FBI-backdoors in veiligste BSD-variant

[Gandyman]

FBI-backdoors in veiligste BSD-variant

Deze link gaat naar Webwereld.

Dit vind ik wel het ergste van het ergste dat dit kan gebeuren en gebeurd.!!!!

Gruwelijk gewoon en top dat het nu naar buiten komt.

[Gandyman]

Tis is zeker eng nu ik er nog wat langer over nadenk.

Want nu blijkt dat het heel simpel is om iemand om te kopen en of te laten infiltreren als programmeur.
Met de opdracht om er stiekem backdoors in te planten.

Ik ben nog altijd blij dat Linus zo kien is op de kernel en het overzicht houd, want hoe simpel zou het anders zijn hier ook een backdoor in te planten ?

[lizardman]

Inderdaad gruwelijk en eng
Het verbaast mij eigenlijk niet maar ik zie dit eerder als een bevestiging voor een gezond wantrouwen tegenover dit soort instanties.
Anderen noemen het weer paranoia...

En het engste is misschien wel dat mensen waarvan je zou verwachten dat ze een bepaalde passie hebben voor het leveren van goed en degelijk programmeerwerk toch corrupt kunnen blijken te zijn.

[asphyxia]

Had het eerder al gelezen, maar het wordt ook alweer ontkend: http://security.nl/artikel/35507/1/Experts%3A_Backdoor_in_OpenBSD_is_onzin.html

Langzamerhand weet ik ook niet meer wat geloofd moet worden, het zou me anderszins ook niet echt verbazen. Alleen al het feit, dat men in allerlei landen de Blackberry wilden verbieden, omdat die niet altijd af te luisteren zijn, zegt al genoeg.
*iets met waard en gasten mompelt*

[lizardman]

Had het eerder al gelezen, maar het wordt ook alweer ontkend: http://security.nl/artikel/35507/1/Experts%3A_Backdoor_in_OpenBSD_is_onzin.html (...)

Maar hier wordt het ontkend door de FBI zelf. Niet zo heel geloofwaardig imo.    (wij van WC eend adviseren WC eend... )
En om nou een gedegen en onafhankelijke audit van alle code af te wachten.... dat kan wel ff duren...
Heel slecht nieuws dit.

[Gandyman]

Er is verteld waar de backdoors zich bevinden, dus de huidige programmeurs kunnen de code er snel uit slopen.

Tis te hopen dat hij alles tot in de details verteld, dan is het een kwestie van uren om die code te verwijderen.

maagoe, het had nooit mogen gebeuren.

En nogmaals, Linus mag dan een vreemde kwast zijn en heel eigenzinnig zijn en mensen tegen de schenen schoppen, maar in dit soort mensen heb ik veelal een goed vertrouwen....

[Rachid]

Het ergste vind ik die achterdeuren in de IPSEC-stack.

De infiltratie kan bovendien groter zijn dan "alleen maar" in OpenBSD. De Raadt meldt dat grote delen van de IPSEC-stack, die gratis beschikbaar is, terecht zijn gekomen in andere projecten en producten. Dit betekent niet dat de in 2000 geïnstalleerde backdoors daar nog in zitten, maar het is wel mogelijk.

Dus heel veel andere software heeft mogelijk ook achterdeuren. Als deze implementatie ook wordt gebruikt in hardware (modems, setop boxen, etc..) kun je dat denk ik niet zomaar ff vervangen.

Tis te hopen dat hij alles tot in de details verteld, dan is het een kwestie van uren om die code te verwijderen.

[Gandyman]

Sja had ik idd niet bij stilgestaan...... 

Stel hetzelfde stukje software word ook gebruikt in alle modems en routers die vanaf die tijd verkocht zijn zou het dus betekenen dat het probleem nogal omvangrijk is.

In dat geval aan de fabrikanten iedereen een update te laten uitvoeren van de software... pffff

Laten we hopen dat dit niet het geval is... 

[Vistaus]

Het probleem zit hem zo te lezen ook in Windows NT 3.1 en Windows 95. Niet dat dat nog veel gebruikt wordt, maar die TCP-stack waar men het over heeft wordt nog steeds gebruikt in moderne Windowsen. Dus ook Windows bevat deze backdoors.

[Rachid]

Dus ook Windows bevat deze backdoors.

Beetje ongenuanceerde conclusie die je hier trekt.

[Gotiniens]

euhm het gaat hier over IPSEC he, niet over TCP/IP. Zover ik weet zit IPSEC niet standaard in windows.

Dus niet alle producten zijn gebackdoored, hoogstens een aantal VPN concentrators. BTW openswan en strongswan hebben andere code gebruikt.

[Soul-Sing]

Ik denk dat encryptie doelwit is en nog meer doelwit wordt, logisch ook, omdat het het enige werkelijke scherm is tussen jouw computergegevens en de buitenwereld. Zelfs truecrypt, met zijn/haar zorgwekkende license wordt al lange tijd argwanend bekeken, met name door de Fedora community, die bekend staat om haar focus op security en dergelijke: http://fedoraproject.org/wiki/ForbiddenItems even doorscrollen naar truecrypt.

The TrueCrypt software is under a poor license, which is not only non-free, but has the potential to be actively dangerous to end users or distributors who agree to it, opening them to possible legal action even if they abide by all of the licensing terms, depending on the intent of the upstream copyright holder. Fedora continues to make efforts to try to work with the TrueCrypt upstream to fix all of the issues in their license so that it can be considered Free, but have not yet been successful.

Kortom encryptie ligt onder vuur. Alles is mogelijk.

[Vistaus]

@Rachid: Hoezo ongenuanceerd? Heb je de zin daarvoor niet gelezen? Daar berust ik mijn conclusie op.

@Gotiniens: Ja, op OpenBSD ja. Maar op Windows gaat het om TCP/IP. Volgens: http://webwereld.nl/nieuws/68120/fbi-backdoors-in-veiligste-bsd-variant.html
"Toch is er in al die jaren geen enkele melding van een backdoor of een spoor van een backdoor gedaan, wat het ergste doet vrezen. De Raadt haalt dit niet aan in zijn e-mail. De oorspronkelijke TCP/IP-stack van Windows NT 3.5, en daarna ook Windows 95"
De TCP/IP-stack van 95 wordt nog steeds gebruikt in moderne Windows. Dus wat ik zei klopt wel degelijk. Volgende keer het artikel beter lezen

[Joshua822]

Ik denk dat het nier erg slim is om nu al conclusies over deze kwestie te trekken. Er is nog niets bewezen, er is nog geen enkele broncode aan ons laten zien.

Om toch wat meer nuancering in de zaak te brengen: het is in ieder geval wel vreemd dat de FBI om zo'n gevoelige informatie geheim te houden deze persoon enkel zich aan een NDA liet houden. Men zou toch verwachten dat de FBI voor zo'n gevoelige informatie een overeenkomst met een veel langere duur en een veel hogere straf bij contractbreuk zou gebruiken. Ook is het vreemd dat er over backdoors die in 2000 in OpenBSD's pf-firewall werden geïmplementeerd wordt gesproken, omdat de ontwikkeling van de pf-firewall pas laat in 2001 is begonnen.

Maar aan de andere kant heeft de overheid van de Verenigde Staten heeft al eerder zo'n ongure zaken gedaan. Denk maar aan de backdoors die in Windows zitten. ( En ja, deze zitten daar, als je het eens met eigen ogen wilt zien kun je eens met een sniffer zoals wireshark kijken wat er allemaal over het blauwe lijntje dat uit je computer vertrekt wordt gesleept. )

Het is dus afwachten op wat het resultaat van de massale broncode-audit zal zijn. Maar laten we tot dan nog even rustig blijven.

[Gijsbert]

Natuurlijk is het niet goed zo een backdoor, maar laten we wel wezen, hoe interessant ben ik voor de FBI? Ik dacht niet bijster.
En als de FBI, mij wel interessant zou vinden, vragen ze het wel aan de overheid, die ze graag helpt.
Ik lig er in ieder geval niet wakker van en zal dat ook nooit doen.

Gijs Laden.

[Pjotr]

M'n eerste reactie: wat een rotstreek!

Tweede reactie: maar goed dat alles open-bron is, dus die lekken zullen de knappe koppen ongetwijfeld snel gaan dichten.

Derde reactie: eigenlijk is het niet zo gek, dat de overheid wil kunnen "meekijken en meeluisteren", indien dat nodig is voor een justitieel onderzoek (kinderporno? terrorisme?)..... Misschien zelfs maar goed ook. Net zoiets als telefoontaps bij verdachten van een misdrijf.

Enfin, mijn drie stuivers....

[Soul-Sing]

Natuurlijk is het niet goed zo een backdoor, maar laten we wel wezen, hoe interessant ben ik voor de FBI? Ik dacht niet bijster.
En als de FBI, mij wel interessant zou vinden, vragen ze het wel aan de overheid, die ze graag helpt.
Ik lig er in ieder geval niet wakker van en zal dat ook nooit doen.

Gijs Laden.

Precies, mag ook via de frontdoor hier. Bestaan er eigenlijk frontdoors in computer/internetland? Af gaat alles via
backdoors, trojan horses (paard van sinterklaas? Ook een stiekemerd hoor!), virussen( pro-biotica?)
Dat bekt ook niet fraai natuurlijk: " ik had me laatst een frontdoor op mijn computer, pfff"...

[Soul-Sing]

M'n eerste reactie: wat een rotstreek!

Tweede reactie: maar goed dat alles open-bron is, dus die lekken zullen de knappe koppen ongetwijfeld snel gaan dichten.

Derde reactie: eigenlijk is het niet zo gek, dat de overheid wil kunnen "meekijken en meeluisteren", indien dat nodig is voor een justitieel onderzoek (kinderporno? terrorisme?)..... Misschien zelfs maar goed ook. Net zoiets als telefoontaps bij verdachten van een misdrijf.

Enfin, mijn drie stuivers....

Theo de raadt is woedend, en die is altijd vrij uh woedend en scherp, dus ik heb veel vertrouwen in de oplossing van dit mogelijke probleem.(Ik ben een fan van theo )

[lizardman]

Tja, als de FBI of eender welke andere instantie je handgeschreven post zou gaan openmaken om mee te kijken wat je zoal verstuurt, dan is dat een wetsovertreding. --> Briefgeheim
Wat is nou eigenlijk precies het verschil?
Immers moeten mensen er toch op kunnen vertrouwen dat ze met de computer transacties kunnen doen zonder dat er ergens een onbekende meekijkt/luistert?  En als diegene die meekijkt zich dan ook nog heeft bediend van omkoping dan wordt het mi. nog erger.

[Vistaus]

@Pjotr: Ik ben het niet met je eens. Je vrijheid verlies je op deze manier. Ongeacht of je nu verkeerd bezig bent of niet, iedereen heeft recht op vrijheid. Een echte crimineel dan wel kinderporno-verzamelaar valt vanzelf wel door de mand.

[asphyxia]

Hmm, als ik eens bij een overheidsinstantie iets moet regelen, willen die vriendelijke lokettisten van alles van me weten aan persoonlijke informatie. Ik heb wel eens zo'n bokkige bui, dat ik net zo vriendelijk allerlei info over hen terugvraag, nu we toch ineens close aan het worden zijn.
Dat vinden ze nooit goed, raar  . En altijd zo'n verhaal van 'ja meneer, dat is niet de bedoeling'. Nee, het zou eens tweerichtingverkeer zijn, zeg.

Ik wens hen veel plezier met hun zoektochten, ik heb ook eventueel wat suggesties. Maar dat zal ook wel 'niet de bedoeling' zijn 

Osama bin asphyxia.

[Joshua822]

@Pjotr: als je eens wilt weten waarom dit helemaal niet onbelangrijk is, en waarom men het wél zou moeten schelen, moet je maar eens kijken naar de staat van mensenrechtenactivisme in China en het boek 1984 lezen.

En over het geval van een kinderpornoverzamelaar: dan wandelt hij maar als een vrij man de rechtbank uit. Een kinderpornoverzamelaar vrijuit laten gaan is véél minder erg dan het mogelijk maken van een politiestaat waarbij elke vorm van oppositie zo de kop kan worden ingedrukt.

[#!]

Dit topic vraagt maar om 1 linkje na de laatste paar posts: www.bof.nl

[asphyxia]

Voordat hier een discussie ontbrandt over 'politiestaat', 'mensenrechten', 'oppositie' e.d., een waarschuwing, dat ook het wikileaks-draadje uiteindelijk op slot is gegaan  

Laten we het aan de algemene kant houden.

[lizardman]

(...) Derde reactie: eigenlijk is het niet zo gek, dat de overheid wil kunnen "meekijken en meeluisteren", indien dat nodig is voor een justitieel onderzoek (kinderporno? terrorisme?)..... Misschien zelfs maar goed ook. Net zoiets als telefoontaps bij verdachten van een misdrijf.

Enfin, mijn drie stuivers....

Indien het nodig zou zijn voor een justitieel onderzoek bewijsmateriaal te verzamelen, dan is het op deze manier, d.i.  onrechtmatig, verkregen bewijsmateriaal niet toegankelijk voor een rechtbank.
Het op voorhand leggen van een tap valt niet onder het hoofdstuk legale opsporingsmethoden.

Er zijn prima, rechtmatige, manieren om bewijsmateriaal te verkrijgen via een gerechtelijk bevel. En met een gerechtelijk bevel in de hand kan men, ook zonder stiekem ingebouwde 'backdoors'. op een rechtmatige manier aan bewijsmateriaal komen.

Als de uitvoerende macht zich gaat bedienen van methoden die niet binnen de grenzen van de wet liggen, dan bevinden we ons met de gehele rechtstaat op zijn zachtst gezegd op een hellend vlak.