We were miserable

[mintman]

Theo de Raadt is one of the key hackers outside the mainstream GNU/Linux world. Here's his self-penned bio: I am the founder of OpenBSD -- a freely redistributable 4.4BSD-based operating system with an emphasis on security. Donations allow me to put my efforts into OpenBSD and related projects. In 1999, I created OpenSSH with other members of OpenBSD. It is now incorporated into all Unix systems plus hundreds of other network enabled products. It is now the most "vendor re-used" piece of open source software, with more than 90% of the SSH market.

Unfortunately, de Raadt raises the disturbing possibility that there is a big problem with part of OpenBSD - and one that undermines that “emphasis on security” in a deeply troubling way:

I have received a mail regarding the early development of the OpenBSD IPSEC stack. It is alleged that some ex-developers (and the company they worked for) accepted US government money to put backdoors into our network stack, in particular the IPSEC stack. Around 2000-2001.

source:linuxsecurity.com

[mintman]

The lead developer of the OpenBSD operating system says that he believes that a government contracting firm that contributed code to his project "was probably contracted to write backdoors," which would grant secret access to encrypted communications. Posting to an OpenBSD discussion list Tuesday, Theo de Raadt said that while he now believes that a company called Netsec may have been involved in backdoors, he doesn't think that any of this software made it into the OpenBSD code base.

The controversy was kicked off last week, after former Netsec CEO Gregory Perry e-mailed de Raadt privately, to warn him that there might be 10-year-old bugs in the software that OpenBSD uses for secure Internet communications. Perry said that the back door code was developed as a way for the U.S. Federal Bureau of Investigation to monitor encrypted communications within the U.S. Department of Justice.

این هم در ادامه خبر قبلی من که دیگه به دنیای اوپن سورس اعتماد ندارم.می بینید پول عجب چیزی هست که وجدان رو هم میشه باهاش خرید. متن کامل رو هم اگر می خواید به لینک زیر مراجعه کنید.

http://www.networkworld.com/news/2010/122210-openbsd-chief-believes-contractor-tried.html?source=nww_rss

[-]

خوب، برای پول خیلی ها هستن که کار می کنن. فلسفه اپن سورس چیز دیگری است البته 

[rezass]

 
مگه سیستم عامل متن باز نبوده؟
۱۰ ساله هیچکس متوجه نشده؟

[fzerorubigd]

این هم در ادامه خبر قبلی من که دیگه به دنیای اوپن سورس اعتماد ندارم.می بینید پول عجب چیزی هست که وجدان رو هم میشه باهاش خرید. متن کامل رو هم اگر می خواید به لینک زیر مراجعه کنید.

http://www.networkworld.com/news/2010/122210-openbsd-chief-believes-contractor-tried.html?source=nww_rss

البته نظر شما و اینکه شما حق دارید به کسی اعتماد بکنید یا نه، کاملا برای همه محترمه.
منتها، شما فکر میکنید مثلا همین دولت آمریکا، به این پروژه و مسئولانش یا به قول شما یه گروه از برنامه نویسهاش، پول داده، ولی به طور مثال اصلا کاری با MS نداشته؟؟
کد این مجموعه کاملا بازه، خیلی ها اونو کامپایل میکنن، کد رو میبینن. ولی مثلا شما تا به حال فکر کردید که اصلا امکان دیده شدن سورسهای بسته نیست و اگه این طرف یک درصد احتمال پیدا شدن این حفره ها و درهای پشتی باشه، توی کدهای بسته اصلا و ابدا ممکن نیست.
خیلی بامزست، فکر کنید MS اگه یه همچی کاری بکنه، حتما تو کد کامنت میذاره که برنامه نویسهاش بفهمن اینو نباید دست بزنن! دست کم تو کد باز طرف مجبوره کلی جون بکنه تا حفره رو مخفی کنه!!

[mintman]

یک طنز هم بیام
مثلا پنیر باز که میخریم خود پنیرو میبینیم ولی ممکنه هزارتا کثیف کاری توی تولیدش کرده باشن که هیچکس هم نمیدونه و مثلا طرف می خوره و راست روده میشه  (خوب مثل من خیلی های دیگه هم حوصله چک کردن میلیونها خط برنامه رو نداریم)ولی حالا پنیر بسته بندی ایزو ۹۰۰۲ میخریم لااقل درسته اصلا توی بسته بندی رو نمیبینیم چیه ولی میدونیم کد بهداشت و استاندارد و ایزو داره (البته خودم هم درست نفهمیدم چی نوشتم چون هنوز توی کف اینم که تا حالا چند نفر پول گرفتن اطلاعات اوپن سورسی ها رو بفروشن .... نامردای بی معرفت )

[alend]

این را هم ببینید بد نیست!
http://cm.bell-labs.com/who/ken/trust.html

[mintman]

لینک مخفیه آقا 

[alend]

درست شد!

[mintman]

واویلا وااسفا واحیرتا
من خوش خیال رو ببین
آقا خبر پشت خبر از انواع تکذیبیه تا انواع تایید ها خبرها رو حتما دنبال کنید ببینیم تکلیفمون چیه
http://www.linuxsecurity.com

[HojjatJafary]

سلام

هیچ وقت از یک کاربر معمولی که برای مرتفع کردن نیازهای روز مره از سیستم عامل استفاده می کنه انتظار این نمی ره که کد سیستم عامل رو بخونه یا بررسی کنه که آیا نقطه آسیب پذیر داره یا نه این کار مخصوص کسانی است که یا راجع به مسائل سیستم عامل و امنیت تحقیق می کنند یا شغل مرتبطی دارند مثلا توسعه دهندگانی که برنامه های تحت وب یا شبکه می نویسند. در ضمن همین ها نیز نیازی ندارند که تمام کد را بخوانند.

منتها، شما فکر میکنید مثلا همین دولت آمریکا، به این پروژه و مسئولانش یا به قول شما یه گروه از برنامه نویسهاش، پول داده، ولی به طور مثال اصلا کاری با MS نداشته؟؟
کد این مجموعه کاملا بازه، خیلی ها اونو کامپایل میکنن، کد رو میبینن. ولی مثلا شما تا به حال فکر کردید که اصلا امکان دیده شدن سورسهای بسته نیست و اگه این طرف یک درصد احتمال پیدا شدن این حفره ها و درهای پشتی باشه، توی کدهای بسته اصلا و ابدا ممکن نیست.
خیلی بامزست، فکر کنید MS اگه یه همچی کاری بکنه، حتما تو کد کامنت میذاره که برنامه نویسهاش بفهمن اینو نباید دست بزنن! دست کم تو کد باز طرف مجبوره کلی جون بکنه تا حفره رو مخفی کنه!!

اما در مورد پنیر باید بگویم کسی که برنامه نویس اجیر می کند ایزو ۱۰۰۰۰ رو هم می خره فقط شما متوجه نمی شوید که مشکل از پنیر ایزو دار بوده چون به آن شک نمی کنید.

در کل نکته جالبی بود از شما به خاطر ارسال این مطلب تشکر می کنم.

[alend]

بر اساس  distrowatch این نسخه ها بر مبنای openBSD اند:

FuguIta
GNOBSD
 MirOS BSD

و در کل ۱۵ نسخه بر مبنای BSD.

حدود ۳۰۰ نسخه بر اساس Linux در ورژن های مختلف است.

درست است که کاربران خانگی سورس برنامه ها را در نظر نمی گیرند ولی شرکت های بزرگی هستند که حتی حتی اصل کرنل را بازنگری می کنند مثل astaro.

البته شاید این مشکل مربوط به لایسنس BSD هم باشد، در این نوع لایسنس در صورت تغییر کد اجباری برای در اختیار گذاشتن آن کد برای دیگران نیست ولی در لایسنس GPL اصل کد پس از تغییر باید در اختیار دیگران قرار بگیرد.

آیا در صد کامپیوتر هایی که از BSD‌استفاده می کنند در جایی ذکر شده است؟

[سید وحید رضا برهانی]

البته شاید این مشکل مربوط به لایسنس BSD هم باشد، در این نوع لایسنس در صورت تغییر کد اجباری برای در اختیار گذاشتن آن کد برای دیگران نیست ولی در لایسنس GPL اصل کد پس از تغییر باید در اختیار دیگران قرار بگیرد.

سلام البته تا حدی درست است  gpl می گه که اگر تغییر دادی ومنتشر کردی باید آزادمنتشر کنی به بیان دیگر اگر شما یک کدی رو تغییر دادی لازم نیست که نسخه ی تغییر داده شده رو منتشر کنی

[r_m1232002]

این موضوع در تکنوتاکس هم مطرح شده است که من در آنجا یک سری توضیحات نسبتا طولانی دادم. فکر کردم بد نباشد اگر لینک آن را در اینجا هم مطرح کنم.
http://www.technotux.org/html/PNphpBB2-viewtopic-p-140626.html#140626
در مورد مجوز نیز من ارتباطی بین نوع آن و تاثیرش بر چنین موضوعی نمی بینم. تمامی کد های OpenBSD به شکل متن باز در دسترس همگان قرار دارد.

[alend]

این موضوع در تکنوتاکس هم مطرح شده است که من در آنجا یک سری توضیحات نسبتا طولانی دادم. فکر کردم بد نباشد اگر لینک آن را در اینجا هم مطرح کنم.
http://www.technotux.org/html/PNphpBB2-viewtopic-p-140626.html#140626
در مورد مجوز نیز من ارتباطی بین نوع آن و تاثیرش بر چنین موضوعی نمی بینم. تمامی کد های OpenBSD به شکل متن باز در دسترس همگان قرار دارد.

منظورم اینست که ممکن است برخی شرکت ها این مشکل را یافته و حل کرده اند و سپس نسخه خور را به صورت غیراپن سورس منتشر کرده باشند.