Ведущий разработчик OpenBSD, канадский программист и хакер Тэо де Раадт (Theo de Raadt) восстановил события десятилетней давности, когда создавался стек протоколов шифрования IPSec. Он называет имена двух основных разработчиков стека (как сейчас выяснилось, они выполняли заказы для ФБР) и пишет, что написанный ими код до сих пор используется в ключевых модулях системы и не только в IPSec.
За эту неделю участники проекта проверили часть кода и нашли несколько довольно серьёзных багов, которые похожи на неумышленные. Эти дыры закрыты много лет назад, хотя данные факты не афишировались. Никаких других дыр, которые могли быть бэкдорами, не найдено.
С одной стороны, проверена только малая часть кода. С другой стороны, есть основания полагать, что бэкдоров нет вообще. Разбирательство продолжается.
Тэо де Раадт допускает, что два вышеупомянутых авторитетных разработчика писали бэкдоры по заказу ФБР, но наверняка для других проектов, не для OpenBSD, просто невозможно допустить их участие в такой конспирологической операции. Тэо де Раадт не верит, что бэкдоры вообще когда-то были в коде OpenBSD.
Так или иначе, проведённый аудит стал хорошим экзаменом для сообщества OpenBSD.
Напоминаем, что 12 декабря Тэо получил письмо от бывшего технического директора NETSEC Грегори Перри (Gregory Perry), который был организатором сотрудничества NETSEC и OpenBSD десять лет назад.
Организация NETSEC спонсировала OpenBSD, а также помогала в разработке ключевых протоколов шифрования, входящих в стек IPSec. С 2000 года этот бесплатный стек протоколов был растянут по многим проектам и сейчас используется повсеместно.
Перри признался в сотрудничестве с ФБР: он был консультантом в ФБР-овском криптографическом проекте GSA Technical Support Center, занимавшимся обратным инжинирингом криптомодулей и внедрением бэкдоров в смарт-карты и другие устройства.
Перри утверждает, что срок его договора о неразглашении с ФБР истёк, так что он может признаться: в 1999-2001 гг его бывший работодатель получал деньги от ФБР и внедрял бэкдоры в код OpenBSD Cryptographic Framework (OCF) с целью мониторинга VPN-соединений.
Автором кода бэкдоров является Джейсон Райт (Jason Wright), что легко проверить, если провести аудит всего присланного им кода.
По словам Грегори Перри, именно благодаря наличию бэкдоров OpenBSD сейчас является рекомендованной системой для VPN и файрволов в различных виртуальных машинах. Например, Скотт Лоу (Scott Lowe), в прошлом один из специалистов ФБР, недавно опубликовал ряд инструкций по использованию виртуальных машин OpenBSD в корпоративных системах VMware vSphere.
14 декабря Тэо решил выложить письмо в открытый доступ и прокомментировал, что он не участвовал в этом заговоре и все желающие могут провести аудит кода самостоятельно.
Дискуссия на эту тему продолжается в списке рассылки openbsd-tech.
За эту неделю участники проекта проверили часть кода и нашли несколько довольно серьёзных багов, которые похожи на неумышленные. Эти дыры закрыты много лет назад, хотя данные факты не афишировались. Никаких других дыр, которые могли быть бэкдорами, не найдено.
С одной стороны, проверена только малая часть кода. С другой стороны, есть основания полагать, что бэкдоров нет вообще. Разбирательство продолжается.
Тэо де Раадт допускает, что два вышеупомянутых авторитетных разработчика писали бэкдоры по заказу ФБР, но наверняка для других проектов, не для OpenBSD, просто невозможно допустить их участие в такой конспирологической операции. Тэо де Раадт не верит, что бэкдоры вообще когда-то были в коде OpenBSD.
Так или иначе, проведённый аудит стал хорошим экзаменом для сообщества OpenBSD.
Напоминаем, что 12 декабря Тэо получил письмо от бывшего технического директора NETSEC Грегори Перри (Gregory Perry), который был организатором сотрудничества NETSEC и OpenBSD десять лет назад.
Организация NETSEC спонсировала OpenBSD, а также помогала в разработке ключевых протоколов шифрования, входящих в стек IPSec. С 2000 года этот бесплатный стек протоколов был растянут по многим проектам и сейчас используется повсеместно.
Перри признался в сотрудничестве с ФБР: он был консультантом в ФБР-овском криптографическом проекте GSA Technical Support Center, занимавшимся обратным инжинирингом криптомодулей и внедрением бэкдоров в смарт-карты и другие устройства.
Перри утверждает, что срок его договора о неразглашении с ФБР истёк, так что он может признаться: в 1999-2001 гг его бывший работодатель получал деньги от ФБР и внедрял бэкдоры в код OpenBSD Cryptographic Framework (OCF) с целью мониторинга VPN-соединений.
Автором кода бэкдоров является Джейсон Райт (Jason Wright), что легко проверить, если провести аудит всего присланного им кода.
По словам Грегори Перри, именно благодаря наличию бэкдоров OpenBSD сейчас является рекомендованной системой для VPN и файрволов в различных виртуальных машинах. Например, Скотт Лоу (Scott Lowe), в прошлом один из специалистов ФБР, недавно опубликовал ряд инструкций по использованию виртуальных машин OpenBSD в корпоративных системах VMware vSphere.
14 декабря Тэо решил выложить письмо в открытый доступ и прокомментировал, что он не участвовал в этом заговоре и все желающие могут провести аудит кода самостоятельно.
Дискуссия на эту тему продолжается в списке рассылки openbsd-tech.