http://www.phoronix.com/scan.php?page=n ... &px=ODkxMw
http://permalink.gmane.org/gmane.os.openbsd.tech/22557
Sachant que la pile IPsec d'OpenBSD est à la base de quasiment toutes les piles existantes d'après ce que j'ai pu lire par-ci par-là
Développeurs OpenBSD payés par le FBI pour des backdoors dans IPSEC ?
Développeurs OpenBSD payés par le FBI pour des backdoors dans IPSEC ?
Si c'est vrai, je suis totalement dégouté 
Développeurs OpenBSD payés par le FBI pour des backdoors dans IPSEC ?
Et personne n'aurait repéré un backdoor dans les sources :/
moi je dit intox
moi je dit intox
[*]I am retrogamer 
Développeurs OpenBSD payés par le FBI pour des backdoors dans IPSEC ?
waw 
je pense pas que ça soit une intox
je pense pas que ça soit une intox
Développeurs OpenBSD payés par le FBI pour des backdoors dans IPSEC ?
Et personne n'aurait repéré un backdoor dans les sources :/
moi je dit intox
D'après ce que j'ai pu lire, c'est pas du tout de la programmation de mon niveau
, le truc consisterait à "lâcher" la clé dans le flux pour qu'elle soit interceptable pendant le transit entre les deux machines (donc chez le FAI par exemple). Et vu que c'est quasiment que des maths, je suppose que c'est pas facile de voir qu'à un moment on met des bits qui sont pas forcéments cryptés ou qui sont repérables C'est ce que j'ai pu comprendre.
Néanmoins, les faits ne sont toujours pas avérés et c'est peut être des conneries, faut attendre ...
-
augur1
- Messages : 13167
- Inscription : ven. 12 janv. 2018 17:44
- Localisation : où tout est neuf et tout est sauvage
- Contact :
Développeurs OpenBSD payés par le FBI pour des backdoors dans IPSEC ?
. . .
[center]
[/center]
[center]
[/center]
Développeurs OpenBSD payés par le FBI pour des backdoors dans IPSEC ?
You broke my heart, b*tch !
-
micha30000
- Messages : 9467
- Inscription : ven. 12 janv. 2018 17:44
Développeurs OpenBSD payés par le FBI pour des backdoors dans IPSEC ?
Genre ya beaucoup de gens qui revoient le codeEt personne n'aurait repéré un backdoor dans les sources :/
moi je dit intox
C'est une légende urbaine l'Opensource Développeurs OpenBSD payés par le FBI pour des backdoors dans IPSEC ?
OpenSSL n'est pas développé par OpenBSD
La faille vient d'une option de compilation appelée "Heartbeat" qui n'est pas obligatoire et qui assez récente. Les bugs, ça arrive.
La faille vient d'une option de compilation appelée "Heartbeat" qui n'est pas obligatoire et qui assez récente. Les bugs, ça arrive.
-
micha30000
- Messages : 9467
- Inscription : ven. 12 janv. 2018 17:44
Développeurs OpenBSD payés par le FBI pour des backdoors dans IPSEC ?
Je parlais de l'opensource en général mais ça revient au même. Quand tu regardes la faille d'openssl sur debian en 2008, qui est restée 2 ans ouverte, t'as compris que les gros barbus qui passent leur journée à revoir du code sont pas si nombreux
Puis on sait que les demandes de la NSA sont réelles
http://www.numerama.com/magazine/27033- ... x-maj.html
Puis on sait que les demandes de la NSA sont réelles
http://www.numerama.com/magazine/27033- ... x-maj.html
Développeurs OpenBSD payés par le FBI pour des backdoors dans IPSEC ?
