12:13
15/12/2010

Theo z projektu OpenBSD upublicznił wczoraj szokującą wiadomość, którą otrzymał od osoby współpracującej niegdyś z FBI: jeden z programistów stosu IPSEC w OpenBSD pracował dla FBI, a jego zadaniem było …tworzenie backdorów w projektach kryptograficznych. Zachodzi mocne podejrzenie, że kod stosu IPSEC z OpenBSD (pierwszego darmowego, a przez to chętnie używanego w innych projektach) ma w sobie rządowego backdoora.

OpenBSD & IPSEC pwnd by FBI?

Na początku napiszmy, że sprawa umieszczenia rzekomego (podkreślam rzekomego, bo jeszcze nikt go nie wskazał) backdoora dotyczy okolic roku 2000, a dowiadujemy się o niej po 10 lataach dlatego, że Gregorowi Perry, jednej z osób “wtajemniczonych” w rządowy projekt backdoorowania właśnie skończyła się umowa NDA (Non Disclosure Agreement) podpisana z FBI.

Gregory Perry w e-mailu do założyciela OpenBSD, napisał:

FBI implemented a number of backdoors and side channel key leaking mechanisms into the OpenBSD Crypto Framework, for the express purpose of monitoring the site to site VPN encryption system implemented by EOUSA, the parent organization to the FBI. Jason Wright and several other developers were responsible for those backdoors, and you would be well advised to review any and all code commits by Wright as well as the other developers he worked with originating from NETSEC.

Dalej Gregory sugeruje, że z tego samego powodu OpenBSD straciło sponsoring od amerykańskiej agencji rządowej DARPA (Defense Advanced Research Projects Agency) — która miała dowiedzieć się, że OpenBSD zostało zbackdoorowane przez FBI.

OpenBSD zbackdoorowane od 10 lat przez FBI?

Perry zauważa również, że związane z FBI “autorytety informatyczne” mocno przekonywały do korzystania z OpenBSD jako platformy pod VPN-y i firewalle w zwritualizowanych środowiskach. Jako przykład podaje Scotta Lowe, który ma niezłą renomę w środowiskach związanych z wirtualizacją a jednocześnie pracuje jako konsultant dla FBI. Lowe niedawno opublikował kilka instrukcji dotyczących wykorzystywania OpenBSD na platformie VMware vSphere…

Na marginesie, warto zauważyć, że sam Perry pracuje dla jednej z firm związanych z wirtualizacją… i chyba ma koleś jaja, bo jeśli jego “rewelacje” dot. rządowego backdoora się nie potwierdzą, całą “teorie spiskową” będzie można zaliczyć do kategorii karkołomnych “bad PR stunts”.

Po 10 latach backdoory mogą być wszędzie…

Theo zauważa, że stos IPSEC w OpenBSD to jeden z pierwszych publicznie dostępnych za darmo — a to oznacza, że na jego kodzie opartych zostało najprawdopodobniej mnóstwo innych projektów. Wszystkie z nich mogły nieświadomie odziedziczyć rzekomego backdoora autorstwa FBI.

Dla równowagi dodajmy jednak, że od 2001 roku w projekcie sporo się działo — jest więc szansa, że zbackdoorowany przez FBI linie kodu mogły zostać zastąpione bezpiecznymi.

Theo mocno odcina się od “konspiracji”, twierdząc, że publikuje te ciągle niepotwierdzone rewelacje po to, aby ci którzy używają stosu IPSEC z OpenBSD mogli przeprowadzić jego audyt; ci, którzy są wkurzeni na FBI mogli podjąć inne działania, a ci, którzy zostali oskarżeni o wprowadzenie backdoorów do projektu mogli się publicznie obronić.

