой инструмент нужен для решения каких-то проблем, но ООП решает несуществующие проблемы (которые, может быть возникнут в будущем, но могут и не возникнуть) и таким образом создаёт проблемы уже сейчас.Мне кажется, что единственный способ с этим бороться -- вычитать из зарплаты программиста за каждое использование наследования. Вот тогда он начнёт думать, когда наследование упрощает ему жизнь, а когда это условный рефлекс, наследую потому что могу наследовать.
Длительное время, пока работал на Java - не встречался прямо с сильными проблемами из-за кривого использования ООП.Знакомо. В тоже время пимерно такие же симптомы видел - как практически всё пытались решить с помощью CQRS, в то время когда он реально нужен в процентах 5 случаев.
Там прямо мания была - все как хомяки копировали говнокод с medium.com, и дружно прыгали вокруг свеже образовавшемуся техдолгу. В 100% случаев техдолг не решался во время жизненного цикла продукта, а копился и стрелял плавающими багами.Как правило - удалял CQRS и всё становилось лучше.
Опять же, я не говорю что он(CQRS) не нужен никогда(можно посмотреть на решение задачки про Твиттер из собеседований). Он не нужен в 95% случаев. Как и пожалуй и ООП.
> Если код не понятен через пять секунд разглядыванияТо у тебя может быть проблема с технической квалификацией.
Вот пускай все коммитеры и подстраиваются. Чем больше проблем с квалификацией у меня, тем прозрачнее код они будут писать.
Нет проблем. Но деньги — вперёд!
Всей этой вознёй с xz нас пытаются в чём-то убедить. Возможно в том что это единичный случай. Но ведь это не так почти за каждым выходом за границы буфера стоит точно такой же "китаец" и почему-то никто не начинает вычитывать все коммиты авторов таких уязвимостей.
Понятно куда ведут - к универсальному цифровому ID с соц-рейтингом по шкале хозяина.
Так удобно же.
Пришёл, сел за комп, положил свой "документ государственного образца" на NFC реадер, и ты автоматически авторизован по клиентскому SSL сертификату выданному тебе государством.
Так же и через мобилу, приложил, оно прочило и погнали. Хотя там и так SIM карта есть, которая по сути ни чем не отличается.
Россияне уже могут свой загран с биометрией на 10 лет так использовать, правда у него формат (физические размеры) не совсем по размеру ридеров :)Я вот тут как раз пытаюсь в инете авторизоватся таким образом в свободное время :)
Зато американцам удобно, ID нужного размера. Это президента можно без ID выбирать, а интернет только по карточкам
У меня теперь тоже ID удобного размера и у меня там в качестве идента номер налогоплательщика (присваивается раз в жизни).
Те мне в любой конторе достаточно записать ИО и этот номер чтобы меня однозначно заидентили в заявлении.Это не как в РФ где надо писать ФИО, дату+место рождения, сиерию+номер паспорта, где+когда выдан, а если речь про сделку с недвигой то там ещё добавляются номера пенсионного страхования и ещё чтонить могут попросить дописать, чтобы точно ни с кем не перепутать.
Потом когда паспорт меняешь это всё слетает нафиг и хз как проверять.
Это какой то кашмар, как писать так и проверять котрагента.
А если у меня нет такого документа? Ну, скажем, потому что он сломался?
Технически любая смарткарта с NFC.
У меня ридер реагирует на банкоские карты, правда хз как их дальше читать :)Но если никаких документов нет, то ты нелегал и тебя надо департировать куданибудь :)
Сноуден публиковал структуру АНБ, и на ней среди всего прочего виднелся "OpenSource Department". Полагаю, ноги растут примерно оттуда. Целый департамент же должен чем-то заниматься.
Так они напрямую патчи шлют. А тут походу залётный может этот деп его и вычислил. Странно что личность не установили.
Сноудену верить, себя не уважать.
Предавший один раз, легко предасть дважды.
Где гарантия, что он не будет работаь в интересах например Китая?
Где гарантия что это не он тот самый китаец мейнтейнер.
Предал предателей и врагов? Какой ужас. А ты бы не предал, если внезапно обнаружил, что работаешь на врагов и предателей? Получается, ты враг и предатель и есть, так почему мы должны учитывать твоё мнение?
Сноуден наоборот сохранил верность присяге и своему народу.
А опубликовал он официальные документы с печатями и подписями.Та самая схема была в общем пакете документов - ни одна собака (в том числе официальная из спецслужб или властей США) до сих пор не опровергла данные документы.
Ты просто платный конторский штафирка, к-й отработал свой пирожок, нанося понос на Сноудена.
АНБ ваще то совместно с DARPA занимается всякими разработками как сами так и в качестве спонсоров.
Всякие MAC в FreeBSD, SeLinux в линухе и прочее - это их.
Так же помнится АНБ открывало какие то свои интрументы для анализа чего то там.
Ghidra выложили, неплохая штука для реверс-инжиниринга.
Ожидание -- тысячи глаз. Реальность -- тысячи шаловливых рук..
Ты об этом узнал из новости (скорее всего), которую создали благодаря глазам как раз
Новость создали чтобы отвлечь глаза от тысячи рук. Сейчас то мы в безопасТности после того как хз кого вычислили (нет)
Правильно! Нечего доверять новым коммитерам.
Доверяйте только старым проверенным.
Вон например мне, у кого опыт работы в опенсорсе больше 5 лет.
Мне уж точно можно верить!
Скиньте свое резюме!
> доброжелательное, но в то же время агрессивное и настойчивоеНапоминает раст- и systemd-миссионеров, похоже это одного поля ягоды - атака корпораций на свободное ПО.
Свободное ПО - это GNU Hurd, куда никакие корпы не набегали и пишется всё мифическим сообществом. Результат общеизвестен: нет его.
Как это результата нет? Там полностью рабочее микроядро, дров просто нет для периферии, но это как раз потому что клопы не набИжали
> клопыКлопы :)
Да ептвою мать, корпы
Точно - клопы! =)
Копры!
Рабочее но 32-х битное ядро? Спасибо не надо 64 бита только в каких-то несбыточных планах.
A 64-bit GNU/Hurd is also coming soon! Hurd developers ported GNUMach to 64-bit some time ago. Then they started making significant progress on the x86_64 userland port in Feb 2023. As of May 2023, the 64-bit port works well enough to start all the essential Hurd servers and run /bin/sh. We are currently building 64-bit packages. We plan on supporting both a 32-bit and 64-bit Debian GNU/Hurd. However, there is no plan to fix the year 2038 concern on a 32-bit system.Другой вопрос что оно x86-only, и портировать его на другие архитектуру будет наверно сложно. Наверно тогда лучше юзать какую-нить NetBSD с их RUMP-ядрами, которое уже работает на x86, SPARC, RISCV, ARM, PowerPC, etc
Первый раз про coming soon они в конце 80х годов писали.
прикольно, учитывая что x86_64 был только в 1999 представлен
Вот видишь - GNU Hurd опередил время
32-х Windows с пародией на 64-х всех устраивает.
> Там полностью рабочее микроядро, дров просто нет для периферииПеревожу на русский: оно полностью рабочее, только вот не на реальном железе. Тыкайте палочкой в виртуалке и хватит с вас.
Надо запилить псиоп и портануть MIG на rust. Тогда вселенная схлопнется.
Что вы до этого хёрда докопались, типа, вот смотрите что получается, когда нет помощи от корпов и т.д. Хёрд заброшен много-много лет, Столлман же об этом говорил, что когда появился Линукс, в хёрды отпала необходимость. Ну дак блин, да - там всё очень плохо, потому что его не пишут. Именно не пишут, потому что есть линукс, а не потому что не получается без копров ничего сделать
Ну назови безкорповый успешный проект тогда какой-нибудь. ReactOS? Haiku? osFree? Syllable?
DragonFlyBSD, NetBSD
Живые и успешные примерно на уровне упомянутых мной гайки, реактоси или гнутого харда.
> принимало участие несколько сторонних разработчиков с сомнительной историей разработки открытого ПОКак будто бывают другие.
> необходимость добавления "защиты от любых критических уязвимостей"
> настойчивое, приставание малоизвестных участниковНичего не напоминает? "В ваших Си-программах одни сплошные уязвимости, надо срочно переписать всё на Rust!"
Тут новость была про зондофокс, цитирую:Кроме новшеств и исправления ошибок в Firefox 125 устранено 18 уязвимостей (12 помечены как опасные). 11 уязвимостей (4 собраны под CVE-2024-3865) вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.
..."защиты от любых критических уязвимостей" - от создателей "переведите деньги на защищённый счёт"
анб должно было занятся этой историй с xz, найти автора комитов и предоставить отчет. Но от них до сих пор тишина, что как бы намекает...
Должно кому? Ты вообще в курсе того, чем они занимаются согласно соответствующим нормативно-правовым актам?
"защитой электронных коммуникационных сетей госучреждений США." - убунту, rhel на каждой втором сервере стоит. Это их прямая обязанность защищать от взлома эти сервера. Мне они конечно ничего не должны, но налогоплательщики в сша могут задаться вопросом.
АНБ и ФБР сами этими делами заняты - со времен разработки стека IPSEC.
Далее в письме Перри несколько строк уделено весьма колоритному персонажу, который в министерстве юстиции руководил всем этим проектом с бэкдорами для прокуратуры:Человеком в министерстве юстиции, перед которым я отчитывался о проделанной работе, был некто Заль Азми (Zal Azmi) — тот самый, которого впоследствии президент Дж. Буш [в 2004 году] назначит директором ФБР по инфотехнологиям. А в те времена [при администрации Клинтона] он был выбран возглавлять проект VPN прокуратуры на основе его предыдущего опыта в структурах Корпуса морской пехоты (а еще раньше Заль Азми был афганским муджахеддином Усамы бен Ладена в их борьбе против Советов).
Posted on 23 сентября, 2013 Автор: idb@kiwiarxiv
Без срока давности(Январь 2011)
О том, как ФБР и АНБ встраивали закладки-бэкдоры в криптографию OpenBSD, операционной системы с открытыми исходными кодами.
keyhole
Среди всего того разнообразия операционных систем, что в свое время отпочковались от ОС Unix, проект OpenBSD всегда отличался особо тщательным подходом к обеспечению защиты информации.
Именно по этой причине — ну и благодаря открытому исходному коду, конечно же — криптография, поначалу создававшаяся в рамках OpenBSD, ныне лежит в основе подсистем безопасности в неисчислимом множестве коммуникационных устройств и интернет-приложений, работающих под любыми операционными системами.
В подобных условиях вполне можно понять беспокойство, появившееся у специалистов по защите информации после того, как в середине декабря (2010) Тео де Раадт (Theo de Raadt), основатель и бессменный лидер проекта OpenBSD, опубликовал через форум разработчиков этой ОС послание следующего содержания:
Я получил письмо относительно ранней стадии разработки стека IPSEC в OpenBSD. В этом письме утверждается, что некоторые экс-разработчики (и компания, на которую они работали) получали деньги от правительства США на встраивание закладок-бэкдоров в наш набор сетевых протоколов, в частности в [отвечающий за безопасность] стек IPSEC. Происходило все это дело примерно в 2000-2001 годах.
Поскольку первый IPSEC-стек у нас был доступным бесплатно, то значительные фрагменты этого кода ныне обнаруживаются во множестве других проектов и программных продуктов. За минувшие более чем 10 лет данный код пакета IPSEC проходил через множество модификаций и исправлений, так что уже неясно, каковым может быть реальный эффект от этих утверждений.
Это письмо, поясняет далее де Раадт, пришло к нему частным образом от Грегори Перри (Gregory Perry) — человека, в свое время активно участвовавшего в становлении OpenBSD, но с которым они уже давно и совершенно никак не пересекались — примерно те же лет десять.
