В OpenBSD пока не найдено бэкдоров ФБР

    Ведущий разработчик OpenBSD, канадский программист и хакер Тэо де Раадт (Theo de Raadt) восстановил события десятилетней давности, когда создавался стек протоколов шифрования IPSec. Он называет имена двух основных разработчиков стека (как сейчас выяснилось, они выполняли заказы для ФБР) и пишет, что написанный ими код до сих пор используется в ключевых модулях системы и не только в IPSec.

    За эту неделю участники проекта проверили часть кода и нашли несколько довольно серьёзных багов, которые похожи на неумышленные. Эти дыры закрыты много лет назад, хотя данные факты не афишировались. Никаких других дыр, которые могли быть бэкдорами, не найдено.

    С одной стороны, проверена только малая часть кода. С другой стороны, есть основания полагать, что бэкдоров нет вообще. Разбирательство продолжается.

    Тэо де Раадт допускает, что два вышеупомянутых авторитетных разработчика писали бэкдоры по заказу ФБР, но наверняка для других проектов, не для OpenBSD, просто невозможно допустить их участие в такой конспирологической операции. Тэо де Раадт не верит, что бэкдоры вообще когда-то были в коде OpenBSD.

    Так или иначе, проведённый аудит стал хорошим экзаменом для сообщества OpenBSD.

    Напоминаем, что 12 декабря Тэо получил письмо от бывшего технического директора NETSEC Грегори Перри (Gregory Perry), который был организатором сотрудничества NETSEC и OpenBSD десять лет назад.

    Организация NETSEC спонсировала OpenBSD, а также помогала в разработке ключевых протоколов шифрования, входящих в стек IPSec. С 2000 года этот бесплатный стек протоколов был растянут по многим проектам и сейчас используется повсеместно.

    Перри признался в сотрудничестве с ФБР: он был консультантом в ФБР-овском криптографическом проекте GSA Technical Support Center, занимавшимся обратным инжинирингом криптомодулей и внедрением бэкдоров в смарт-карты и другие устройства.

    Перри утверждает, что срок его договора о неразглашении с ФБР истёк, так что он может признаться: в 1999-2001 гг его бывший работодатель получал деньги от ФБР и внедрял бэкдоры в код OpenBSD Cryptographic Framework (OCF) с целью мониторинга VPN-соединений.

    Автором кода бэкдоров является Джейсон Райт (Jason Wright), что легко проверить, если провести аудит всего присланного им кода.

    По словам Грегори Перри, именно благодаря наличию бэкдоров OpenBSD сейчас является рекомендованной системой для VPN и файрволов в различных виртуальных машинах. Например, Скотт Лоу (Scott Lowe), в прошлом один из специалистов ФБР, недавно опубликовал ряд инструкций по использованию виртуальных машин OpenBSD в корпоративных системах VMware vSphere.

    14 декабря Тэо решил выложить письмо в открытый доступ и прокомментировал, что он не участвовал в этом заговоре и все желающие могут провести аудит кода самостоятельно.

    Дискуссия на эту тему продолжается в списке рассылки openbsd-tech.
    Support the author
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 14

      0
      Хм… Тео родился в Африке и всё сознательную жизнь считал себя какнадцем, а тут оказывается он голландец… очень интересно…
        0
        Сорри, глюк в программе, исправил. Плюс вам в карму.
          0
          Бур? В Канаде они откосили от службы в армии ЮАР.
          +2
          а это уже окончательное решение что не найдено или нет? топик какой-то двоякий. в сабже сказано что не найдено, в тексте старая инфа и просьба почитать рассылку.
            0
            Нет, аудит кода еще не закончит и идет полным ходом.
            +6
            Через 10 лет всплывут подробности, что «10 лет назад ФБР скрыл обаруженные бэкдоры, оставленные ФБР 20 лет назад».
              +1
              > нашли несколько довольно серьёзных багов, которые похожи на неумышленные. Эти дыры закрыты много лет назад, хотя данные факты не афишировались.

              даже это уже плохо. баги находятся, закрываются, а это не афишируется, то есть не сообщается
                +1
                дык а кто мешает постоянно следить за кодом? доступ ведь же открыт на чтение свободно.
                  +3
                  Опять эта вера во всемогущество миллионов глаз. Сколько из этих миллионов обладают достаточными знаниями и ресурсами для анализа кода?
                    +4
                    Что вы такое говорите! Любая домохозяйка или студент с радостью покопается в коде Убунты!!!

                    [зигзагами уходит в сторону огородов]
                      +1
                      да причем тут вера? кому надо тот и посмотрит, в чем проблема то? А то что у миллионов нету достаточных знаний — так это их проблема, не более того.
                  +3
                  Неплохой способ привлечь множество квалифицированных специалистов для проведения аудита критически важного кода. Даже если бекдоров не найдут, исправление багов — хороший бонус.
                    +1
                    Исправление багов в коде 10 летней давности? :) Я боюсь, что за 10 лет особо критичные баги и так были исправлены, о чём статья вроде и намекает…
                    0
                    Ну еще бы, сразу начали переобуваться.

                    Only users with full accounts can post comments. Log in, please.