อดีต CTO บริษัท NETSEC อ้าง "FBI จ้างให้บริษัทแอบใส่ช่องโหว่ในระบบ IPsec ของ OpenBSD"

By: lew

on 15/12/10 22:20 Tags:

Theo de Raadt หัวหน้าโครงการ BSD ได้รับอีเมลจาก Gregory Perry อดีต CTO ของบริษัท NETSEC ได้ส่งอีเมลระบุว่าบริษัทที่เขาเคยทำงานอยู่ได้รับการว่าจ้างจาก FBI ให้วางช่องโหว่ไว้ในระบบ IPsec ของโครงการ BSD ทำให้มีช่องโหว่ที่เปิดให้กุญแจดิจิตอลเหล่านี้รั่วไหลออกไปได้

นอกจากส่วน IPsec ของ BSD แล้ว Perry ยังอ้างว่า NETSEC เป็นที่ปรึกษาให้กับ FBI ในอีกหลายโครงการนับแต่บัตรสมาร์ทการ์ดไปจนถึงระบบเข้ารหัสด้วยฮาร์ดแวร์หลายตัว

Perry ระบุว่าการที่ BSD มีบั๊กในส่วน IPsec ที่ซ่อนไว้อาจจะเป็นเหตุผลที่ DARPA เคยถอนเงินสนับสนุนจากโครงการ OpenBSD ไปหลายล้านดอลลาร์เพราะตระหนักว่ามีช่องโหว่ร้ายแรงจนไม่ควรนำโค้ดของ BSD ไปใช้งานต่อ และอาจจะเป็นเหตุผลที่ FBI พยายามสนับสนุนให้มีการใช้งาน OpenBSD เพื่อการทำ VPN ในหน่วยงานมากขึ้น

เหตุผลที่ Perry ออกมาเปิดเผยเรื่องนี้เนื่องจากสัญญาปกปิดความลับของเขากับ FBI ได้หมดลง และเขาได้เตือนโครงการ BSD ว่า Jason Wright กับทีมงานเป็นผู้รับผิดชอบต่อการส่งโค้ดที่มีบั๊กเหล่านี้เข้าสู่โครงการ พร้อมกับแนะนำให้โครงการ BSD ได้ตรวจสอบโค้ดทั้งหมดอีกครั้ง

ไม่รู้ตอนนี้ใครใช้ OpenBSD ทำ VPN กันอยู่บ้าง

ที่มา - ArsTechnica, OpenBSD Mailing List

Comments

By: Fzo

on 15/12/10 22:36 #241681 toggle

โอ้ มีงี้ด้วยเหรอ งานของ FBI

WE ARE THE 99%

By: manaeeee

on 15/12/10 22:48 #241689 toggle

โทษนะครับ ขอนอกเรื่องนิดนึง ทำไมหน้าแรก แต่ละข่าว มันมีขีดตรงกลาง ตัวอักษร ด้วยอ่ะครับ หรือผมเป็นเครื่องเดียว

คนขี้ใจลอย คนคอยขี้แตก

By: 077023

on 15/12/10 23:01 #241693 Reply to:241689 toggle

ของผมปกติดีอ่ะคับ

もういい

( My blog 077023.com )

By: networkthai

on 15/12/10 23:35 #241721 Reply to:241689 toggle

ผมก็เป็นครับ ตอนนี้หายแล้ว

By: netfirms

on 15/12/10 22:48 #241690 toggle

ขนาดกองทัพยังไม่เอาด้วย

กินตับทำให้ร่างกายแข็งแรง

By: susie888

on 15/12/10 22:51 #241691 toggle

อ่ะ แฉตัดหน้า wikileaks

888

By: ninja741

on 16/12/10 1:05 #241762 toggle

Opensource อย่าง linux ก็ใช่ว่าจะปลอดภัยซิเนี่ย

ใช้ windows ยังปลอดภัยซะกว่า MS คงไม่ทุบหม้อข้าวตัวเองยอมให้คนอื่นมาใส่ backdoor

By: chantrai

on 16/12/10 9:13 #241831 Reply to:241762 toggle

ยิ่งไม่เห็น source ใครจะไปรู้ว่าจะไม่มี และปัจจุบันรูรั่วก็เพียบอยู่แล้ว ถ้าเป็นจริง ผู้บริโภคที่ใช้ OpenBSD น่าจะฟ้องร้องเรียกค่าเสียหายระดับโลกได้เลยมั้ยเนี่ย

By: wichate

on 16/12/10 9:41 #241840 Reply to:241762 toggle

ผมว่า ms มันก็มี backdoor อยู่แล้วนี่ครับ

ได้ตัวดาว 5 แฉกนั่นน่ะ อยูๆมันจะมาเองได้ไง ยังดีนะมันให้รอแค่ 5 วินาที ถ้า MS ให้รอซัก 1 ชม. ตายแน่นอน

ปล.แต่มันก็เป็นสิทธ์ของ MS เขานะว่าอะไรเขาไม่ได้

ผมอยากจะบอกว่าเครื่อง windows แท้ก็โดนดาว 5 แฉกกันมาแล้ว

By: susethailand

on 18/12/10 16:40 #242667 Reply to:241762 toggle

ใช้ครับ การใช้งาน Open source ยิ่งถ้านำเอาลีนุกซ์มาใช้ผู้ดูแลระบบต้องมีงานทดสอบ patch ที่ออก ก่อนที่จะ patch update บนเซิฟร์เวอร์จริงจะได้ไม่มีปัญหาตามมา

อย่างไรก็ตามผมเข้าใจว่าหลายๆ องค์กรที่ใช้ลีนุกซ์เซิร์ฟเวอร์ที่เป็น Open source ไม่ patch กันเลยก็เยอะ bugs ก็คือ bugs ผู้บริหารบ่นค่อย up แล้วกัน (เป็นอย่างนั้นจริง)

ลีนุกซ์ที่เป็น Enterprise ยังคงเป็นทางเลือกให้ผู้บริหารไอทีต่อไปครับ (Online patches update)

ตามข่าวไม่ได้ระบุว่าใช้โปรแกรมไหนระหว่าง FreeS/WAN, Openswan หรือ StrongSwan จะได้ลงรายละเอียดเพิ่มเติม.

By: nextman13

on 16/12/10 7:02 #241800 toggle

รับไม่ได้เลย

This is a pen.

By: PaPaSEK

on 16/12/10 7:54 #241806 toggle

รอดูดราม่า FBI

By: boynoiz

on 16/12/10 9:59 #241851 toggle

ทำไมถึงทำแบบนี้.... FreeBSD คงไม่เจออะไรแบบนี้ใช่มั้ย?

bOynOiz's G+

By: AdmOd

on 16/12/10 11:05 #241892 toggle

เรื่องธรรมดา :P

By: chankx

on 16/12/10 11:29 #241906 toggle

แล้ว OSX ละ

By: g-man

on 16/12/10 12:12 #241931 Reply to:241906 toggle

ศรัทธาบรรดารทุกสิ่งให้งดงาม

By: chankx

on 16/12/10 13:17 #241953 Reply to:241931 toggle

หมายถึงว่า osx ก็เป็นลูกหลานของ bsd เหมือนกันนี่ครับ จะมี code ส่วนนั้นติดมาด้วยป่าว

By: joomla

on 16/12/10 15:50 #242033 Reply to:241953 toggle

เขาตอบไปแล้วนี่ครับ จงเชื่อมั่นในศาสดา หากมีอะไรไม่ถูกต้องก็จงมองข้ามเสีย

v___v

By: thumb6455

on 17/12/10 3:02 #242265 Reply to:241953 toggle

ไม่น่่าครับ fork มานานแล้ว

,thumb6455