Учитывая весьма деликатный и одновременно взрывоопасный характер сообщенной ему информации, де Раадт решил, что не испытывает «абсолютно никакого желания становиться частью какого бы то ни было заговора», а потому не стал отвечать автору этого письма лично. Посчитав, что более правильным будет опубликовать полный текст послания Перри на форуме — для всеобщего ознакомления и обсуждения.
Среди главных мотивов этого не очень этичного, прямо скажем, поступка, де Раадт перечислил такие:
(a) те, кто использует этот код, могли бы проверить его на предмет упомянутых проблем;
(b) те, кого это рассердило, могли бы предпринять другие действия;
(c) если же это неправда, то те, кого обвиняют, могли бы себя защитить.В заключение де Раадт с готовностью признает, что сам он, конечно же, очень не любит, когда его частная переписка публикуется кем-то для всеобщего обозрения.
Однако в данном конкретном случае, считает он, «малая этичность» частного письма, публикуемого в онлайновом форуме, выглядит намного менее существенно, нежели «большая этичность» правительства, которое платит разработчикам открытых исходных кодов (т.е. членам сообщества друзей-единомышленников), дабы те тайком встраивали в коллективно создаваемое программное обеспечение специальные дыры, облегчающие шпионаж.
Непосредственно вслед за этим посланием де Раадта в рассылку для сообщества разработчиков пошел полный текст письма, полученного им от Грегори Перри:
Привет, Тео. Давно не общались. Если ты припоминаешь, некоторое время назад я был техническим директором компании NETSEC и занимался вопросами финансирования и пожертвований на разработку криптографической подсистемы OCF [OpenBSD Crypto Framework]. В то же самое время я сотрудничал с ФБР, а именно, с их Центром технической поддержки, где занимались криптологическим проектом по обратной инженерной разработке, нацеленным на встраивание бэкдоров и на реализацию механизмов депонирования ключа для смарт-карт и других аппаратно реализованных компьютерных технологий.
Для подписанного мною в то время NDA [соглашения о неразглашении секретов] недавно истек срок давности. Поэтому мне хотелось бы ввести тебя в курс дела относительно того факта, что ФБР реализовало в OCF некоторое количество бэкдоров и механизмов для побочных каналов утечки криптоключей. Официальной целью этих работ был мониторинг шифрования в VPN-системе, связывающей сайты прокуратуры Министерства юстиции США, т.е. вышестоящей организации, которой ФБР подчиняется.
Джейсон Райт (Jason Wright) и несколько других разработчиков [в составе NETSEC] отвечали за эти бэкдоры. Поэтому было бы правильно посоветовать тебе устроить перепроверку всех и каждого из тех кодов, что были предоставлены Райтом и теми из других разработчиков, с которыми он работал и которые появились в проекте из NETSEC.
В заключение своего письма Грегори Перри сообщил де Раадту не только известные ему факты, но и некоторые правдоподобного вида гипотезы.
Например, предположил Перри, именно в этом может крыться причина того, почему проект OpenBSD, прежде пользовавшийся поддержкой со стороны американских военных, в 2003 году резко и без каких-либо объяснений потерял ощутимое финансирование от DARPA, Агентства передовых оборонных исследований.
Расхожим объяснением этой неприятности обычно выдвигался общеизвестный пацифизм Тео де Раадта, осудившего войну США в Ираке. Однако с точки зрения Перри причина была иной: «Более чем вероятно, что до них дошли слухи о встроенных в систему бэкдорах, и они не захотели создавать никаких производных программных продуктов, основанных на той же системе».
Сразу же после публикации всей этой информации разработчики OpenBSD начали аудиторскую проверку кодов, отвечающих в ОС за безопасность. А поскольку сам Тео де Раадт категорически не пожелал продолжать общение с Перри по данному вопросу, за дело взялись журналисты.
Некоторые из них не только получили от него более подробные комментарии о тайных делах спецслужб десятилетней давности, но и опубликовали эту информацию в своих блогах. В частности, вот что Перри сообщил Роберту Макмиллану (Robert McMillan) из издания CSO:
Приветствую, Роберт. В действительности я не подразумевал, чтобы Тео сделал мое письмо доступным для всей остальной части интернета, однако суть его содержимого от этого не меняется.
Основной мишенью для встраивания механизмов утечки криптоключей через побочные каналы был [криптографический сегмент системы] OCF, а также сегмент фильтрации пакетов PF (stateful inspection packet filter) и стек гигабитного Ethernet-драйвера для ОС OpenBSD. Для всех этих проектов фирма NETSEC [ныне уже не существующая компания инфобезопасности Network Security Technology] предоставила инженеров и оборудование — включая первую версию аппаратного обеспечения для криптографического акселератора OCF, построенного на основе линии криптоускорителей HiFN.
Этот проект [по встраиванию бэкдоров] осуществлялся Центром технической поддержки Администрации общих служб США (GSA Technical Support Center) — так в 1999 году назывался совместный проект ФБР и АНБ по исследованиям и разработкам. Технологии, которые мы разрабатывали, представляли собой средства управления многоуровневой безопасностью систем (MLS) для совместной работы АНБ и ФБР.
Одной из наших задач было освоение различных методов для обратной инженерной разработки смарт-карт, включая технологию «Пиранья» (Piranha), применяемую для удаления органических материалов с карточек и других подобных систем, используемых для хранения криптоключей — так, чтобы вентили схемы можно было анализировать с помощью сканирующей электронной и сканирующей туннельной микроскопии.
Кроме того, мы разрабатывали предложения по распределенным вычислительным системам, использовавшимся при криптоанализе алгоритмов DES/3DES, для лобового взлома ключей тотальным перебором. А также, плюс к этому — разного рода методами для организации побочных каналов утечки ключей и скрытых закладок-бэкдоров в аппаратно реализованных криптосистемах. Некоторые из этих проектов затем ответвлялись в самостоятельные субпроекты, в компоненты систем автоматического тестирования и так далее…
В 2000 году, пишет далее Перри, он ушел из фирмы NETSEC. Во-первых, чтобы затеять новое предприятие. А во-вторых, потому что испытывал весьма существенное беспокойство и душевный дискомфорт от личного участия в шпионских проектах довольно сомнительного характера.
Например, среди прочего Грегори Перри довелось быть ведущим архитектором некоего VPN-проекта, который разрабатывался для защиты виртуальной частной сетью коммуникаций Исполнительного управления прокуратуры США. И уже на этапе разработки в эту VPN-систему, связывающую две с половиной сотни офисов прокуроров США, компания NETSEC встроила тайные бэкдоры ФБР.
Эти бэкдоры были встроены для того, чтобы ФБР имело возможность (в потенциале) восстанавливать информацию о решениях Большого жюри, сообщаемую из различных офисов прокуратуры на территории США и за границей.
Далее в письме Перри несколько строк уделено весьма колоритному персонажу, который в министерстве юстиции руководил всем этим проектом с бэкдорами для прокуратуры:
Человеком в министерстве юстиции, перед которым я отчитывался о проделанной работе, был некто Заль Азми (Zal Azmi) — тот самый, которого впоследствии президент Дж. Буш [в 2004 году] назначит директором ФБР по инфотехнологиям. А в те времена [при администрации Клинтона] он был выбран возглавлять проект VPN прокуратуры на основе его предыдущего опыта в структурах Корпуса морской пехоты (а еще раньше Заль Азми был афганским муджахеддином Усамы бен Ладена в их борьбе против Советов).
Он бегло говорил на фарси и работал в нескольких операциях с ЦРУ в качестве лингвиста-переводчика — как до, так и после событий 11 сентября 2001. А затем он получил должность CIO ФБР и главы проекта Sentinel — большой автоматизированной системы по ведению дел ФБР (Sentinel case management system), создаваемой по контракту с Бюро корпорацией Lockheed.
Понятно, что в спецслужбах очень не любят, когда люди, участвующие в проектах, весьма деликатных с точки зрения разглашения информации, вдруг все бросают и уходят неизвестно куда. Сразу после того, как Грегори Перри покинул фирму, его занесли в списки фигурантов санкционированного законом FISA расследования.
Этот закон — Foreign Intelligence Surveillance Act — в порядке исключения позволяет разведслужбам США следить за американскими гражданами, подозреваемыми в сотрудничестве с зарубежной разведкой. Как предполагает Перри, это было сделано «в профилактических целях» — для того, чтобы он не болтал обо всех этих разнообразных проектах его бывшей компании.
Но коль скоро в конце 2010 для официально подписанного Перри соглашения о неразглашении информации истек срок давности, то теперь он считает себя свободным говорить обо всем, что ему известно:
Реальность такова, что еще при администрации Клинтона, хотя и очень тихо, но уже вовсю кипела закулисная работа по встраиванию бэкдоров во многих областях инфотехнологий — как контрмеры спецслужб в ответ на предполагавшиеся ослабления министерства торговли в экспортных ограничениях на криптотехнику.
Причем все это происходило до 11 сентября 2001, т.е. во времена, когда, как принято полагать, еще существовали — по крайней мере в теории — высокие стены между ФБР и Министерством обороны [подразделением которого является разведслужба АНБ]…
Спасибо, познавательно
Дак и от тебя тишина, нихера до сих пор не сделал и видимо уже и не собираешься, что как бы намекает...
Что я должен? github.com хостится в сша и подчиняется законам сша. У меня нет доступа к их серверам с телеметрией.
Кто хочет работать, то ищет способы, а кто не хочет - оправдания
Где найти то?
Он может сидеть в какой то юрисдикции где у них руки коротки что то делать, и всё что они могут это копать логи и медитировать в стиле: "хайли лайкли".
Все повторяется, помнится Тео также разводили благими намерениями:"Это письмо, поясняет далее де Раадт, пришло к нему частным образом от Грегори Перри (Gregory Perry) — человека, в свое время активно участвовавшего в становлении OpenBSD, но с которым они уже давно и совершенно никак не пересекались — примерно те же лет десять."
> приставание малоизвестных участников сообщества к сопровождающим или руководителям проектов с идеей продвижения своего кодаТак это про любого разработчика, который будучи раздосадован тем что что то глючит/не работает потратил своё личное время на фикс/фичу и теперь не хочет чтобы по воле каких то мутантов его работа ушла в /dev/null.
Я много раз приходил в разные проекты со своими патчами, и потом там годами не появлялся больше, ибо моя проблема была решена.
Отличный способ убедить нынешних разработчиков, что слушать критику вредно и вообще они и сами разберуться без новых людей.А еще лучше отмахиваться от сообщение об ошибках и уязвимостях, и не принимать помощи от малознакомых учасников.
Великолепное решение! Так уже засланные засланцы не будут обнаружены или пойманы за руку.
С учетом того насколько топорно вносили бекдор в ХЗ, предположу что их фейл и "раскрытие" было сделано специально, для прикрытия более надежных активов.
Спалиться с бэкдором в xz и пока всё внимание на нём сосредоточено добавить ещё десяток в ядро линукса? В принципе нормальный план, может и сработать.
> запутанного или трудного для понимания кодаВ таком случае стоит искать способ избавится от SystemD. Но, к сожалению или к счастью, он слишком удобен и стал почти незаменим
(Не говорите про OpenRC, Upstart, Runit и т.п. У них достаточно недостатков. По-правде, я надеюсь, что S6 получится вполне достойным и станет хоть частично совместимым с SystemD(Для упрощённой миграции))
Видимо у SystemD недостатков меньше.
> станет хоть частично совместимым с SystemD(Для упрощённой миграции))Он уже и условие совместимости с собой выставляет? Они не остановятся.
>> станет хоть частично совместимым с SystemD(Для упрощённой миграции))
> Он уже и условие совместимости с собой выставляет? Они не остановятся.Не выдвигает, но чтобы иметь хоть какую-нибудь надежду, ему это необходимо
жабаскрипт - дыра еще та