É mas não esqueçam que a carta foi para o Teo e não para a mídia, se fosse para querer difamar o Sistema ele poderia ter colocado em público diretamente. A decisão de por à público foi do Teo. Pensando desse jeito acho muito válido fazer uma auditoria no código, porque a façanha nesse caso não é introduzir uma simples vulnerabilidade e sim introduzir uma backdoor de forma que não apareça claramente no código. Aos olhos desapercebidos poderia aparecer como algo normal. Penso mais ainda na genialidade de quem elaborou isso porque quem imaginaria que alguém de confiança de um projeto pudesse fazer tal coisa? Por isso que é verdade quando se diz que segurança nunca é 100%, sempre haverá algum jeito de se burlar. Porque segurança não é só programar bem um código, é todo um conceito com regras e normas. O furo pode estar em todo lugar, basta saber explorar. :)
Mas vamos torcer para o melhor. Eu penso que se houver mesmo a falha, que sirva de aprendizado para todos não só para a equipe do OpenBSD mas para outras comunidades à melhorarem suas auditorias e regras para que esse tipo falha não ocorra mais. []´s a todos -----Mensagem Original----- From: Antonio Modesto Sent: Thursday, December 16, 2010 4:34 PM To: Lista Brasileira deDiscussãosobre FreeBSD (FUG-BR) Subject: Re: [FUG-BR] FBI teria pago para colocar Backdoors noipsec do OpenBSD On Thu, 2010-12-16 at 14:52 +0000, Jean Everson Martina wrote: > >>> Estou postando no meu twitter, http://twitter.com/eksffa, os links > >>> mais relevantes. Tem coisa boa la sendo dita, acho bacana uma lida > >>> previa pra respaldar opiniões, pessoais e profissionais. > >>> > >>> O des@ até ofereceu dinheiro se alguém mostrar alguma evidencia. A > >>> opinião geral é de incredulidade especialmente pelo codigo estar ai, e > >>> ninguém ve nada nele. > >> > >> O problema é que talvez isso demande não programadores para ver, mas > >> cryptanalistas. Pode ser simplesmente uma variação da famosa lei do > >> Arthur C Clarke: > >> > >> "Any sufficiently advanced malice is indistinguishable from stupidity." > > > > Bom, estamos falando de pessoas como o amigo pessoal do Theo, Bruce > > Schneier, o proprio Theo, o Angelos, Niels PRovos e o J. Wright (e até o > > DJB nas horas vagas, reconhecidamente da pitaco) Alguns matemáticos por > > formação e todos os citados especialistas, em criptografia. Alguns > > dispensam apresentação (Schneier, Wright). Uma equipe dessas, deve ser > > suficiente pra encontrar algo suspeito se houver ;-) > > Esse que é o problema, mesmo com os melhores dos melhores disponíveis você > não pode garantir que não existe o backdoor. A história já mostrou isso no > caso dos ataques diferenciais do DES. A comunidade cientifica levou quase > trinta anos pra achar os ataques diferenciais e quando vieram a tona, a > NSA disse ja conhecer desde quando o DES foi introduzido em 1977. Nunca > foi provado, mas houve esta afirmação. > > O problema é que o backdoor pode não ter nada a ver com o que é conhecido > e disponível na comunidade científica atualmente. Inclusive nem ter nada a > ver com o código e ser um zero day critográfico. Eu conversei com o > Robert Watson hoje e a discussão foi muito nesse sentido. Se foi realmente > bem feito, num tem como detectar. Só o cara que falou é que pode confirmar > e mostrar o bug introduzido e se o cara ficar quieto, nem mesmo ele > desmentindo vai convencer os paranóicos. > > O problema não tem nada a ver com o modelo opensource, mas com alguém > deliberadamente projetar um backdoor. Se foi bem feito vai permanecer ali > para sempre. > Na minha opinião, acho que isso é alguém mal intencionado com foco em "sujar" a fama de "SO seguro" do OpenBSD, ainda mais com uma equipe de desenvolvimento paranóica como a do OpenBSD, se isso tivesse ocorrido com o Linux, eu acreditaria. > Jean > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Antonio Modesto Gerente de TI Praça Getúlio Vargas, 77 – Sala 308 – Centro Santo Antônio do Monte – MG – CEP: 35560-000 (37) 3281-2800 isimp...@isimples.com.brhttp://www.isimples.com.br Aviso:Esta mensagem e quaisquer arquivos em anexo podem conter informações confidenciais e/ou privilegiadas. Se você não for o destinatário ou a pessoa autorizada a receber esta mensagem, por favor, não leia, copie, repasse, imprima, guarde, nem tome qualquer ação baseada nessas informações. Notifique o remetente imediatamente por e-mail e apague a mensagem permanentemente. Atenção: embora a Isimples Telecom, tome seus cuidados para garantir a ausência de vírus neste e-mail, a empresa não se responsabiliza por quaisquer perdas ou danos decorrentes do uso da mensagem e seus anexos. A segurança e ausência de erros na transmissão do e-mail não podem ser garantidas, já que as informações podem ser interceptadas, corrompidas, perdidas, destruídas, atrasadas, chegarem incompletas, ou, ainda, conter vírus. Recomendamos checar se o e-mail e seus anexos contém vírus, uma vez que nem a Isimples Telecom ou o remetente se responsabilizam pela transmissão destes. ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd