15.12 // ФБР заподозрили в помещении бэкдора в IPSEC-стек OpenBSD
Тэо де Раадт (Theo de Raadt), лидер проекта OpenBSD, опубликовал в списке рассылки тревожное сообщение, в котором опубликовал письмо, свидетельствующее о том, что некоторые разработчики проекта, принимавшие участие в разработке IPSEC-стека OpenBSD на ранней стадии его развития, приняли от правительства США денежное вознаграждение за интеграцию в IPSEC-стек кода бэкдора.
Информация раскрыта Грегори Пири (Gregory Perry), бывшим техническим директором компании NETSEC, занимавшимся в 2000-2001 годах развитием поддержки шифрования в OpenBSD и работавшим совместно с ФБР над рядом проектов. Во время работы с ФБР Пири дал подписку о неразглашении информации в течение 10 лет, поэтому вынужден сообщить имеющие у него сведения только сейчас. По утверждению Пири, у него имеется информация, что ФБР профинансировал работу по интеграции в IPSEC-стек OpenBSD техники, приводящей в определенных обстоятельствах к утечке ключей шифрования и возможности мониторинга трафика внутри шифрованных VPN-соединений.
В письме также выдвигаются предположения о том, что агентство по оборонным разработкам DARPA прекратило финансирование OpenBSD после того, как по внутренним каналам была получена информация о внедрении бэкдора. Также подозрение вызывает активная позиция ФБР в плане продвижения использования OpenBSD для создания VPN и межсетевых экранов.
Пока не ясно удалось ли на самом деле внедрить бэкдор и работоспособен ли он в настоящее время. Пири сообщил какой именно разработчик OpenBSD занимался внедрением бэкдора и порекомендовал провести аудит коммитов данного человека. С момента первого выпуска IPSEC-стека от проекта OpenBSD прошло более 10 лет, с тех пор код был подвергнут многочисленным изменениям, поэтому степень опасности можно определить только после проведения полного аудита. Вызывает опасение также то, что некоторые большие части кода IPSEC от OpenBSD были заимствованы в других открытых проектах и проприетарных продуктах.
Источник: http://www.opennet.ru/opennews/art.shtml?num=28998
комментариев: 9796 документов: 488 редакций: 5664
Не сразу, но можно будет найти и воссоздать эксплойт. Наверняка найдутся исследователи, которые и статью напишут, если это подтвердится.
Извиняюсь за самоцитирование, косвенно по теме и вот ещё. Да, такое возможно.
Понятно, что кризис системный, и код не может иметь защиты от зловерда самх разрабов, но всё равно хочется надеяться на лучшее. Не знаю как было 10 лет назад, но, если ничего не путаю, в OpenBSD любой код помещаемый код предварительно полностью детально проверяется другим членом команды. И, да, ошибки-таки часто находят, зато это помогает их по-минимуму обнаруживать a posteriori, когда код уже давно на юзерских серваках.
комментариев: 9796 документов: 488 редакций: 5664
Впечатляет тамошнее правосудие, т.к. за разглашение предусмотрено (т.н. "кляп-ордер").
Кроме того, меня удивляет, что это "якобы не нарушает их же законы". Что, несанкционированный шпионаж не нарушает? Порча чужого продукта? Мошенничество? Тут целый букет статей УК под которым можно судиться со спецслужбой, раз они там такие законоправедники.
Ололо, Роберт Оппенгеймер – враг американского народа
комментариев: 11558 документов: 1036 редакций: 4118
Цифровой подписью сообщение не заверено (я, честно говоря, удивлён, что Theo de Raadt вообще принял во внимание такое серьёзное заявление, пришедшее электронной почтой, без подписи, от человека, с которым последний раз виделся 10 лет назад), связаться с ним по телефону не удалось, хотя по почте ответил.
Вот было бы круто, если бы он их подтвердил, да
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 1060 документов: 16 редакций: 32
Хм.
А вдруг они уже подтвердили как раз лет 10 назад? :)
http://www.securitylab.ru/news/212587.php
комментариев: 9796 документов: 488 редакций: 5664