Спецпроекты

Основатель OpenBSD: в нашей системе могут быть “закладки” ФБР

Открытое ПО ПО Свободное ПО Софт
Основатель OpenBSD Тео де Раадта опубликовал письмо, в котором сообщается о закладках, внесенных ФБР в исходные коды OpenBSD 10 лет назад. Это может существенно ударить по престижу OpenBSD, которая традиционно считается самой безопасной системой с открытым кодом.

Глава проекта OpenBSD Тео де Раадт (Theo de Raadt) опубликовал в списке рассылки OpenBSD личное письмо, в котором допустил возможность существования в исходных текстах OpenBSD закладок, вложенных по заказу американского правительства.

Информация стала доступна Тео де Раадту после того, как им было получено личное письмо от Грегори Пери (Gregory Perry), бывшего CTO компании Netsec, выполнявшей работу по заказу ФБР. Будучи на посту CTO Грегори Перри участвовал в поддержке создания OpenBSD Crypto Framework (OCF), однако он получил возможность публично говорить об связанных с этой работой деталях только сейчас в связи с истечением срока действия соглашения о неразглашении.

По утверждению Грегори Перри, “ФБР включила в OCF несколько закладок и механизмов утечки ключей по боковым каналам непосредственно для того, чтобы иметь возможность вести мониторинг системы шифрования VPN в EOUSA, материнской структуре ФБР, при передаче информации между различными структурными подразделениями. Джейсон Райт (Jason Wright) и несколько других разработчиков были ответственны за эти закладки, и я рекомендую вам изучить все изменениия, внесенные в код Райтом, а также другими разработчиками из NETSEC, с которыми он работал”.

“Утверждается, что некоторые из бывших разработчиков (а также их работодатели) получили деньги от американского правительства на то, чтобы поместить закладки в наш сетевой стэк, в частности – в стэк IPSEC. [Это произошло] где-то в 2000-2001 году”, – резюмирует полученные сведенния Тео де Раадт.

Глава проекта OpenBSD предупреждает, что проблема может затрагивать далеко не только OpenBSD: “Поскольку мы были первыми, кто сделал свободно доступную реализацию стэка IPSEC, большие фрагменты кода сегодня включены в другие проекты и продукты”, – пишет Тео де Раадт. В то же время, неизвестно, могут ли закладки, вложенные столь давно, оставаться функциональными по сей день: “Спустя 10 лет, код IPSEC подвергся многочисленным изменениям и исправлениям, поэтому сегодня неизвестно, насколько действительны те подозрения, о которых стало известно”.

Грегори Перри утверждает, что закладки, о которых он говорит, имели существенные последствия для развития проекта OpenBSD, которые трудно объяснить иначе: “Вероятно, по этой причине вы потеряли финансирование от DARPA – более чем вероятно, что они что-то пронюхали об этих дырах и потому не хотели создавать производные продукты”. Однако если американские военные отказывались от внедрения OpenBSD из-за присутствия в нем закладок ФБР, то ФБР наборот – всеми силами продвигали эту систему: “И, вероятно, именно по этой причине некоторые люди в ФБР в последнее время выступали за использование OpenBSD для созданичя VPN и межсетвых экранов в виртуализованных средах”, – пишет корреспондент Тео де Раадта.

Тео де Раадт признает, что публикация личного письма подобного содержания – поступок, неоднозначный в этическом плане, однако он пишет, что “малая этика”, связанная с публикацией личного письма, гораздо меньше, чем “большая этика”, связанная с деньгами, которые компании получают на оплату труда разработчиков Open Source (то есть, участников сообщества друзей), вносящих в ПО дыры, нарушающие приватность”.

Безусловно, новая информация сильно ударит по престижу OpenBSD, которая изначально позиционировалась как самая безопасная система с открытым кодом, основанная на полностью открытой модели разработки.