jaja z ms

Jarek Woloszyn yossa w devil.inside.pin.pl
Sob, 18 Wrz 1999, 01:27:52 CEST 

notka pochodzi z http://www.pkfl.com - Polskiego Konsorcjum Firm
Linuksowych

   Skandalista Microsoft
   15.09.99

   Sprawa jest na tyle poważna, że poświęcimy jej więcej miejsca. Nad
   firmą Billa Gatesa zaczynają gromadzić się czarne chmury, a to za
   sprawą odkrycia w kodzie Windows 95, 98, NT 4.0 oraz 2000 "tylnej
   furtki". Jest nią dodatkowy (poza oficjalnym Microsoftu) klucz służący
   do podpisywania modułów kryptograficznych. Konsekwencja tego faktu
   jest taka, że posiadacz tego klucza może instalować w Windows własne
   moduły kryptograficzne, a co za tym idzie uczestniczyć w szyfrowanych
   - i pozornie bezpiecznych - przesyłkach (np transakcjach dokonywach za
   pomocą karty kredytowej). Sprawę odkrył Andrew Fernandez z firmy
   Cryptonym w trakcie analizy tzw Crypto API zawartego w Windows. Całej
   sprawie pikanterii dodał fakt odkrycia w Service Pack 5 Windows NT
   pełnej nazwy owego klucza. Brzmi ona "_NSAKEY" co sugerowałoby że
   został wygenerowany na potrzeby National Security Agency (Narodowa
   Agencja d/s Bezpieczeństwa). Pojawiły się nawet pogłoski że NSA
   wymusiło na Microsofcie umieszczenie tego klucza w Windows od czego
   uzależniono przyzwolenie Departamentu Handlu na eksport CryptoAPI.
   Pogłoski te zostały zdementowane przez przedstawicieli rządu USA oraz
   Microsoft. Russ Cooper z NTbugtraq przedstawił raport w którym
   analizuje konsekwencje i możliwe przyczyny odkrycia "tajnego" klucza".
   Po pierwsze, ten dodatkowy klucz osłabia CryptoAPI, niezależnie od
   tego kto jest jego właścicielem. Po drugie, jeszcze lepsze jest to że
   takie dodatkowe klucze może instalować w CryptoAPI każdy, obchodząc w
   ten sposób cały system podpisywania modułów przez Microsoft (i
   akceptowania ich przez Departament Handlu USA - bo taki wymóg
   istnieje). Na jednej z amerykańskich stron znalazłem stwierdzenie:
   "Jeżeli rzeczywiście rząd USA nakazał umieszczenie w produktach firmy
   Microsoft tajnego klucza to jest to problem wyborców - powinni dobrze
   się zastanowić przy następnych wyborach. Ale osobiście współczuje
   bankom oraz instytucjom wojskowym i rządowym innych państw. Oni
   [dopiero teraz] mogą mówić że mają problem". Trudno się z tym
   stwierdzeniem nie zgodzić... Swoją drogą po raz kolejny okazało się,
   że jedyną W PEŁNI BEZPIECZNĄ platformą do zastosowań w firmach
   wymagających podwyższonego poziomu bezpieczeństwa (banki, armia,
   agendy rządowe) są właśnie systemy typu "open source", czyli dostępne
   z pełnym kodem źródłowym, co jest gwarancją tego, że nie zawierają
   "tylnych furtek". Dziekujemy za pomoc przy tworzeniu notki Pwałowi
   Krawczykowi z krakowskiej firmy CETI. Więcej informacji:
   Raport Andrew Fernandeza (Cryptonym)
       http://www.cryptonym.com/hottopics/msft-nsa.html
   Raport Russa Coopera (NTBugtraq)
       http://ntbugtraq.ntadvice.com/_nsakey.asp
   Strona Pawła Krawczyka (CETI)
       http://ceti.com.pl/~kravietz/
   Komentarz TechWEB
       http://www.techweb.com/wire/story/TWB19990903S0014
   Komentarz CNN 
       http://www.cnn.com/TECH/computing/9909/03/windows.nsa.02/

Mozna tam tez znalezc newsy o pozegnaniu sie armii USA i agend rzadu USA z
platforma Windows.

-- 
 ( Jarek Woloszyn ) ( yossa w pld.org.pl ) ( member of the GNU generation )
 ( Certificated in C & Linux adm. - http://www.tekmetrics.com  ID=85232 )
 ( HomePage http://dione.ids.pl/~yossa - PGP and Monopoly <ppp counter> )

Więcej informacji o liście dyskusyjnej pld-installer