Wygląda na to, że powszechna opinia, iż developerzy projektów Open Source pracują za darmo jest błędna. Za pracę niektórych całkiem nieźle płaci FBI — trzeba tylko zainfekować projekt rządowym backdoorem :-) Swoją drogą, jeśli backdoor rzczywiście istniał w kodzie OpenBSD od 10 lat, i nikt go nie zauważył… troll^Wprzeciwnicy Open Source będą mieli niezłą broń w ręku… ;)

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

43 komentarzy

Dodaj komentarz
  1. hehe, a nie mowilem? pomyslcie ile takich backdoorow CIA zainstalowala w windowsie :)

  2. “Swoją drogą, jeśli backdoor rzczywiście istniał w kodzie OpenBSD od 10 lat, i nikt go nie zauważył… troll^Wprzeciwnicy Open Source będą mieli niezłą broń w ręku… ;)”

    Równie dobrze może się okazać, że w repozytorium kodu ktoś znajdzie wpis z 2001:”this fragment can create a security hole. my patch is fixing it”.

  3. BTW – wtedy, o ile dobrze pamiętam, oficjalnym powodem cofnięcia grantu dla OBSD była dezaprobata Thea dla okupacji Iraku.

  4. Dziś chyba dzień backdoorów, — backdoor także w macierzach HP: http://www.securityweek.com/backdoor-vulnerability-discovered-hp-msa2000-storage-systems ;)

  5. openbsd.org -> “Only two remote holes in the default install, in a heck of a long time!”

    Pasuje tam dopisać, że w ich przypadku nie liczy się ilość, a jakość.

  6. skoro kod jest otwarty i ogólnodostępny, jakim cudem nikt tego wcześniej nie wykrył??

  7. Teraz zastanawiam się w jakim czasie pojawi się analiza tego, czy faktycznie tam jest dziura czy nie. Pewnie teraz się też okaże ile osób jest w stanie zajrzeć w kod źródłowy i… coś z niego zrozumieć :)

    Ale fakt – teraz może się pojawić bardzo dużo zdryźliwych uwag, że tak otwarty kod, w którym tak wiele ludzi może mieć wgląd i dbać o jego bezpieczeństwo, nagle się okazuje, że przez 10 lat ma w sobie backdoora.

    No ale nic… z niecierpliwością czekam na potwierdzenie lub zaprzeczenie tych słów :)

  8. Mówi się, że programista to urządzenie do zmiany kawy w kod. Kiedy pierwszy raz zobaczyłem deweloperów OpenBSD na jednej z konferencji – pomyślałem – oni ten kod chyba otrzymują z piwa….

  9. Chciałbym nieśmiało zauważyć, że cała afera jest niczym nie podparta – nie ma żadnych konkretów, żadnego wskazania konkretnego kawałka kodu. Jest tylko troche oskarżeń ze strony osoby, która nie jest nawet developerem. Każdy mógł napisać takiego maila.

  10. @Mariusz: Każda z eksploitowalnych dziur znajdywanych co kilka miesięcy w Linuksie może być celowo umieszczonym backdoorem. Nie ma możliwości stwierdzenia, czy powstała przez pomyłkę, czy celowo.

  11. Piszecie w komentarzach “ma backdora”, “jakim cudem nikt tego wcześniej nie wykrył??”, ale tego nikt nie wie. Info jest tylko o tym, że ponoć FBI zleciło w ok 2000 roku implementacje takowego.

    A w temacie. Czasem się zastanawiam co tam się może kryć w DLL’ach z MS’a. Szczególnie tych .NET’owych.

  12. No co zrobić – wiadomo, że mechanizmy kryptografii interesują tylko znikomy procent “informatyków”, jeżeli jeszcze zmniejszymy go o liczbę osób, którym chciałoby się analizować czyjś sprytny kod, może dodatkowo jeszcze zagmatwany, zostaje zaledwie garstka i potrzeba szczęścia, żeby ktoś z tej garstki zainteresował się właśnie tym fragmentem.

    Ja też jestem ciekaw co w końcu z tego wyjdzie – tyle szumu powinno zwrócić oczy wspomnianej garstki na problem i mam nadzieję, że długo czekać nie trzeba będzie na weryfikację.

  13. @dd: bo nikt tego nie czyta ciągle, tylko wtedy jak jest bug, lub edycja, a jak przeczyta i znajdzie – to jak w przypadku debianowego RANDOM=const

    a to może być woda na młyn zarówno w opensource jak i w przypadku zamkniętego źródła, bo w przypadku opensource, da sie to (jasne, ze cieżko) ale sprawdzić, w przypadku aplikacji zamkniętych – tylko przez reverse engineering.

    @Piotr Konieczny: z tym hp to bzdura straszna, aż szkoda ją powtarzać… to tak jakby mówić, że tak jakby ktos narzekał, że firebird ma SYSDBA i masterkey, albo IBM Administrator i PASSW0RD (z podkreśleniem przez ZERO), linksys admin linksys a planet admin bez hasła

  14. To wcale nie musi oznaczać że open source jest gorsze od rozwiązań komercyjnych. Każdy może przeglądnąć kod IPSEC i znaleźć te dziury (jeśli istnieją). Gdyby informacja dotyczyła jakiegoś systemu komercyjnego z zamkniętym źródłem, to poza przeczytaniem oficjalnego stanowiska firmy nic nie dałyby się zrobić.

  15. a w kodzie linuksa? przy tym pracuje znacznie więcej ludzi niż przy bsd, więc szanse na są na mniejsze….

  16. Jeśli dobrze pamiętam Windows XP także odziedziczył stos sieciowy po BSD, więc jeśli rzeczone backdoory istnieją nadal w BSD, to prawdopodobnie istnieją także w Windows.

  17. @bijacz – czyli i statystycznie więcej agentów większej ilości organizacji rządowych ;)

  18. To była tylko kwestia potwierdzenia domysłów – mam zwidy czy mówię prawdę? Każdy bardziej rozgarnięty użytkownik, a na pewno administrator, mocno podejrzewał obecność tylnych drzwiczek w algorytmach szyfrujących itp. spowodowane naciskami organizacji typu FBI. Mało kto pamięta ich naciski na producentów oprogramowania antywirusowego, by przepuszczały trojana instalowanego przez te służby na komputerach osób podejrzanych. Tłumaczenia producentów amerykańskich antywirusów były zagmatwane. W samym założeniu, że tak powiem, bezpieczne miały być produkty rosyjskie i chińskie.

  19. @Marcin:

    A w temacie. Czasem się zastanawiam co tam się może kryć w DLL’ach z MS’a. Szczególnie tych .NET’owych.

    Akurat te .NET-owe można potraktować Reflectorem (względnie pobrać kod przy debugowaniu) i sprawdzić. Gorzej z tymi natywnymi chyba… (sprawa NSAKEY w wyciekniętych kodach Windows się przypomina)

  20. @Ktos

    .NET-owej maszyny wirtualnej także?

  21. Zaraz sie zbiegną odpowiedni ludzie i zaczną krzyczeć że to teoria spiskowa i że zamiast takie rzeczy czytać lepiej włączyć tefauen…

    Wszyscy specjaliści stale przekonują że w opensource nie ma syfu bo wszyscy stale mają wgląd. Takie podejście do sprawy dużo ludzi wykorzystuje.

    Z GNUPG współpracuje rząd niemiecki. Też trzeba by to wziąć pod lupę. Po co rząd miałby to robić? ;) ;)

  22. […] FBI odpowiedzialne za backdoor w stosie IPSEC (OpenBSD)?, […]

  23. “Zauważy” też nie zawsze leczy zależy jeszcze jak zakwalifikuje – tu najnowszy dowód nazywa się Exim. Łata z 2008 w Debianie i RH kilka dni temu :)

  24. Fakt:
    Taktyka umieszczania tego typu bonusów(np w truecrypt) jest bardzo wygodna dla służb, i na pewno byłaby bardzo pomocna.

    Czy faktycznie tak robią to nie wiem, ale ja bym tak robił na ich miejscu, więc wierzę w celowe zostawianie niespodzianek, a to czy akurat w bsd czy w czymś innym średnio mnie interesuje.

  25. @Marcin:
    Runtime frameworka jest już natywny, jego tak łatwo pooglądać nie można. Źródła też nie są dostępne.

    Póki co zostaje ufać temu lub innemu producentowi.

