انجمن‌های فارسی اوبونتو

خبرها => لینک‌های خبری => نویسنده: mintman در 28 آذر 1389، 10:00 ب‌ظ

عنوان: We were miserable
ارسال شده توسط: mintman در 28 آذر 1389، 10:00 ب‌ظ
Theo de Raadt is one of the key hackers outside the mainstream GNU/Linux world. Here's his self-penned bio: I am the founder of OpenBSD -- a freely redistributable 4.4BSD-based operating system with an emphasis on security. Donations allow me to put my efforts into OpenBSD and related projects. In 1999, I created OpenSSH with other members of OpenBSD. It is now incorporated into all Unix systems plus hundreds of other network enabled products. It is now the most "vendor re-used" piece of open source software, with more than 90% of the SSH market.

Unfortunately, de Raadt raises the disturbing possibility that there is a big problem with part of OpenBSD - and one that undermines that “emphasis on security” in a deeply troubling way:

I have received a mail regarding the early development of the OpenBSD IPSEC stack. It is alleged that some ex-developers (and the company they worked for) accepted US government money to put backdoors into our network stack, in particular the IPSEC stack. Around 2000-2001.
source:linuxsecurity.com
عنوان: پاسخ به: We were miserable
ارسال شده توسط: mintman در 02 دی 1389، 01:17 ق‌ظ
The lead developer of the OpenBSD operating system says that he believes that a government contracting firm that contributed code to his project "was probably contracted to write backdoors," which would grant secret access to encrypted communications. Posting to an OpenBSD discussion list Tuesday, Theo de Raadt said that while he now believes that a company called Netsec may have been involved in backdoors, he doesn't think that any of this software made it into the OpenBSD code base.

The controversy was kicked off last week, after former Netsec CEO Gregory Perry e-mailed de Raadt privately, to warn him that there might be 10-year-old bugs in the software that OpenBSD uses for secure Internet communications. Perry said that the back door code was developed as a way for the U.S. Federal Bureau of Investigation to monitor encrypted communications within the U.S. Department of Justice.
این هم در ادامه خبر قبلی من که دیگه به دنیای اوپن سورس اعتماد ندارم.می بینید پول عجب چیزی هست که وجدان رو هم میشه باهاش خرید. متن کامل رو هم اگر می خواید به لینک زیر مراجعه کنید.
http://www.networkworld.com/news/2010/122210-openbsd-chief-believes-contractor-tried.html?source=nww_rss (http://www.networkworld.com/news/2010/122210-openbsd-chief-believes-contractor-tried.html?source=nww_rss)
عنوان: پاسخ به: We were miserable
ارسال شده توسط: - در 02 دی 1389، 02:21 ق‌ظ
خوب، برای پول خیلی ها هستن که کار می کنن. فلسفه اپن سورس چیز دیگری است البته  ;)
عنوان: پاسخ به: We were miserable
ارسال شده توسط: rezass در 02 دی 1389، 02:31 ق‌ظ
 ??? ??? ???
مگه سیستم عامل متن باز نبوده؟
۱۰ ساله هیچکس متوجه نشده؟
عنوان: پاسخ به: We were miserable
ارسال شده توسط: fzerorubigd در 02 دی 1389، 10:04 ب‌ظ
نقل‌قول از: mintman در 02 دی 1389، 01:17 ق‌ظ
این هم در ادامه خبر قبلی من که دیگه به دنیای اوپن سورس اعتماد ندارم.می بینید پول عجب چیزی هست که وجدان رو هم میشه باهاش خرید. متن کامل رو هم اگر می خواید به لینک زیر مراجعه کنید.
http://www.networkworld.com/news/2010/122210-openbsd-chief-believes-contractor-tried.html?source=nww_rss (http://www.networkworld.com/news/2010/122210-openbsd-chief-believes-contractor-tried.html?source=nww_rss)

البته نظر شما و اینکه شما حق دارید به کسی اعتماد بکنید یا نه، کاملا برای همه محترمه.
منتها، شما فکر میکنید مثلا همین دولت آمریکا، به این پروژه و مسئولانش یا به قول شما یه گروه از برنامه نویسهاش، پول داده، ولی به طور مثال اصلا کاری با MS نداشته؟؟
کد این مجموعه کاملا بازه، خیلی ها اونو کامپایل میکنن، کد رو میبینن. ولی مثلا شما تا به حال فکر کردید که اصلا امکان دیده شدن سورسهای بسته نیست و اگه این طرف یک درصد احتمال پیدا شدن این حفره ها و درهای پشتی باشه، توی کدهای بسته اصلا و ابدا ممکن نیست.
خیلی بامزست، فکر کنید MS اگه یه همچی کاری بکنه، حتما تو کد کامنت میذاره که برنامه نویسهاش بفهمن اینو نباید دست بزنن! دست کم تو کد باز طرف مجبوره کلی جون بکنه تا حفره رو مخفی کنه!!
عنوان: پاسخ به: We were miserable
ارسال شده توسط: mintman در 02 دی 1389، 11:08 ب‌ظ
یک طنز هم بیام
مثلا پنیر باز که میخریم خود پنیرو میبینیم ولی ممکنه هزارتا کثیف کاری توی تولیدش کرده باشن که هیچکس هم نمیدونه و مثلا طرف می خوره و راست روده میشه  :'((خوب مثل من خیلی های دیگه هم حوصله چک کردن میلیونها خط برنامه رو نداریم)ولی حالا پنیر بسته بندی ایزو ۹۰۰۲ میخریم لااقل درسته اصلا توی بسته بندی رو نمیبینیم چیه ولی میدونیم کد بهداشت و استاندارد و ایزو داره ;D(البته خودم هم درست نفهمیدم چی نوشتم چون هنوز توی کف اینم که تا حالا چند نفر پول گرفتن اطلاعات اوپن سورسی ها رو بفروشن .... نامردای بی معرفت ](*,))
عنوان: پاسخ به: We were miserable
ارسال شده توسط: alend در 02 دی 1389، 11:14 ب‌ظ
این را هم ببینید بد نیست!
http://cm.bell-labs.com/who/ken/trust.html
عنوان: پاسخ به: We were miserable
ارسال شده توسط: mintman در 02 دی 1389، 11:16 ب‌ظ
لینک مخفیه آقا  :o
عنوان: پاسخ به: We were miserable
ارسال شده توسط: alend در 02 دی 1389، 11:18 ب‌ظ
درست شد!
عنوان: پاسخ به: We were miserable
ارسال شده توسط: mintman در 02 دی 1389، 11:25 ب‌ظ
واویلا وااسفا واحیرتا ???
من خوش خیال رو ببین
آقا خبر پشت خبر از انواع تکذیبیه تا انواع تایید ها خبرها رو حتما دنبال کنید ببینیم تکلیفمون چیه
http://www.linuxsecurity.com
عنوان: پاسخ به: We were miserable
ارسال شده توسط: HojjatJafary در 03 دی 1389، 12:38 ق‌ظ
سلام

هیچ وقت از یک کاربر معمولی که برای مرتفع کردن نیازهای روز مره از سیستم عامل استفاده می کنه انتظار این نمی ره که کد سیستم عامل رو بخونه یا بررسی کنه که آیا نقطه آسیب پذیر داره یا نه این کار مخصوص کسانی است که یا راجع به مسائل سیستم عامل و امنیت تحقیق می کنند یا شغل مرتبطی دارند مثلا توسعه دهندگانی که برنامه های تحت وب یا شبکه می نویسند. در ضمن همین ها نیز نیازی ندارند که تمام کد را بخوانند.
نقل‌قول از: fzerorubigd در 02 دی 1389، 10:04 ب‌ظ
منتها، شما فکر میکنید مثلا همین دولت آمریکا، به این پروژه و مسئولانش یا به قول شما یه گروه از برنامه نویسهاش، پول داده، ولی به طور مثال اصلا کاری با MS نداشته؟؟
کد این مجموعه کاملا بازه، خیلی ها اونو کامپایل میکنن، کد رو میبینن. ولی مثلا شما تا به حال فکر کردید که اصلا امکان دیده شدن سورسهای بسته نیست و اگه این طرف یک درصد احتمال پیدا شدن این حفره ها و درهای پشتی باشه، توی کدهای بسته اصلا و ابدا ممکن نیست.
خیلی بامزست، فکر کنید MS اگه یه همچی کاری بکنه، حتما تو کد کامنت میذاره که برنامه نویسهاش بفهمن اینو نباید دست بزنن! دست کم تو کد باز طرف مجبوره کلی جون بکنه تا حفره رو مخفی کنه!!

