[FUG-BR] FBI teria pago para colocar Backdoors noipsec do OpenBSD

Marcelo Gondim gondim em linuxinfo.com.br
Quinta Dezembro 16 18:55:17 BRST 2010 

É mas não esqueçam que a carta foi para o Teo e não para a mídia, se fosse 
para querer difamar o Sistema ele poderia ter colocado em público 
diretamente. A decisão de por à público foi do Teo.
Pensando desse jeito acho muito válido fazer uma auditoria no código, porque 
a façanha nesse caso não é introduzir uma simples vulnerabilidade e sim 
introduzir uma backdoor de forma que não apareça claramente no código. Aos 
olhos desapercebidos poderia aparecer como algo normal.
Penso mais ainda na genialidade de quem elaborou isso porque quem imaginaria 
que alguém de confiança de um projeto pudesse fazer tal coisa? Por isso que 
é verdade quando se diz que segurança nunca é 100%, sempre haverá algum 
jeito de se burlar. Porque segurança não é só programar bem um código, é 
todo um conceito com regras e normas. O furo pode estar em todo lugar, basta 
saber explorar.  :)

Mas vamos torcer para o melhor. Eu penso que se houver mesmo a falha, que 
sirva de aprendizado para todos não só para a equipe do OpenBSD mas para 
outras comunidades à melhorarem suas auditorias e regras para que esse tipo 
falha não ocorra mais.

[]´s a todos


-----Mensagem Original----- 
From: Antonio Modesto
Sent: Thursday, December 16, 2010 4:34 PM
To: Lista Brasileira deDiscussãosobre FreeBSD (FUG-BR)
Subject: Re: [FUG-BR] FBI teria pago para colocar Backdoors noipsec do 
OpenBSD

On Thu, 2010-12-16 at 14:52 +0000, Jean Everson Martina wrote:

> >>> Estou postando no meu twitter, http://twitter.com/eksffa, os links 
> >>> mais relevantes. Tem coisa boa la sendo dita, acho bacana uma lida 
> >>> previa pra respaldar opiniões, pessoais e profissionais.
> >>>
> >>> O des@ até ofereceu dinheiro se alguém mostrar alguma evidencia. A 
> >>> opinião geral é de incredulidade especialmente pelo codigo estar ai, e 
> >>> ninguém ve nada nele.
> >>
> >> O problema é que talvez isso demande não programadores para ver, mas 
> >> cryptanalistas. Pode ser simplesmente uma variação da famosa lei do 
> >> Arthur C Clarke:
> >>
> >> "Any sufficiently advanced malice is indistinguishable from stupidity."
> >
> > Bom, estamos falando de pessoas como o amigo pessoal do Theo, Bruce 
> > Schneier, o proprio Theo, o Angelos, Niels PRovos e o J. Wright (e até o 
> > DJB nas horas vagas, reconhecidamente da pitaco) Alguns matemáticos por 
> > formação e todos os citados especialistas, em criptografia. Alguns 
> > dispensam apresentação (Schneier, Wright). Uma equipe dessas, deve ser 
> > suficiente pra encontrar algo suspeito se houver ;-)
>
> Esse que é o problema, mesmo com os melhores dos melhores disponíveis você 
> não pode garantir que não existe o backdoor. A história já mostrou isso no 
> caso dos ataques diferenciais do DES. A comunidade cientifica levou quase 
> trinta anos pra achar os ataques diferenciais e quando vieram a tona, a 
> NSA disse ja conhecer desde quando o DES foi introduzido em 1977. Nunca 
> foi provado, mas houve esta afirmação.
>
> O problema é que o backdoor pode não ter nada a ver com o que é conhecido 
> e disponível na comunidade científica atualmente. Inclusive nem ter nada a 
> ver com o código e ser um zero day critográfico.  Eu conversei com o 
> Robert Watson hoje e a discussão foi muito nesse sentido. Se foi realmente 
> bem feito, num tem como detectar. Só o cara que falou é que pode confirmar 
> e mostrar o bug introduzido e se o cara ficar quieto, nem mesmo ele 
> desmentindo vai convencer os paranóicos.
>
> O problema não tem nada a ver com o modelo opensource, mas com alguém 
> deliberadamente projetar um backdoor. Se foi bem feito vai permanecer ali 
> para sempre.
>

Na minha opinião, acho que isso é alguém mal intencionado com foco em
"sujar" a fama de "SO seguro" do OpenBSD, ainda mais com uma equipe de
desenvolvimento paranóica como a do OpenBSD, se isso tivesse ocorrido
com o Linux, eu acreditaria.


> Jean
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Antonio Modesto

Gerente de TI


Praça Getúlio Vargas, 77 – Sala 308 – Centro

Santo Antônio do Monte – MG – CEP: 35560-000
(37) 3281-2800 

 isimples em isimples.com.brhttp://www.isimples.com.br


Aviso:Esta mensagem e quaisquer arquivos em anexo podem conter
informações confidenciais e/ou

privilegiadas. Se você não for o destinatário ou a pessoa autorizada a
receber esta mensagem, por favor, não

leia, copie, repasse, imprima, guarde, nem tome qualquer ação baseada
nessas informações. Notifique o

remetente imediatamente por e-mail e apague a mensagem permanentemente.
Atenção: embora a Isimples

Telecom, tome seus cuidados para garantir a ausência de vírus neste
e-mail, a empresa não se responsabiliza

por quaisquer perdas ou danos decorrentes do uso da mensagem e seus
anexos. A segurança e ausência de

erros na transmissão do e-mail não podem ser garantidas, já que as
informações podem ser interceptadas,

corrompidas, perdidas, destruídas, atrasadas, chegarem incompletas, ou,
ainda, conter vírus. Recomendamos

checar se o e-mail e seus anexos contém vírus, uma vez que nem a
Isimples Telecom ou o remetente se

responsabilizam pela transmissão destes.



-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Mais detalhes sobre a lista de discussão freebsd