ФБР заподозрили в помещении бэкдора в IPSEC-стек OpenBSD

Тэо де Раадт (Theo de Raadt), лидер проекта OpenBSD, опубликовал в списке рассылки тревожное сообщение, в котором опубликовал письмо, свидетельствующее о том, что некоторые разработчики проекта, принимавшие участие в разработке IPSEC-стека OpenBSD на ранней стадии его развития, приняли от правительства США денежное вознаграждение за интеграцию в IPSEC-стек кода бэкдора.

Информация раскрыта Грегори Пири (Gregory Perry), бывшим техническим директором компании NETSEC, занимавшимся в 2000-2001 годах развитием поддержки шифрования в OpenBSD и работавшим совместно с ФБР над рядом проектов. Во время работы с ФБР Пири дал подписку о неразглашении информации в течение 10 лет, поэтому вынужден сообщить имеющие у него сведения только сейчас. По утверждению Пири, у него имеется информация, что ФБР профинансировало работу по интеграции в IPSEC-стек OpenBSD техники, приводящей в определенных обстоятельствах к утечке ключей шифрования и возможности мониторинга трафика внутри шифрованных VPN-соединений.

В письме также выдвигаются предположения о том, что агентство по оборонным разработкам DARPA прекратило финансирование OpenBSD после того, как по внутренним каналам была получена информация о внедрении бэкдора. Также подозрение вызывает активная позиция ФБР в плане продвижения использования OpenBSD для создания VPN и межсетевых экранов.

Пока не ясно, удалось ли на самом деле внедрить бэкдор и работоспособен ли он в настоящее время. Пири сообщил, какой именно разработчик OpenBSD занимался внедрением бэкдора и порекомендовал провести аудит коммитов данного человека. С момента первого выпуска IPSEC-стека от проекта OpenBSD прошло более 10 лет, с тех пор код был подвергнут многочисленным изменениям, поэтому степень опасности можно определить только после проведения полного аудита. Вызывает опасение также то, что некоторые большие части кода IPSEC от OpenBSD были заимствованы в других открытых проектах и проприетарных продуктах.

Дополнение 1: Джейсон Райт (Jason Wright), которому вменялось добавление бэкдора, принял участие в дискуссии, полностью отвергнув все высказанные в его адрес обвинения и выразив недоумение по поводу столь лживого заявления в его адрес. По словам Джейсона, он работал в основном над кодом поддержки crypto-фреймворка в драйверах устройств и не касался кода, связанного с обработкой ключей шифрования (процессы isakmpd и photurisd). Он внес несколько улучшений в код IPSEC (cryptodev и cryptosoft), но эти изменения были безобидны, в чем может убедиться любой желающий, просмотрев список его коммитов. Что касается обвинения Грегори Пири, то Джейсон Райт требует принести ему публичные извинения.

Дополнение 2: Журналистам удалось связаться с Грегори Пири, который подтвердил отправку сообщения Тэо де Раадту.

Дополнение 3: Один из разработчиков FreeBSD утверждает, что если информация о бэкдоре верна, то она затрагивает и ОС FreeBSD, поддержка IPSEC в которой была заимствована из OpenBSD. Большинство экспертов склоняются к мысли, что заявление является провокацией. Если все же информация подтвердится, то вероятно и в Linux следует искать бэкдор, так как код многих криптоподсистем данной ОС создан при непосредственном участии Агентства национальной безопасности США.

Дополнение 4: Фигурирующий в письме Скот Лоу (Scott Lowe) также отверг заявление об его сотрудничестве с ФБР, более того он отметил, что не написал ни одной строчки кода для OpenBSD, все его участие в проекте сводилось к продвижению решений на базе OpenBSD.

http://www.opennet.ru/opennews/art.shtml?num=28998

интересно, аудит кода на предмет ФБР-овских бэкдоров - насколько это долго и сложно? или весь код от каждого конкретного человека как-то учитывается и его можно сравнить с фактическими исходниками?

Аватар пользователя Victor

Смешно!

Видел я эту информацию. Какие бэкдоры? О чем вы? Есть исходники :) Время пройдет - и ничего не найдут - вот увидите :)

А все "бэкдоры" "появились" после этого, например, http://www.newsland.ru/News/Detail/id/595436/cat/94/

Это - политика, и я думаю, что политика - не тема обсуждения на этом сайте. "Бэкдоры" - элемент антипиара против выражающих поддержку Викиликс.

Аватар пользователя Victor

В тему

Я не против обсуждения данной темы - как есть - так есть.
Как появилась эта информация буквально в первые числа (лично я об этом узнал еще 14 декабря) первым желанием было разместить новость на эту тему. Но после обсуждения и сопоставления имеющейся информации:

- OpenBSD "не американская" ОС
- информация о "бэкдорах" весьма сомнительна и достоверность исходящей информации не подтверждена
- информация исходит от "бывших сотрудников" спецслужб, которые "никогда не являются бывшими", что наводит на мысль о "вбросах" информации с весьма конкретными целями
- Тео ПЕРЕД ПОЯВЛЕНИЕМ данной информации весьма конкретно выразил несколько дней назад позицию относительно Викиликс
- подобные случаи уже ранее имели место ранее
- в случае, если ничего не подтвердится - "осадок останется", как и в результате ранее имевших случаев, что и является конечной целью

мы решили данную новость не размещать в ленте новостей и никак не реагировать на публикации. Но если есть интерес - ради бога, можно и обсудить. Но мое личное мнение - это СУГУБО ПОЛИТИЧЕСКИЙ вопрос, никакого отношения к теме сайта отношения не имеющий. Что не исключает возможности обсуждения данной темы. Викиликс, как говорится, покажет, и шила в мешке не утаишь.

Аватар пользователя test00

ответ

Интересное мнение, Victor, спасибо. Если бы не топикстартер, мы бы его и не узнали. Так что это хорошо, что такая тема появилась. Про связь с wikileaks не знал. Т.к. ваш пост мне показался довольно интересным, я перепостил его здесь: https://www.pgpru.com/comment43392

подобные случаи уже ранее имели место ранее

Если вас не затруднит, можете дать соответствующие ссылки?

Аватар пользователя Victor

Ссылки

Ссылки конкретно не дам - не помню, но можно поискать на предмет уязвимостей (по-моему в openssh, могу ошибаться, но в голове остался openssh), которые оказались в конечном итоге не актуальными, причем обвинения в уязвимостях были после заявлений Тео на политические темы.

Аватар пользователя test00

(по-моему в


(по-моему в openssh, могу ошибаться, но в голове остался openssh), которые оказались в конечном итоге не актуальными, причем обвинения в уязвимостях были после заявлений Тео на политические темы.

Хотя бы диапазон лет, о которых идёт речь, можете сказать? В связи с OpenSSH мне припоминается лишь один из знаменитых 0day'ев (которые "only two remote holes in default install..."), ссылки даны здесь: https://www.pgpru.com/comment16835

Аватар пользователя taras5

просто к слову, ради уточнения

"- OpenBSD "не американская" ОС"

OpenBSD не американская (а к примеру канадская), лишь потому, что американское законодательство очень строгое и консервативное относительно экспорта из США программных и аппаратных продуктов, содержащих в себе системы шифрования. Т.е. если бы Тео делал production своей ОС в США, то глобальное её распространение происходило бы гораздо сложнее.

Когда я углублённо интересовался темой экспорта программно аппаратных средств из США (содержащих системы шифрования) я подчеркнул для себя, что законодательство США практически одинаково относится к экспорту как проприетарных, так и свободных реализаций систем шифрования(хотя не это главное), а также нет особой разницы между шифро-системами, разработанными военными США и разработанными частными компаниями.

А вообще новость топикстартера интересная. Я такие люблю.
Моё мнение - популярность OpenBSD возможно даже вырастет после такой новости. Часто ведь так бывает, что Рынок в целом реагирует кардинально наоборот относительно ожиданий чёрных пиарщиков. (Это конечно, если подобие бэкдора не найдут в Ipsec)

Аватар пользователя taras5

И да

И, ДА! Надо обсуждать такие темы на этом сайте. Может тогда он станет более посещаемым, интерактивным, живым.
К примеру, я "пришёл" к использованию OpenBSD именно после похожей новости, которую где-то прочитал в интернете. И уже два года сам ею (ОС) пользуюсь и другим помогаю немного.

Аватар пользователя entr0py

собственно,

собственно, смысл создания темы - мне интересно мнение и доводы по этому вопросу разных людей, а не только троллей с ЛОРа :) в пользу того, что это вброс говорит еще и абсурдность раскрытия такого рода информации спецслужбами. ну зачем бы ФБР и т.п. палить свои бэкдоры, это же намеренное вредительство, все равно, что сдавать своих агентов. с другой стороны, а собственно, насколько сложен аудит кода в таких ситуациях? а то вот тут http://unixforum.org/index.php?showtopic=120806&view=findpost&p=1125599 говорят, что в некоем случае с некоей дырой в линуксе весь "бэкдор" состоял из намеренно пропущенного символа "=".

Аватар пользователя Victor

Надо - так будем обсуждать :)

По поводу ссылок - я не смогу их привести. Тема "уязвимостей в OpenBSD", которые потом оказываются "не уязвимостями" поднимается частенько, и да, возможно, что было простое совпадение. Перелопачивать интернет и сопоставлять с заявлениями Тео нет никакого желания. Это потребует слишком много времени. Многие "хакерские форумы" уже просто перестали существовать к этому моменту. То, о чем упоминалось, было давно. Так что мне проще признать, что подтвердить данный пункт я не могу.

Еще вот информация http://www.xakep.ru/post/54412/

Насчет Канады - Тео давно живет в Калгари, по-моему вообще с момента переезда с родителями еще школьником из Южной Африки. Так что все проще на самом деле. Не знаю, кто и выдумал историю про американское законодательство. Тео - не американец и никогда не жил в Североамериканских Штатах :).

Аватар пользователя taras5

Старая

Старая поговорка: "Чем сильнее давишь на лягушку, тем шире она улыбается". С OpenBSD всё также: проекту, как и в частности ОС OpenBSD не помешает пиар.

Но поговорку я эту привёл потому, что такому проекту как OpenBSD нужен особый такой пиар, что бы и спецслужбы в нём участвовали, и бывшие (которые , как сказали, бывшими не бывают) агенты ФБР, и тайный заговор злобных красных генералов, и прочее, что будоражит умы.

Аватар пользователя test00

Многие бы

Многие бы раскритиковали Тео за обнародование непроверенной информации. В то же время стоит отметить, что сами спецслужбы и МЧС по инструкции всегда обязаны реагировать на все заявления об инцидентах, даже анонимные. А вот уж если не подтвердятся -- кое-кому будет уголовно наказуемо. Наверное, такая практика введена не зря. С этой точки зрения Тео поступил правильно. Надеюсь, что мировое сообщество пользователей это осознаёт, и это никого не отвратит от использования данной системы.

Аватар пользователя BABUT

>выразил

>выразил несколько дней назад позицию относительно Викиликс
и какую же цель преследует фбр(или зог, или кто там за кулисами)- предостеречь от подобных высказываний? и что, работает этот способ-то? ;)

Аватар пользователя Victor

Работает ли этот способ

Ну не знаю, не пользовался таким способом :)