Backdoor dell'FBI nel sistema operativo OpenBSD per spiare

Il progetto free OpenBSD sarebbe stato compromesso con una backdoor da parte dell’FBI. È quanto comunicato in una email resa pubblica da Theo De Raadt, il suo creatore e attualmente capo del progetto. Nella missiva un ex sviluppatore, Gregory Perry, informa che l’FBI ha inserito una backdoor nel software. Egli sostiene che 10 anni fa, alcuni sviluppatori sono stati pagati dal FBI per attuare una backdoor nascosta nello stack IPSec di OpenBSD, che gestisce la cifratura e l’autenticazione dei pacchetti IP.

Il mio NDA con l'FBI è recentemente scaduto, e desideravo informarvi del fatto che l’FBI ha inserito una serie di backdoor all’interno dell’Open Cryptographic Framework, con il preciso scopo di monitorare il sistema di cifratura VPN implementato dalla EOUSA (Executive Office for United States Attorneys), l’organizzazione principale dell’FBI (...) Jason Wright e molti altri sviluppatori sono stati responsabili di quelle backdoor, e si farebbe bene a leggere qualsiasi codice impegnato da Wright, nonché dagli altri sviluppatori provenienti da NETSEC che hanno lavorato con lui.

Theo De Raadt, al tempo Cto di NETSEC, ha affermato che presumibilmente ciò è avvenuto tra il 2000 e il 2001; inoltre, il codice di IPSsec è gratuito e potrebbe essere stato utilizzato in molti altri prodotti che potrebbero contenere la stessa backdoor. OpenBSD è una multi-piattaforma basata su sistema operativo Unix-4.4BSD. Anche se in questi anni il codice ha subito varie modifche, lo sviluppatore termina l’email consigliando di controllare bene il codice dei numerosi prodotti che sfruttano lo stack IPsec di OpenBSD .

La email è arrivata privatamente da una persona con cui non parlo da quasi 10 anni. Mi rifiuto di diventare parte di una cospirazione e non parlerò con Gregory Perry di questo. Dunque la sto rendendo pubblica in modo tale che coloro che usano il codice possano effettuare un audit per individuare questi problemi; quelli che sono arrabbiati con questa storia possono assumere altre iniziative; se non è vero, coloro che sono accusati si possono difendere.

Ciò ha fomentato un sacco di speculazioni circa le accuse sulla validità, e a meno di 24 ore più tardi, è sceso di persona per rispondere alle critiche. Gregory Perry ha dato alcune informazioni di background supplementari a Robert McMillan, affermando che non intendeva  rendere pubblica l'e-mail - anche se non sembra opporsi ad essa. Lo sfondo che offre è incredibilmente dettagliato (troppo per riassumere - basta leggere quanto ha scritto), che certamente sembra dare una certa credibilità alle sue affermazioni. De Raadt prende molto sul serio queste affermazioni, e vuole il codice da sottoporlo a verifica il più presto possibile.