Convalesco

Current revision: 0.8

Last update: 2024-01-12 12:51:21 +0000 UTC

You have to learn the rules of the game. And then you have to play better than anyone else.

A. Einstein

Το OpenBSD και τα backdoors του F.B.I.

Ημερομηνία: 25/12/2010, 16:16

Κατηγορία: technology

Αναθεώρηση: 1η


Το OpenBSD είναι ένα UNIX-like λειτουργικό σύστημα, ανοιχτού κώδικα, που έχει τις ρίζες του στο BSD (Berkeley Software Distribution).

Η διαφοροποίηση του OpenBSD σε σχέση με τα ‘ξαδέρφια’ του, το γνωστό FreeBSD και το λιγότερο γνωστό NetBSD, είναι η εγγενής  προσήλωση στην ασφάλεια (security) πέρα και πάνω από όλα. Είναι το μόνο σύστημα που κάνει ολοκληρωμένη χρήση κρυπτογραφίας σε όλα τα επίπεδα του λειτουργικού συστήματος.

Το OpenBSD χρησιμοποιείται ευρέος στον τομέα τον διακομιστών (servers), τόσο σε πανεπιστήμια όσο και σε επιχειρήσεις. Κάποιες από τις τεχνολογίες που έχουν αναπτυχθεί από την κοινότητα του OpenBSD χρησιμοποιούνται από εκατομμύρια χρήστες καθημερινά, όπως π. χ. το OpenSSH που χρησιμοποιείται σχεδόν αποκλειστικά σε όλα τα συστήματα UNIX-Like  ως default ssh client/server για ασφαλή απομακρυσμένη σύνδεση. Το MacOSX επίσης χρησιμοποιεί OpenSSH. Το εξαιρετικό - state of art - software level firewall PF καθιστά το OpenBSD ιδανικό σύστημα για stand-alone firewall machine, router, server κλπ.

Το OpenBSD λόγο της άδειας χρήσης (BSD License), και της ποιότητας του ως λειτουργικό σύστημα, έχει χρησιμοποιηθεί σε πολλές εκδόσεις για ενσωματωμένες συσκευές (embedded devices) από εταιρίες λογισμικού, για routers, firewalls, κρυπτογραφημένα δίκτυα VPN, κλπ.

Πρωτεργάτης του εγχειρήματος είναι ο αμφιλεγόμενος Theo De Raadt. Ο “theo” έχει διχάσει πολλές φορές την κοινότητα ανοιχτού λογισμικού, με τις δηλώσεις του. Έχει μιλήσει άσχημα για τα άλλα συστήματα ανοιχτού λογισμικού όπως το GNU/Linux, πολλές φορές. Ενώ αρκετές φορές έχει γίνει στόχος γνωστών ‘hacker’ πολύ ψηλού επίπεδου, όπως ο Brad Spengler (spender), του grsecurity project.

Στις ο Theo De Raaddt γνωστοποίησε στην δημόσια λίστα ταχυδρομείου ένα e-mail που έλαβε από τον Gregory Perry. Το μήνυμα, που μπορείτε να διαβάσετε στο διαδίκτυο, ενημέρωνε ούτε λίγο ούτε πολύ τον Theo De Raadt ότι μια ομάδα OpenBSD comitters (( Στα περισσότερα μεγάλα projects, ανοιχτού κώδικα, η πρόσβαση στον κώδικα είναι διαβαθμισμένη για να αποφεύγεται το χάος. Οι commiters είναι χρήστες που έχουν δικαίωμα αλλαγής στον βασικό κώδικα του συστήματος. Είναι θα λέγαμε μια από τις ψηλότερες βαθμίδες. )) είχαν προσληφθεί από το F.B.I. για να εγκαταστήσουν μια κερκόπορτα - backdoor - που θα επιτρέψει στο F.B.I. να παρακολουθεί οποιαδήποτε επικοινωνία ανάμεσα σε συστήματα VPN που βασίζονται στην τεχνολογία OpenBSD. Ο Perry  δηλώνει ότι το γνωστοποίησε τώρα, γιατί έληξε το συμβόλαιο εχεμύθειας (NDA) που είχε υπογράψει.

Το εντυπωσιακό είναι ότι ο Perry αναφέρει ονόματα και καταστάσεις σε αυτό το email που μπορείτε να διαβάσετε πιο κάτω στο cryptome.org, γιατί έχει εξαιρετικό ενδιαφέρων:

20 December 2010. Gregory Perry responds: From: Gregory Perry To: John Young Subject: RE: OpenBSD Crypto Framework Date: Mon, 20 Dec 2010 02:17:23 +0000

I really wish Theo hadn’t made that email public, it’s really stirred up things quite a bit in the mainstream media. To put things into perspective, the salient points to consider are: 1)  I sent a private letter to Theo Deraadt, urging him to perform a source code audit of the OpenBSD Project based upon the allegations contained within the original email you referenced 2)  Theo then sent, without my permission and against my wishes, the entire contents of that email with my contact particulars to a public listserver, which ignited this firestorm of controversy that I am now seemingly embroiled in; 3)  If I had this to do over again, I would have sent an anonymous postcard to Wikileaks probably; 4)  I have absolutely, positively nothing to gain from making those statements to Theo, and only did so to encourage a source code audit of the OpenBSD Project based upon the expiry of my NDA with the FBI; and, 5)  Being in any limelight is not my bag at all.

I personally hired and managed Jason Wright as well as several other developers that were involved with the OpenBSD Project, I am intimately familiar with OpenBSD having used it for a variety of commercial products over the years, and I arranged the initial funding for the cryptographic hardware accelerated OCF and gigabit Ethernet drivers by way of a series of disbursements of

Although I don’t agree with what Theo did last week, I will say that he is a brilliant and very respected individual in the computer security community and he would have in no way agreed to intentionally weaken the security of his project.  Theo is an iron-fisted fascist when it comes to secure systems architecture, design, and development, and there is no better person than him and his team to get to the bottom of any purported issues with the OpenBSD security controls and its various internal cryptographic frameworks.

Many, many commercial security products and real time embedded systems are derived from the OpenBSD Project, due to Theo’s liberal BSD licensing approach contrasted with other Linux-based operating systems licensed under the GPL.  Many, many commercial security products and embedded systems are directly and proximately affected by any lapse in security unintentional or otherwise by the OpenBSD Project.  Almost every operating system on the planet uses the OpenSSH server suite, which Theo and his team created with almost zero remuneration from the many operating systems and commercial products that use it without credit to the OpenBSD Project.  Given the many thousands of lines of code that the IPSEC stack, OCF, and OpenSSL libraries consist of, it will be several months before the dust settles and the true impact of any vulnerabilities can be accurately determined; it’s only been about 96 hours since their source code audit commenced and your recent article points to at least two vulnerabilities discovered so far.

I wish Theo and his team the best of success with their project and endeavors. Kind regards

Gregory Perry

Chief Executive Officer

[…]

Οι κατηγορίες του Gregory Perry αναφέρονται σε δύο πολύ συγκεκριμένα πρόσωπα: Τον Scott Lowe και τον Jason L. Wright. Και οι δύο ανακοίνωσαν ότι δεν είχα ποτέ προσληφθεί από το F.B.I. κι ουδέποτε έγραψαν κώδικα που να θέτει σε κίνδυνο τους χρήστες του OpenBSD. Μάλιστα ο Wright παραθέτει και κάποια παραπάνω στοιχεία στο email του.

Περισσότερα για την ιστορία μπορείτε να διαβάσετε από τον Mickey, που προσφέρει κάποιες λεπτομέρειες για τα πρόσωπα που είχαν εμπλακεί με την υπόθεση τότε. Το κείμενο είναι αρκετά τεχνικό και μπορεί να σας μπερδέψει λίγο. Φαίνεται πως στην ιστορία εμπλέκεται κι ο Έλληνας Άγγελος Κερομύτης, καθώς ήταν μέλος της ομάδας που μαζί με τον Wright “μετέφρασαν” των κώδικα για Gbit Ethernet στο OpenBSD.

Τα ερωτήματα που εγείρονται είναι πολλά κι έχουν αναστατώσει την κοινότητα OpenBSD κι όχι μόνο. Δυστυχώς το κομμάτι το κώδικα στο οποίο αναφέρονται τα emails είναι μεγάλο κι απαιτεί καλή γνώση. Είναι δύσκολο να ελεγχθεί  σε μικρό χρονικό διάστημα για να έχουμε σαφείς απαντήσεις.

Δεν υπάρχει προφανείς λόγος να πει ο Perry ψέματα. Αν τα εμπλεκόμενα μέλη παραδεχθούν τις κατηγορίες, τότε θα ήταν κάτι σαν «εργασιακή αυτοκτονία» αφού οι μηνύσεις από τις εταιρίες που συνεργάστηκαν μαζί τους θα έπεφταν βροχή. Θα ήταν «ξοφλημένοι» στον τομέα IT security, με τέτοιο ιστορικό. Ο Perry  μάλιστα κατηγορεί τον Scott Lowe ευθέως ότι προωθεί λύσεις βασισμένες στο OpenBSD, για λογαριασμό του F.B.I. .

Το σημαντικότερο ερώτημα όμως είναι, κατά πόσο το F.B.I. και οι άλλες υπηρεσίες των Η.Π.Α. έχουν εμπλακεί με τον ίδιο τρόπο σε άλλα open source projects και τι μπορεί αυτό να σημαίνει;

Έχει το δικαίωμα το F.B.I. να επηρεάσει με τέτοιο τρόπο τον κώδικα μιας μη κυβερνητικής μη κερδοσκοπικής οργάνωσης; Θα υπάρξουν μηνύσεις, δικαστήρια και κυρώσεις; Είναι τα άλλα openbsd projects ασφαλή για χρήση από τον μέσο χρήση;

Πάντως ακόμη δεν έχει κινηθεί νομικά κανείς, ούτε έχει απαντηθεί επίσημα η κατηγορία από την ομάδα του OpenBSD. s UPDATE: Ενδιαφέρων ανάλυση του Theo De Raadt στην openbsd mailing list.