  26. @qwertyx -> Bo Rząd jest dobry, a wszelka władza pochodzi od Boga. Przecież płacisz podatki na europejskim poziomie, należy ci się za to wolność, bezpieczeństwo i opieka. Na wychowanie patriotyczne / WOS nie chodziłeś?

  27. Kocham was – zero potwierdzonych informacji, a w komentarzach rój “ekspertów” od “bezpieczeństwa” wydających osądy.

    A news straaasznie FUD-owy. Autorze, nie zniżaj się do poziomu “hardcore security lab”. ;)

    • @lol: News FUD-owy? Chyba jako jedyny serwis w co drugim akapicie mocno akcentowaliśmy brak konkretnych dowodów dot. backdoora: np. tak: “Na początku napiszmy, że sprawa umieszczenia rzekomego (podkreślam rzekomego, bo jeszcze nikt go nie wskazał)” — a co do komentarzy, to zgoda, ale staramy się w nie nie ingerować.

  28. Niedługo jedyne co nam pozostanie to pisanie własnego softu i sprzętu.
    Chociaż z tym pisaniem sprzętu to też nie wiadomo czy nie ma backdoorów w narzędziach do projektowania i syntezy logicznej (FPGA), więc chyba jedyne co pozostaje to robienie (nie pisanie) sprzętu poprzez lutowanie na płytkach drukowanych…
    A jeśli elementy R, L, C także zawierają backdoory? Co robić?!?!

  29. Piko, wiem, że nie jesteście prawdziwymi dziennikarzami, ale publikowanie plotek czy innych niesprawdzonych informacji powoduje, że niebezpiecznik jest jedynie geekowym tabloidem. Zdajecie sobie z tego sprawę? ;)

  30. S: Niektórych plotek nie da się nie publikować i nie wyglądać przy tym dziwnie. Natomiast można zaakcentować, że to plotki, co też autorzy zrobili.

  31. Dystrybucje Linuxów mają już po kilka milionów linii kodu. Pewnie co niektórzy interesują się sumami końcowymi ich kompilacjii. Ale nawet zachowując właśnie tą samą sumę można zainstalować wiele syfu. Stawka jest bardzo duża. A trzeba powiedzieć, że w przypadku ujawnienia backdoorów państwowych wybuchłby ogromny skandal. Tak, że są to sprawy super tajne/extra poufne. Warto obserwować poczynania rządów i służb w walce z prawdziwymi mafiami i terrorystami na płaszczyźnie informatyki. By wyłowić to co mogą zrobić a co nie. Interesujące są sprawy zabezpieczeń n.p. firewallowych państw i firm mających dużo do ukrycia. N.p. Niemcy jak chronią swe technologie, Rosja – sprawy polityczne i militarne. Rosjanie mają duże osiągnięcia w temacie własnych systemów operacyjnych, antywirusów czy diagnozy HD. To o czymś świadczy. I nasuwa mi się także kwestia doklejania malware do wystawianych programów w p2p.

  32. @Piotr Konieczny: ostatni akapit jest trochę naiwny. Zachęcam do zapoznania się z dalszą częścią dyskusji.

  33. “nie jesteście prawdziwymi dziennikarzami”
    kim jest wg Ciebie prawdziwy dziennikarz? taki który mówi tylko to co mieści sie w granicach wygody dla układu?

  34. “nie jesteście prawdziwymi dziennikarzami”

    kim jest wg Ciebie prawdziwy dziennikarz? taki który mówi tylko to co mieści sie w granicach wygody dla układu?

  35. AVE…

    Źle na to patrzycie. Nawet jeśli backdoor jest, to większość z was nie ma się czym martwić. Prędzej czy później ktoś go znajdzie i usunie. Nie da się zrobić dużego systemu bez błędów(chyba że będziecie programować ośmiobitowe mikrokontrolery), a każdy z nich może stać się dziurą pozwalającą zarówno tajnym służbom, jak i pryszczatym nastolatkom podglądanie tego, co robicie, a nawet wyciąganie poufnych danych…

    @Gasipies…
    “Bo Rząd jest dobry, a wszelka władza pochodzi od Boga. Przecież płacisz podatki na europejskim poziomie, należy ci się za to wolność, bezpieczeństwo i opieka. Na wychowanie patriotyczne / WOS nie chodziłeś?”
    UE ma tyle wspólnego z wolnością, co i ChRL. Tyle że nie zabijają ludzi tak często i można ich krytykować(byle nie za głośno)…

  36. Jeżeli to rzeczywiście jest prawda (niezależnie od tego czy znajdzie się na to dowód) to cóż… powiedzmy że prowadząc agencję ubezpieczeniową nie podpisałbym z tym człowiekiem polisy na życie, nawet w USA.

  37. Skoro w opensource przez 10 lat nikt nic nie skapował to strach myśleć co siedzi w zamkniętych systemach.

  38. @Mariusz Kędziora
    Jeśli MS potrzebuje średnio kilku tygodni aby poprawić znane i wykorzystywane luki w zabezpieczeniach, to analiza kodu w którym ktoś celowo ukrył błąd dający się wykorzystać jako backdoor też musi trochę potrwać.

    Osobiście uważam, że piewrsze blogi ze wstępnymi rezulatatami pojawią się w ciągu tygodnia, ale na porządną analizę będziemy musieli poczekać dłużej – kilka tygodni.

    Sama analiza nie należy do prostych i trywialnych więc ilość osób które będą potrafiły ją przeprowadzić poprawnie jest niewielka, więc bym się nie ekscytował ilością osób które potrafią to zrozumieć, ale popatrzył raczej na potencjalny problem szerzej.

    Jaki komercyjny (w sensie z zamkniętym kodem) dostawca oprogramowania w reakcji na taką rewelacją jest w stanie udowodnić kto mógł lub nie mógł wprowadzić taki szkodliwy kod do ich rozwiązania?
    Który z nich ma historię kodu źródłowego w postaci w której może ją zweryfikować firma/osoba trzecia?
    Jaką jest pewność, że także nie zaszył w swoim kodzie podobnego backdora aby uzyskać błogosławieństwo na export kryptografii?
    Ja podobne historię słysząłem już dawno (i dotyczyły Sun, IBM, MS, Check Point,…..)

    Nie mając żdanego dostepu do kodu źródłowego nie możńa zweryfikować późniejszych wyjaśnień producenta.
    Mając dostęp do kodu można sprawę wyjaśnić i dojść kto dodał w sposób przejrzysty (publiczny).

  39. @Piotr Konieczny: skrót myslowy, echh, tak to jest, jak się pisze komentarz podczas zakuwania na poprawkę kolosa. ;p FUD-owy w sensie, że wywołujący masę zamieszania, bo ludzie mają zwyczaj czytania co piątego zdania (o, rym), albo raczej, jak to się zwykło mówić, “skanowania” tekstu i zatrzymywania się na słowach, których się spodziewają po przeczytaniu tytułu. A z tym “autorze” chodziło o nagłówki, nie wiem, jakoś mi się stawianie apokaliptycznych (hipo)tez w śródtytułach kojarzy z brukowcami. ;)

    BTW: przy wyłączonym javascripcie czasami coś się dzieje z pierwszym akapitem newsa, zachodzi pod tytuł – o: http://i.imgur.com/1Kbv0.png , poprawicie? ;)

  40. […] że współautorem może być Jason Wright, znany nam z historii dotyczącej umieszczenia rzekomego backdoora w OpenBSD. Z NYT wiemy, że amerykańska tajna placówka wojskowa Idaho National Laboratory prowadziła […]

  41. […] że podobne pogłoski krążyły wokół Linuksa po wypowiedzi Linusa, IPSec w OpenBSD, TPM-a w Windowsie 8, a backdoory w oprogramowaniu znanych firm to jak przyznają sami programiści […]

  42. […] służby o to samo prosiły także Linusa. Swego czasu lekkie poruszenie wywołały doniesienia o rzekomym wstrzyknięciu backdoora do implementacji IPSeca na OpenBSD. Historii tego typu pewnie byłoby więcej, gdyby nie prawo, które zabrania osobom z którymi […]

Odpowiadasz na komentarz Marek

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: