viernes, 17 de diciembre de 2010

Ofrecen recompensa a quien demuestre la existencia real de los exploits en el Framework de Ipsec de OpenBSD

Seguimos el asunto de los supuestos backdoor sembrados por el FBI en el Framework de IPsec de OpenBSD. El caso es que Dag-Erling Smorgrav, uno de los committers de FreeBSD esta ofreciendo una pequeña recompensa a quien de pruebas sólidas acerca de la existencia real de los mencionados backdoors y el caso es que se ser cierto, también esta comprometido FreeBSD porque parte del código de su propio IPsec viene de OpenBSD. Dicho esto, les dejo con su declaración, veremos en que termina todo. 





..............Voy a poner mi dinero en lo que digo, y ofreceré una recompensa triple:
   1. Prometo dar una recompensa de 100 dolares a la primera persona en presentar pruebas convincentes que demuestren:
          * Que el Framework de Cifrado de OpenBSD contiene vulnerabilidades que pueden ser                                        explotadas por un eavesdropper para recuperar texto de un stream IPSec,
          * Que estas vulnerabilidades puede ser relacionadas directamente con algun código presentado por Jason Wright y / o desarrolladores vinculados con Perry.
          * Que la naturaleza de esta vulnerabilidad es tal que hay razones para sospechar que, con independencia de las alegaciones de Perry, se insertaron deliberadamente -por ejemplo, si el código relativo es innecesariamente torpe u ofuscado y la alternativa obvia no sea vulnerable o inmediatamente reconocible como vulnerables.
   2.Prometo USD 100 adicionales a la primera persona en presentar pruebas convincentes de que la misma vulnerabilidad existe en FreeBSD.
   3.Prometo 100 USD a la primera persona en presentar pruebas convincentes de que una agencia gubernamental plantó con éxito una puerta trasera en alguna porción crítica para la seguridad del kernel de Linux.

Condiciones adicionales:

    * En los tres casos, la vulnerabilidad aún debe estar presente y explotable cuando la evidencia sea presentada a las partes afectadas. Se reservaran los derechos de emisión para un proceso de divulgación responsable.
    * La usabilidad del exploit deberá demostrada, no teorizada.
    * No evaluaré las pruebas yo mismo, sino que serán evaluadas basándose en el consenso de las comunidades de OpenBSD, FreeBSD, Linux y / o seguridad informática.
    * La primacía se determinará de manera similar.
    * La evidencia debe ser presentada, y la recompensa reclamada, a más tardar el 31/12/2012 23:59:59 UTC, un poco más de dos años a partir de hoy.
    * La recompensa será, a elección del reclamante, transferida al demandante por PayPal, no en efectivo, cheques, depósitos directos o transferencias electrónicas o donado directamente a una organización sin fines de lucro de su elección.

Así las cosas, la bola esta en el aire.....