J'ai envie de dire qu'y a de la merde partout dans les programmes après, personne est sans faille. L'utilisation du langage C est à l'origine de la plupart des problèmes de sécurité qu'on ne retrouverai pas dans des langages fonctionnels dont le fonctionnement correct peut être prouvé de manière mathématique.Je parlais de l'opensource en général mais ça revient au même. Quand tu regardes la faille d'openssl sur debian en 2008, qui est restée 2 ans ouverte, t'as compris que les gros barbus qui passent leur journée à revoir du code sont pas si nombreux
Puis on sait que les demandes de la NSA sont réelles
http://www.numerama.com/magazine/27033- ... x-maj.html
Développeurs OpenBSD payés par le FBI pour des backdoors dans IPSEC ?
OpenSSL va être incluse dans OpenBSD dans la "base" et sera donc une sorte de fork.
https://lobste.rs/s/3utipo/openbsd_has_ ... of_openssl
Ils font déjà ça pour Perl et Apache (toujours en 1.3 du coup en "base" même si la 2.4 est dispo dans les ports, qui va être d'ailleurs remplacé par Nginx toujours en version openbsd)
https://lobste.rs/s/3utipo/openbsd_has_ ... of_openssl
Ils font déjà ça pour Perl et Apache (toujours en 1.3 du coup en "base" même si la 2.4 est dispo dans les ports, qui va être d'ailleurs remplacé par Nginx toujours en version openbsd)
Développeurs OpenBSD payés par le FBI pour des backdoors dans IPSEC ?
même ibm met à jour les firmware des machines
heartbleed + ecdsa
HIPER/Pervasive: A security problem was fixed in the OpenSSL Montgomery ladder implementation for the ECDSA (Elliptic Curve Digital Signature Algorithm) to protect sensitive information from being obtained with a flush and reload cache side-channel attack to recover ECDSA nonces from the service processor. The Common Vulnerabilities and Exposures issue number is CVE-2014-0076. The stolen ECDSA nonces could be used to decrypt the SSL sessions and compromise the Hardware Management Console (HMC) access password to the service processor. Therefore, the HMC access password for the managed system should be changed after applying this fix.
HIPER/Pervasive: A security problem was fixed in the OpenSSL Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) to not allow Heartbeat Extension packets to trigger a buffer over-read to steal private keys for the encrypted sessions on the service processor. The Common Vulnerabilities and Exposures issue number is CVE-2014-0160 and it is also known as the heartbleed vulnerability. The stolen private keys could be used to decrypt the SSL sessions and and compromise the Hardware Management Console (HMC) access password to the service processor. Therefore, the HMC access password for the managed system should be changed after applying this fix.
heartbleed + ecdsa
HIPER/Pervasive: A security problem was fixed in the OpenSSL Montgomery ladder implementation for the ECDSA (Elliptic Curve Digital Signature Algorithm) to protect sensitive information from being obtained with a flush and reload cache side-channel attack to recover ECDSA nonces from the service processor. The Common Vulnerabilities and Exposures issue number is CVE-2014-0076. The stolen ECDSA nonces could be used to decrypt the SSL sessions and compromise the Hardware Management Console (HMC) access password to the service processor. Therefore, the HMC access password for the managed system should be changed after applying this fix.
HIPER/Pervasive: A security problem was fixed in the OpenSSL Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) to not allow Heartbeat Extension packets to trigger a buffer over-read to steal private keys for the encrypted sessions on the service processor. The Common Vulnerabilities and Exposures issue number is CVE-2014-0160 and it is also known as the heartbleed vulnerability. The stolen private keys could be used to decrypt the SSL sessions and and compromise the Hardware Management Console (HMC) access password to the service processor. Therefore, the HMC access password for the managed system should be changed after applying this fix.
Développeurs OpenBSD payés par le FBI pour des backdoors dans IPSEC ?
OpenSSL a été officiellement forké sous le nom LibreSSL.
Pour bien rigoler : http://opensslrampage.org/
Apparemment OpenSSL c'est un gros tas de hacks tout moisis
Pour bien rigoler : http://opensslrampage.org/
Apparemment OpenSSL c'est un gros tas de hacks tout moisis