QR code per la pagina originale

L’FBI ha inserito una backdoor in OpenBSD

Un ex sviluppatore ha rivelato che in OpenBSD è presente codice utilizzato per controllare il traffico di dati sulle reti protette.

,

OpenBSD, sistema operativo open source basato su BSD (una variante di Unix), è considerato il software più sicuro al mondo. In circa 10 anni di vita, sono state individute solo due vulnerabilità. Theo de Raadt, il creatore di OpenBSD e attualmente capo progetto, ha reso pubblica una email con la quale un ex sviluppatore, Gregory Perry, lo informa che l’FBI ha inserito una backdoor nel software.

Perry, che ha lavorato come consulente del Federal Bureau of Investigation, ha rivelato solo ora queste informazioni in quanto doveva rispettare un “non-disclosure agreement” sottoscritto con l’FBI. Questo è un estratto della email inviata a de Raadt:

Volevo informarti del fatto che l’FBI ha inserito una serie di backdoor all’interno dell’ Open Cryptographic Framework, con il preciso scopo di monitorare il sistema di cifratura VPN implementato dalla EOUSA (Executive Office for United States Attorneys), l’organizzazione madre dell’FBI.

Perry ritiene che questa sia probabilmente la ragione per cui le persone all’interno dell’FBI sostengono l’utilizzo di OpenBSD per le reti VPN e per i firewall. Le backdoor sono state inserite nello stack di rete, in particolare nel protocollo IPSEC, che gestisce la cifratura e l’autenticazione dei pacchetti IP.

Theo de Raadt ha affermato che presumibilmente ciò è avvenuto tra il 2000 e il 2001; inoltre, il codice di IPSEC è gratuito e potrebbe essere stato utilizzato in molti altri prodotti che, teoricamente, potrebbero contenere le stesse backdoor. Lo sviluppatore termina l’email consigliando di controllare bene il codice dei prodotti che sfruttano lo stack IPSEC di OpenBSD:

Ho ricevuto una email privata da una persona con cui non parlo da quasi 10 anni. Mi rifiuto di diventare parte di una cospirazione e non parlerò con Gregory Perry di questo. Dunque la sto rendendo pubblica in modo tale che coloro che usano il codice effettuino un audit per individuare questi problemi; quelli che sono arrabbiati con questa storia possano intraprendere altre iniziative; se non è vero, coloro che vengono accusati si possano difendere.

Fonte: TechEye • Immagine: Sergi Nuez • Notizie su: