Je FBI podtaknil stranska vrata v OpenBSD?
metalc
15. dec 2010 ob 13:19:53
OpenBSD je operacijski sistem, ki je znan predvsem po obsedenosti z varnostjo, zato je bil relativno priljubljen kot osnova pri postavljanju varnostnih rešitev, npr. navideznih zasebnih omrežij (VPN) ali požarnih zidov. Vse pa kaže, da kljub najboljšim namenom tudi tu niso bili imuni pred namerno podtaknjenimi varnostnimi pomanjkljivostmi.
Pred približno desetimi leti je Gregory Perry, takrat tehnični direktor organizacije NETSEC, med drugim skrbel tudi za donacije projektu OpenBSD. Kot se je izkazalo, je v tistem času sodeloval tudi s FBI in podpisal sporazum o nerazkrivanju (NDA). Le ta se je po 10 letih iztekel in Gregory se je odločil "očetu" OpenBSD Theu de Raadtu razkriti nekaj zanimivih dejstev. Tako naj bi FBI imel na svojem plačilnem seznamu več razvijalcev, ki naj bi v ogrodje OpenBSD Cryptographic Framework (OCF) namerno podtaknili več stranskih vrat in mehanizmov za uhajanje ključev. Obenem naj bi bilo na plačilnem seznamu FBI nekaj znanih posameznikov, ki so aktivno promovirali rešitve na osnovi OpenBSD. Na koncu sporočila je še pošpekuliral, da je ta zarota verjetno tudi glavni razlog, da je ameriško obrambno ministrstvo nekaj časa finančno podpiralo OpenBSD (podporo so sicer umaknili v začetku leta 2003, ko se je de Raadt javno izrekel proti napadu na Irak, verjetno pa so do takrat že uresničili svoj namen). De Raadt se je v skladu z drugim členom temeljne filozofije svojega projekta, namreč ničesar se naj ne pometa pod preprogo, odločil v celoti objaviti Perryjevo sporočilo in nemudoma ukazal podroben pregled spornih delov izvorne kode.
Ob tem se lahko vprašamo, ali niso tajne službe na podoben način prodrle tudi v ostale odprtokodne projekte, spomnimo se samo, da je NSA sodelovala pri razvoju SELinux. In če bo pri odprtokodnih izdelkih še mogoče dokaj hitro preveriti obstoj teh "bombic" (in po potrebi izdati popravke), se lahko vprašamo, če se kaj podobnega ni dogajalo tudi pri zaprtokodnih rešitvah.