اما در مورد پنیر باید بگویم کسی که برنامه نویس اجیر می کند ایزو ۱۰۰۰۰ رو هم می خره فقط شما متوجه نمی شوید که مشکل از پنیر ایزو دار بوده چون به آن شک نمی کنید.

در کل نکته جالبی بود از شما به خاطر ارسال این مطلب تشکر می کنم.
عنوان: پاسخ به: We were miserable
ارسال شده توسط: alend در 03 دی 1389، 09:16 ق‌ظ
بر اساس  distrowatch این نسخه ها بر مبنای openBSD اند:
FuguIta
GNOBSD
 MirOS BSD

و در کل ۱۵ نسخه بر مبنای BSD.

حدود ۳۰۰ نسخه بر اساس Linux در ورژن های مختلف است.

درست است که کاربران خانگی سورس برنامه ها را در نظر نمی گیرند ولی شرکت های بزرگی هستند که حتی حتی اصل کرنل را بازنگری می کنند مثل astaro.

البته شاید این مشکل مربوط به لایسنس BSD هم باشد، در این نوع لایسنس در صورت تغییر کد اجباری برای در اختیار گذاشتن آن کد برای دیگران نیست ولی در لایسنس GPL اصل کد پس از تغییر باید در اختیار دیگران قرار بگیرد.

آیا در صد کامپیوتر هایی که از BSD‌استفاده می کنند در جایی ذکر شده است؟
عنوان: پاسخ به: We were miserable
ارسال شده توسط: سید وحید رضا برهانی در 03 دی 1389، 09:49 ق‌ظ
نقل‌قول از: alend در 03 دی 1389، 09:16 ق‌ظ

البته شاید این مشکل مربوط به لایسنس BSD هم باشد، در این نوع لایسنس در صورت تغییر کد اجباری برای در اختیار گذاشتن آن کد برای دیگران نیست ولی در لایسنس GPL اصل کد پس از تغییر باید در اختیار دیگران قرار بگیرد.

سلام البته تا حدی درست است  gpl می گه که اگر تغییر دادی ومنتشر کردی باید آزادمنتشر کنی به بیان دیگر اگر شما یک کدی رو تغییر دادی لازم نیست که نسخه ی تغییر داده شده رو منتشر کنی
عنوان: پاسخ به: We were miserable
ارسال شده توسط: r_m1232002 در 03 دی 1389، 10:38 ق‌ظ
این موضوع در تکنوتاکس هم مطرح شده است که من در آنجا یک سری توضیحات نسبتا طولانی دادم. فکر کردم بد نباشد اگر لینک آن را در اینجا هم مطرح کنم.
http://www.technotux.org/html/PNphpBB2-viewtopic-p-140626.html#140626
در مورد مجوز نیز من ارتباطی بین نوع آن و تاثیرش بر چنین موضوعی نمی بینم. تمامی کد های OpenBSD به شکل متن باز در دسترس همگان قرار دارد.
عنوان: پاسخ به: We were miserable
ارسال شده توسط: alend در 03 دی 1389، 12:48 ب‌ظ
نقل‌قول از: r_m1232002 در 03 دی 1389، 10:38 ق‌ظ
این موضوع در تکنوتاکس هم مطرح شده است که من در آنجا یک سری توضیحات نسبتا طولانی دادم. فکر کردم بد نباشد اگر لینک آن را در اینجا هم مطرح کنم.
http://www.technotux.org/html/PNphpBB2-viewtopic-p-140626.html#140626
در مورد مجوز نیز من ارتباطی بین نوع آن و تاثیرش بر چنین موضوعی نمی بینم. تمامی کد های OpenBSD به شکل متن باز در دسترس همگان قرار دارد.


منظورم اینست که ممکن است برخی شرکت ها این مشکل را یافته و حل کرده اند و سپس نسخه خور را به صورت غیراپن سورس منتشر کرده باشند.
عنوان: پاسخ به: We were miserable
ارسال شده توسط: eMan در 03 دی 1389، 11:19 ب‌ظ
نقل‌قول از: HojjatJafary در 03 دی 1389، 12:38 ق‌ظ
سلام

هیچ وقت از یک کاربر معمولی که برای مرتفع کردن نیازهای روز مره از سیستم عامل استفاده می کنه انتظار این نمی ره که کد سیستم عامل رو بخونه یا بررسی کنه که آیا نقطه آسیب پذیر داره یا نه این کار مخصوص کسانی است که یا راجع به مسائل سیستم عامل و امنیت تحقیق می کنند یا شغل مرتبطی دارند مثلا توسعه دهندگانی که برنامه های تحت وب یا شبکه می نویسند. در ضمن همین ها نیز نیازی ندارند که تمام کد را بخوانند.

اما در مورد پنیر باید بگویم کسی که برنامه نویس اجیر می کند ایزو ۱۰۰۰۰ رو هم می خره فقط شما متوجه نمی شوید که مشکل از پنیر ایزو دار بوده چون به آن شک نمی کنید.

در کل نکته جالبی بود از شما به خاطر ارسال این مطلب تشکر می کنم.
+1
این مثال پنیر خیلی باحال بود ولی ...
کافیه بین کلی اجرا کننده برنامه های باز یه نفرشون کد ها رو مطالعه کنه و بفهمه یه جای کار میلنگه اونوقت با گسترشی که نت توی خونه های مردم داره ظرف یک ساعت کلا آبرو پنیر ساز رو میبره و پنیر ها رو دستش باد میکنه
مثل یه عامل نفوذی توی شرکت پنیر سازی
چه پنیر تو پنیری شد

نقل‌قول از: fzerorubigd در 02 دی 1389، 10:04 ب‌ظ
منتها، شما فکر میکنید مثلا همین دولت آمریکا، به این پروژه و مسئولانش یا به قول شما یه گروه از برنامه نویسهاش، پول داده، ولی به طور مثال اصلا کاری با MS نداشته؟؟
کد این مجموعه کاملا بازه، خیلی ها اونو کامپایل میکنن، کد رو میبینن. ولی مثلا شما تا به حال فکر کردید که اصلا امکان دیده شدن سورسهای بسته نیست و اگه این طرف یک درصد احتمال پیدا شدن این حفره ها و درهای پشتی باشه، توی کدهای بسته اصلا و ابدا ممکن نیست.
خیلی بامزست، فکر کنید MS اگه یه همچی کاری بکنه، حتما تو کد کامنت میذاره که برنامه نویسهاش بفهمن اینو نباید دست بزنن! دست کم تو کد باز طرف مجبوره کلی جون بکنه تا حفره رو مخفی کنه!!

+1
عنوان: پاسخ به: We were miserable
ارسال شده توسط: کرگدن در 10 دی 1389، 12:46 ق‌ظ
درود

این خبر بعد از بررسی ها هنوز تایید نشده

چندین بار کد ها رو زیرو رو کردن و هنوز چیزی پیدا نکردن
کم کم دارن به این نتیجه می رسن که ممکنه این ادعا درست نباشه ( و یا حداقل زمان بیشتری لازم داره تا پیدا بشه)



http://www.readwriteweb.com/enterprise/2010/12/update-openbsd-backdoor-seems.php
http://news.techworld.com/security/3253839/openbsd-back-door-claim-now-in-doubt/
http://www.h-online.com/security/news/item/OpenBSD-audits-give-no-indication-of-back-doors-1158604.html

بازم باید صبر کنیم تا صحتش مشخص بشه و الان کمی برای قضاوت زوده
عنوان: پاسخ به: We were miserable
ارسال شده توسط: سید وحید رضا برهانی در 10 دی 1389، 10:44 ق‌ظ
سلام
من تو فروم تکنوتاکس هم گفتم (به صورت مهمان)من فکر می کنم که سر کاریه اصلا با عقل من جور در نمی یاد که یک برنامه آزاد توی ۱۰ سال کدهاش ثابت مونده باشه ممکنه که بعد از هر نسخه دوباره اظافه کنند ولی بالاخره یکی می فهمه که یک کد حذف می شه بعد باز بیاد مشکوک می زنه
عنوان: پاسخ به: We were miserable
ارسال شده توسط: alend در 15 دی 1389، 09:45 ق‌ظ
احتمال دارد که با این کار می خواهند برای openBSD تبلیغ کنند که کد هایش هیچ مشکلی ندارد و اگر هم دارد با این شیوه ایرادات احتمالی حذف گردد.
عنوان: پاسخ به: پاسخ به: We were miserable
ارسال شده توسط: r_m1232002 در 15 دی 1389، 10:28 ق‌ظ
نقل‌قول از: alend در 15 دی 1389، 09:45 ق‌ظ
احتمال دارد که با این کار می خواهند برای openBSD تبلیغ کنند که کد هایش هیچ مشکلی ندارد و اگر هم دارد با یان شیوه ایرادات احتمالی حذف گردد.
خیر چنین احتمالی منتفی است. اگر شما با جامعه OpenBSD و افکارشان آشنا باشید چنین احتمالی نخواهید داد. آنها حتی از زیاد شدن جامعه کاربری شان زیاد خوششان نمی آید و به نحوی ترجیح می دهند منزوی باشند. بنابراین تبلیغ برای خودشان به منزله برهم زدن آرامش جامعه شان می باشد که اصلا برایشان خوشایند نیست.
عنوان: پاسخ به: We were miserable
ارسال شده توسط: سید وحید رضا برهانی در 15 دی 1389، 12:21 ب‌ظ
نقل‌قول از: r_m1232002 در 15 دی 1389، 10:28 ق‌ظ
نقل‌قول از: alend در 15 دی 1389، 09:45 ق‌ظ
احتمال دارد که با این کار می خواهند برای openBSD تبلیغ کنند که کد هایش هیچ مشکلی ندارد و اگر هم دارد با یان شیوه ایرادات احتمالی حذف گردد.
خیر چنین احتمالی منتفی است. اگر شما با جامعه OpenBSD و افکارشان آشنا باشید چنین احتمالی نخواهید داد. آنها حتی از زیاد شدن جامعه کاربری شان زیاد خوششان نمی آید و به نحوی ترجیح می دهند منزوی باشند. بنابراین تبلیغ برای خودشان به منزله برهم زدن آرامش جامعه شان می باشد که اصلا برایشان خوشایند نیست.
سلام دوست عزیز
من حرف دوستمون alend رو قبول ندارن (فکر می کنم که آخرین گزینه می تونه این باشه و هنوز به آخرش نرسیدیم) و از طرفی باشما هم مخالفم البته منم تا حالا خود openbsd رو تجربه نکردم چه برسه به اینکه بخواهم با جامعه آشنایی داشته باشم البته فکر می کنم که زیاد لازم نباشه به هرحال نگاه کنید به عنوان مقدمه چند چیز رو می گم اول اینکه openbsd آزاده دوم اینکه می گن (من نمیدونم)امنیتش بالاتر از گنو /لینوکسه درسته؟ خب  چون امنیتش بالا تره پس سایتهای مهم که معمولا مال شرکتهای تجاری بزرگ هستند و امنیت براشون مهم هست می یان ازش استفاده می کنند می بینند که چیز خوبیه پس شروع می کنند به توسعه ش واین یعنی بقول اریک ریموند« کت و شلواری ها »و به طبع اون پول وارد جامعه ی اصیل هکرها می شه (می تونید اصیلش رو حذف کنید) نتیجه این کار  اینکه دیگه پروژه (openbsd ) توسط خود هکرها اداره نمی شه پس ممکنه از اون اهداف و اون طرز تفکر هکرهای سازنده دور بشه و در عوض سیاست های کلی رو سرمایه گذاران  تعیین کنند که این افراد حتما دست به تبلیغ و جمع کردن جامعه ی کاربری می زنند نمونه اش رو هم می تونید تا حدودی توی اوبنتو و گنو /لینوکس ببینید الان دیگه گنو /لینوکس سیستم عامل هکر ها نیست لبکه یک ابزاریه برای صرفه جویی اقتصادی چند غول ونوچه هایشان است الان دیگه افراد خیلی کمی برای آزادی نرم افزار برای گنو /لینوکس نرم افزار می نویسند الان بیشتر برای جذب مشتری و بهبود کیفیت نرم افزار(این همون جنبه مخوف اوپن سورس است)و... نرم افزار می نویسند شاید همین بلا هم داره سر openbsd می یاد