[Uwaga] OpenSource pod lupą rządu USA

[Jo_gurt]

Założyciel projektu OpenBSD, Theo de Raadt, opublikował szokujący e-mail, wysłany przez Gregora Perry, szefa GoVirtual Education, który niegdyś jako szef ds. technologii NETSEC brał udział w projekcie OpenBSD.

W liście Perry utrzymuje, że 10 lat temu on oraz zespół NETSEC zainstalował tylne drzwi i specjalne luki w kodzie OpenBSD na żądanie FBI.

Teraz, gdy wygasło zobowiązanie dotrzymania tajemnicy Perry zaleca Raadtowi, aby kod OpenBSD został dokładnie sprawdzony.

źródło: http://hacking.pl/pl/news-16197-10_lat_ ... ource.html

[alias]

Przecież to żadna rewelacja, 99,99% oprogramowania pochodzącego z USA lub z obszarów będących pod wpływami USA zawsze zawiera "coś" co pozwala na kontrolę przez odpowiednie instytucje rządowe. Dotyczy to nie tylko oprogramowania ale również wszelkich urządzeń telekomunikacyjnych a nawet algorytmów szyfrowania w tych urządzeniach.

[Jo_gurt]

alias, pogłoski owszem, są. Natomiast tu mamy konkretny przykład.

[key]

Konkretny przyklad byl z PGP, ktorego nie wolno bylo eksportowac z USA, wiec wywieziono wydrukowany sourcecode i wklepano jeszcze raz.

[alias]

alias, pogłoski owszem, są. Natomiast tu mamy konkretny przykład.

Ja miałem możliwość poznać jeszcze inne przykłady, niestety nie mogę o tym tu napisać.

[Jo_gurt]

Cóż, ogólny wniosek jest dość zatrważający. USA kładzie łapę na wszystkim.

[YaHooo]

Tylko jeśli to jest OpenSource to dlaczego nikt przez tyle lat nie zauważył BackDoor'a Bo jak inaczej nazwać tą możliwość?

I w ten sposób jeden z podstawowych argumentów na rzecz zapaleńców Linux'a, czy też innych otwartych oprogramowań, który mówi, że taki program nie zawiera żadnych luk czy też narzędzi szpiegujących legł w gruzach...

[alias]

Tylko jeśli to jest OpenSource to dlaczego nikt przez tyle lat nie zauważył BackDoor'a Bo jak inaczej nazwać tą możliwość?

Heh, wbrew pozorom to nie jest takie proste, odpowiednia funkcjonalność rozbijana jest na niewinnie wyglądające fragmenty które umieszcza się w różnych funkcjach, procedurach lub w rożnych częściach kernela. Ponadto backdoor'y to w sumie stosunkowo niewielkie fragmenty kodu, czasami paręnaście bajtów "załatwi sprawę".

[YaHooo]

wbrew pozorom to nie jest takie proste,

Ja to wiem, że to ni etakie łatwe. Ale czemu tak duża część maniaków OpenSource (nie mylić z normalnymi userami) tak podkreśla bezpieczeństwo takiego rozwiązania...

[Jo_gurt]

Podejrzewam, że przy tych milionach kodu nikt w pewne rejony nie zagląda, bo nie ma po co.

[YaHooo]

przy tych milionach kodu nikt w pewne rejony nie zagląda, bo nie ma po co.

Taka prawda. Poza tym słyszałem opinię, że niektórzy autorzy piszą tak zamotany kod (co często ma miejsce przy pisaniu bardzo zwięzłego kodu, kto uczył się programować, ten wie co mam na myśli), aby inni mieli problemy z rozszyfrowaniem. Ale na ile to jest prawda, to nie sprawdzałem.

[key]

Poza tym słyszałem opinię, że niektórzy autorzy piszą tak zamotany kod (co często ma miejsce przy pisaniu bardzo zwięzłego kodu, kto uczył się programować, ten wie co mam na myśli)

Trudno sie z tym zgodzic. Zamotany kod powstaje zazwyczaj przez amatorow, bez nawykow dokumentowania. Kod o wysokiej wydajnosci pisze blisko maszyny - w embeded sa to wstawki w assemblerze. OpenSource jest pisany w sposob, by kazdy go zrozumial, w innym wypadku nie ma najmniejszego sensu.

[YaHooo]

Zamotany kod powstaje zazwyczaj przez amatorow, bez nawykow dokumentowania.

Tylko jeśli mamy klasyczny przykład kopiowania zwykłej tablicy char'ów zapisany w ten sposób:

Kod: Zaznacz cały

void strcpy(char *s, char *t)
{
    while (*s++ = *t++);
}

To niby takiej operacji nie trzeba dokumentować, ale zrozumienie tego od razu po spojrzeniu na kod może być ciężkie A właśnie takich optymalizacji dotyczył pogląd jaki napisałem wyżej.

Jak również korzystając z pewnych osobliwych właściwości tablic można zamotać tak:

Kod: Zaznacz cały

int i,t[100];

i = 25[t];

Jak już wcześniej napisałem nie przeglądałem za mocno źródeł cudzych programów, więc nie wiem czy takie rzeczy rzeczywiście mają miejsce.

OpenSource jest pisany w sposob, by kazdy go zrozumial, w innym wypadku nie ma najmniejszego sensu.

Powinien być, jednak zrozumienie (moim zdaniem) nie idzie za bardzo w parze z wydajnością.

[key]

A właśnie takich optymalizacji dotyczył pogląd jaki napisałem wyżej.

Wyglada to dziko gdy pierwszy raz na to patrzysz.

(moim zdaniem) nie idzie za bardzo w parze z wydajnością.

Moim zdaniem niekoniecznie - dzisiejsze compilery z zalaczona optymalizacja kodu robia czasami z kodu niezle spaghetti - i vice versa. Jak pisalem powyzej, u mnie w pracy wszystkie krytyczne wstawki sa pisane w assemblerze i wylaczana optymizacja.

[YaHooo]

Wyglada to dziko gdy pierwszy raz na to patrzysz.

No wiem, ale jakoś wolę patrzeć na ładny kod zawsze, a nie taki zamotany

Moim zdaniem niekoniecznie - dzisiejsze compilery z zalaczona optymalizacja kodu robia czasami z kodu niezle spaghetti - i vice versa.

W sumie racja. Co do platformy Windows mogę przyznać rację. Ale nie wiem zupełnie jak to jest na Linuxie.

Jak pisalem powyzej, u mnie w pracy wszystkie krytyczne wstawki sa pisane w assemblerze i wylaczana optymizacja.

Rzeczywiście najlepsza sprawa

[key]

Ale nie wiem zupełnie jak to jest na Linuxie.

Podejrzewam ze podobnie. Moje doswiadczenia opieraja sie w wiekszosci na AUTOSAR'ze, tutaj kompiler potrafi niezle narozrabiac.

Rzeczywiście najlepsza sprawa

Czasami jedyne sensowne wyjscie, n.p. gdy masz jakies urzadzenie mapowane w pamiec. Jeden z pksiazkowych przykladow: FPGA wpiety przez magistrale pamieci. Kopiujesz 128kB kodu pod jeden adres, FPGA programuje sie nim. Co robi "cwany" compiler - stwierdza ze kopiujemy caly przedzial danych pod ten sam adres i w optymalizacji kopiuje tylko ostatni bajt. A czlowiek godzinami szuka powodu, dlaczego mu system nie chodzi.

[YaHooo]

Podejrzewam ze podobnie. Moje doswiadczenia opieraja sie w wiekszosci na AUTOSAR'ze, tutaj kompiler potrafi niezle narozrabiac.

Nawet nie za bardzo wiem co to jest Bo tylko bawiłem się bardzo mało w uProcesory. Ja to wolę raczej PC'ty programować

Czasami jedyne sensowne wyjscie, n.p. gdy masz jakies urzadzenie mapowane w pamiec. Jeden z pksiazkowych przykladow: FPGA wpiety przez magistrale pamieci. Kopiujesz 128kB kodu pod jeden adres, FPGA programuje sie nim. Co robi "cwany" compiler - stwierdza ze kopiujemy caly przedzial danych pod ten sam adres i w optymalizacji kopiuje tylko ostatni bajt. A czlowiek godzinami szuka powodu, dlaczego mu system nie chodzi.

Czasem człowiek wie lepiej co trzeba poprawić