backdoor in openbsd?

smashIt

master of disaster

Registered: Feb 2004
Location: OÖ
Posts: 5342

15.12.2010 - 15:37

http://permalink.gmane.org/gmane.os.openbsd.tech/22557

hoffen wir die sache stellt sich als ente (bzw längst wieder ausgebügelt) heraus :eek:

Cobase

Vereinsmitglied
Mr. RAM

Registered: Jun 2001
Location: Linz
Posts: 17915

15.12.2010 - 15:44

HitTheCow

it's been an honor.

Registered: Mar 2002
Location: bielefeld
Posts: 6378

15.12.2010 - 15:56

und noch der heise link:
http://www.heise.de/newsticker/meld...SD-1153180.html

Rektal

Here to stay

Registered: Dec 2002
Location: Inside
Posts: 4517

15.12.2010 - 16:00

Zitat von Cobase

Dann aber auch den richtigen Link

-> http://marc.info/?t=129236639300001&r=1&w=2

quilty

Ich schau nur

Registered: Jul 2005
Location: 4202
Posts: 3119

15.12.2010 - 16:10

Wird nicht das einzige Backdoor in populärer Soft- und Hardware (egal ob Open oder Closed Source) sein, dass dort vom Hersteller aus Eigennutzen oder Druck seitens einer Regierung eingebaut wurde.

War doch erst heute wieder auf slashdot, dass HP in das MSA2000 einen versteckten User mit fixem Passwort eingebaut hat.

Hansmaulwurf

u wot m8?

Registered: Apr 2005
Location: VBG
Posts: 5639

15.12.2010 - 16:17

Zitat von quilty
Wird nicht das einzige Backdoor in populärer Soft- und Hardware (egal ob Open oder Closed Source) sein, dass dort vom Hersteller aus Eigennutzen oder Druck seitens einer Regierung eingebaut wurde.

War doch erst heute wieder auf slashdot, dass HP in das MSA2000 einen versteckten User mit fixem Passwort eingebaut hat.

Ist ja spätestens seit dem bekannt:
http://www.pressetext.com/news/1011...die-hintertuer/
Mich erschüttert es eher das sich auch bei OpenSource "einfach eingekauft" werden kann, sofern das stimmt.

Rektal

Here to stay

Registered: Dec 2002
Location: Inside
Posts: 4517

15.12.2010 - 18:33

Sind im Endeffekt auch nur Menschen ...

Smut

takeover&ether

Registered: Feb 2003
Location: VIE
Posts: 16867

15.12.2010 - 19:13

da ist die behauptung wohl endgültig dahin, dass das "many eyes" prinzip für mehr sicherheit sorgt.

quilty

Ich schau nur

Registered: Jul 2005
Location: 4202
Posts: 3119

15.12.2010 - 19:26

Many Eyes ...
... seit ich ernsthaft selbst entwickle habe ich das schon immer für einen Mythos gehalten. Wenn du dich nicht wirklich ernsthaft bis ins kleinste Detail mit dem Source beschäftigst fällt dir ein halbigs vernünftig verstecktes Backdoor niemals auf.

Wir haben mal das im Realtest bei uns im Haus probiert. Im Zuge des Development Controlling haben wir explizit ein Backdoor eingebaut um zu checken ob das bei einem Code-Review auffällt.
Drei Leute haben ordentliche Code-Reviews gemacht, zwei ist es garnicht aufgefallen, der dritte meinte dann auf Nachfrage ihm sei das zwar "komisch" vorgekommen, aber als Sicherheitsproblem habe er das nicht erkannt.

Solange Code builded und keine Bugs darin auftauchen, wird selbst viel verwendeter OpenSource-Code von nicht besonders vielen Personen angesehen.

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12215

15.12.2010 - 19:38

Ja, auch mehr Augen sehen sicherlich nicht alles - aber definitiv mehr als nur eines.

Ich wuerde erst mal abwarten, was ein Audit jetzt wirklich zu Tage foerdert, und mich bis dahin mit FUD und "hab's ja eh immer gewusst/gesagt/gedacht, dass..." zurueckhalten. Aber das ist natuerlich nur eine Anregung

smashIt master of disaster Registered: Feb 2004 Location: OÖ Posts: 5342	15.12.2010 - 15:37 http://permalink.gmane.org/gmane.os.openbsd.tech/22557 hoffen wir die sache stellt sich als ente (bzw längst wieder ausgebügelt) heraus
Cobase Vereinsmitglied Mr. RAM Registered: Jun 2001 Location: Linz Posts: 17915	15.12.2010 - 15:44
HitTheCow it's been an honor. Registered: Mar 2002 Location: bielefeld Posts: 6378	15.12.2010 - 15:56 und noch der heise link: http://www.heise.de/newsticker/meld...SD-1153180.html
Rektal Here to stay Registered: Dec 2002 Location: Inside Posts: 4517	15.12.2010 - 16:00 Zitat von Cobase Dann aber auch den richtigen Link -> http://marc.info/?t=129236639300001&r=1&w=2
quilty Ich schau nur Registered: Jul 2005 Location: 4202 Posts: 3119	15.12.2010 - 16:10 Wird nicht das einzige Backdoor in populärer Soft- und Hardware (egal ob Open oder Closed Source) sein, dass dort vom Hersteller aus Eigennutzen oder Druck seitens einer Regierung eingebaut wurde. War doch erst heute wieder auf slashdot, dass HP in das MSA2000 einen versteckten User mit fixem Passwort eingebaut hat.
Hansmaulwurf u wot m8? Registered: Apr 2005 Location: VBG Posts: 5639	15.12.2010 - 16:17 Zitat von quilty Wird nicht das einzige Backdoor in populärer Soft- und Hardware (egal ob Open oder Closed Source) sein, dass dort vom Hersteller aus Eigennutzen oder Druck seitens einer Regierung eingebaut wurde. War doch erst heute wieder auf slashdot, dass HP in das MSA2000 einen versteckten User mit fixem Passwort eingebaut hat. Ist ja spätestens seit dem bekannt: http://www.pressetext.com/news/1011...die-hintertuer/ Mich erschüttert es eher das sich auch bei OpenSource "einfach eingekauft" werden kann, sofern das stimmt.
Rektal Here to stay Registered: Dec 2002 Location: Inside Posts: 4517	15.12.2010 - 18:33 Sind im Endeffekt auch nur Menschen ...
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	15.12.2010 - 19:13 da ist die behauptung wohl endgültig dahin, dass das "many eyes" prinzip für mehr sicherheit sorgt.
quilty Ich schau nur Registered: Jul 2005 Location: 4202 Posts: 3119	15.12.2010 - 19:26 Many Eyes ... ... seit ich ernsthaft selbst entwickle habe ich das schon immer für einen Mythos gehalten. Wenn du dich nicht wirklich ernsthaft bis ins kleinste Detail mit dem Source beschäftigst fällt dir ein halbigs vernünftig verstecktes Backdoor niemals auf. Wir haben mal das im Realtest bei uns im Haus probiert. Im Zuge des Development Controlling haben wir explizit ein Backdoor eingebaut um zu checken ob das bei einem Code-Review auffällt. Drei Leute haben ordentliche Code-Reviews gemacht, zwei ist es garnicht aufgefallen, der dritte meinte dann auf Nachfrage ihm sei das zwar "komisch" vorgekommen, aber als Sicherheitsproblem habe er das nicht erkannt. Solange Code builded und keine Bugs darin auftauchen, wird selbst viel verwendeter OpenSource-Code von nicht besonders vielen Personen angesehen.
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12215	15.12.2010 - 19:38 Ja, auch mehr Augen sehen sicherlich nicht alles - aber definitiv mehr als nur eines. Ich wuerde erst mal abwarten, was ein Audit jetzt wirklich zu Tage foerdert, und mich bis dahin mit FUD und "hab's ja eh immer gewusst/gesagt/gedacht, dass..." zurueckhalten. Aber das ist natuerlich nur eine Anregung

backdoor in openbsd?

Forum Index > Software > Linux and other OS

smashIt

Cobase

HitTheCow

Rektal

quilty

Hansmaulwurf

Rektal

Smut

quilty

COLOSSUS