http://blogs.csoonline.com/1296/an_fbi_backdoor_in_openbsd
Alguns detalhes a mais ditas por G. Perry Em 16 de dezembro de 2010 13:06, Patrick Tracanelli <eks...@freebsdbrasil.com.br> escreveu: > > Em 16/12/2010, às 12:52, Jean Everson Martina escreveu: > >> >>>>> Estou postando no meu twitter, http://twitter.com/eksffa, os links mais >>>>> relevantes. Tem coisa boa la sendo dita, acho bacana uma lida previa pra >>>>> respaldar opiniões, pessoais e profissionais. >>>>> >>>>> O des@ até ofereceu dinheiro se alguém mostrar alguma evidencia. A >>>>> opinião geral é de incredulidade especialmente pelo codigo estar ai, e >>>>> ninguém ve nada nele. >>>> >>>> O problema é que talvez isso demande não programadores para ver, mas >>>> cryptanalistas. Pode ser simplesmente uma variação da famosa lei do Arthur >>>> C Clarke: >>>> >>>> "Any sufficiently advanced malice is indistinguishable from stupidity." >>> >>> Bom, estamos falando de pessoas como o amigo pessoal do Theo, Bruce >>> Schneier, o proprio Theo, o Angelos, Niels PRovos e o J. Wright (e até o >>> DJB nas horas vagas, reconhecidamente da pitaco) Alguns matemáticos por >>> formação e todos os citados especialistas, em criptografia. Alguns >>> dispensam apresentação (Schneier, Wright). Uma equipe dessas, deve ser >>> suficiente pra encontrar algo suspeito se houver ;-) >> >> Esse que é o problema, mesmo com os melhores dos melhores disponíveis você >> não pode garantir que não existe o backdoor. A história já mostrou isso no >> caso dos ataques diferenciais do DES. A comunidade cientifica levou quase >> trinta anos pra achar os ataques diferenciais e quando vieram a tona, a NSA >> disse ja conhecer desde quando o DES foi introduzido em 1977. Nunca foi >> provado, mas houve esta afirmação. >> >> O problema é que o backdoor pode não ter nada a ver com o que é conhecido e >> disponível na comunidade científica atualmente. Inclusive nem ter nada a ver >> com o código e ser um zero day critográfico. Eu conversei com o Robert >> Watson hoje e a discussão foi muito nesse sentido. Se foi realmente bem >> feito, num tem como detectar. Só o cara que falou é que pode confirmar e >> mostrar o bug introduzido e se o cara ficar quieto, nem mesmo ele >> desmentindo vai convencer os paranóicos. > > Concordo com a dificuldade implicita, mas uma coisa é algo estar la, e > ninguém desconfiar que pode haver um comportamento determinístico diferente > do que aparentemente um algorítimo se propõe, por hipótese ou insight. Outra > coisa é alguém apontar o dedo, e ainda assim pessoas tão ou mais capacitadas > quanto as que fizeram, não encontrarem sequer uma hipótese, mesmo sem PoC, e > remove-las. > >> O problema não tem nada a ver com o modelo opensource, mas com alguém >> deliberadamente projetar um backdoor. Se foi bem feito vai permanecer ali >> para sempre. > > Certamente ser open source é a vantagem, não o problema. > > A questão é que não é preciso encontrar, determinar e reproduzir. É > identificar a hipótese, mitigar ou desviar. Como se trata um bug, a hipótese > é suficiente pra demandar correção/mitigação não é necessário confirmar o > PoC, não é preciso reproduzir. > > > -- > Patrick Tracanelli > > FreeBSD Brasil LTDA. > Tel.: (31) 3516-0800 > 316...@sip.freebsdbrasil.com.br > http://www.freebsdbrasil.com.br > "Long live Hanin Elias, Kim Deal!" > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd