[FUG-BR] FBI teria pago para colocar Backdoors no ipsec do OpenBSD

Quinta Dezembro 16 13:52:13 BRST 2010

Em 16/12/2010, às 13:06, Patrick Tracanelli escreveu:

> 
> Em 16/12/2010, às 12:52, Jean Everson Martina escreveu:
> 
>> 
>>>>> Estou postando no meu twitter, http://twitter.com/eksffa, os links mais relevantes. Tem coisa boa la sendo dita, acho bacana uma lida previa pra respaldar opiniões, pessoais e profissionais.
>>>>> 
>>>>> O des@ até ofereceu dinheiro se alguém mostrar alguma evidencia. A opinião geral é de incredulidade especialmente pelo codigo estar ai, e ninguém ve nada nele.
>>>> 
>>>> O problema é que talvez isso demande não programadores para ver, mas cryptanalistas. Pode ser simplesmente uma variação da famosa lei do Arthur C Clarke:
>>>> 
>>>> "Any sufficiently advanced malice is indistinguishable from stupidity."
>>> 
>>> Bom, estamos falando de pessoas como o amigo pessoal do Theo, Bruce Schneier, o proprio Theo, o Angelos, Niels PRovos e o J. Wright (e até o DJB nas horas vagas, reconhecidamente da pitaco) Alguns matemáticos por formação e todos os citados especialistas, em criptografia. Alguns dispensam apresentação (Schneier, Wright). Uma equipe dessas, deve ser suficiente pra encontrar algo suspeito se houver ;-)
>> 
>> Esse que é o problema, mesmo com os melhores dos melhores disponíveis você não pode garantir que não existe o backdoor. A história já mostrou isso no caso dos ataques diferenciais do DES. A comunidade cientifica levou quase trinta anos pra achar os ataques diferenciais e quando vieram a tona, a NSA disse ja conhecer desde quando o DES foi introduzido em 1977. Nunca foi provado, mas houve esta afirmação. 
>> 
>> O problema é que o backdoor pode não ter nada a ver com o que é conhecido e disponível na comunidade científica atualmente. Inclusive nem ter nada a ver com o código e ser um zero day critográfico.  Eu conversei com o Robert Watson hoje e a discussão foi muito nesse sentido. Se foi realmente bem feito, num tem como detectar. Só o cara que falou é que pode confirmar e mostrar o bug introduzido e se o cara ficar quieto, nem mesmo ele desmentindo vai convencer os paranóicos. 
> 
> Concordo com a dificuldade implicita, mas uma coisa é algo estar la, e ninguém desconfiar que pode haver um comportamento determinístico diferente do que aparentemente um algorítimo se propõe, por hipótese ou insight. Outra coisa é alguém apontar o dedo, e ainda assim pessoas tão ou mais capacitadas quanto as que fizeram, não encontrarem sequer uma hipótese, mesmo sem PoC, e remove-las.
> 
>> O problema não tem nada a ver com o modelo opensource, mas com alguém deliberadamente projetar um backdoor. Se foi bem feito vai permanecer ali para sempre.
> 
> Certamente ser open source é a vantagem, não o problema.
> 
> A questão é que não é preciso encontrar, determinar e reproduzir. É identificar a hipótese, mitigar ou desviar. Como se trata um bug, a hipótese é suficiente pra demandar correção/mitigação não é necessário confirmar o PoC, não é preciso reproduzir.

Como se ja não estivesse confuso suficiente, saiu no G1:

http://g1.globo.com/tecnologia/noticia/2010/12/sistema-operacional-teria-brecha-pedida-pelo-fbi-diz-programador.html

O artigo trata como se fosse certo a existencia do problema especialmente no final quando tenta livrar Mac OS X, FreeBSD, NetBSD e Linux.

O lado positivo: muita divulgação do OpenBSD na imprensa :D Apesar de em teoria ser um destaque negativo, eu acho bem positivo ter o screenshot do site no G1 :)

--
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 em sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"