Webjunkie.nl

  • Increase font size
  • Default font size
  • Decrease font size

FBI-backdoors in veiligste BSD-variant

User Rating: / 0
PoorBest 

De open source Unix-variant OpenBSD blijkt backdoors te hebben. De Amerikaanse overheid heeft die in 2000 stilletjes laten installeren.

OpenBSD-oprichter Theo de Raadt ontving afgelopen weekend een e-mail van een oud-ontwikkelaar die de geheime achterdeurtjes opbiecht. "Mijn geheimhoudingsovereenkomst (NDA) met de FBI is recent verlopen", schrijft Gregory Perry. Hij was begin deze eeuw cto bij security-bedrijf NETSEC en heeft meegewerkt aan het OpenBSD-encryptieraamwerk (OCF).

Encryptie infiltreren

Daarnaast was hij security-consultant voor de FBI. Perry was specifiek ingehuurd voor een project om beveiligingssystemen te 'reverse engineeren'; dus om encryptiemechanismes voor smartcards en andere hardware te ontrafelen. Het doel was daarbij ook om die encryptiesystemen te voorzien van backdoors, schrijft Perry nu in zijn mail aan Theo de Raadt.

"Ik wil je bewust maken van het feit dat de FBI een aantal backdoors en mechanismes voor side channel key leaking heeft geïmplementeerd in het OpenBSD Cryptographic Framework (OCF). Dit voor het expliciete doel om het VPN-encryptiesysteem van de FBI-moederorganisatie EOUSA te monitoren." Het zou dus gaan om meerdere zwakke plekken in OpenBSD, dat juist de sterkst beveiligde uitvoering is van de open source Unix-variant BSD (Berkeley Software Distribution).

Code doornemen

De Raadt geeft de melding van Perrry direct door aan de buitenwereld, maar noemt het zelf "vermeende backdoors". "Er wordt beweerd dat sommige ex-developers (en het bedrijf waar zij voor werkten) geld van de Amerikaanse overheid hebben aangenomen om backdoors in onze netwerkstack te stoppen, in het bijzonder de IPSEC-stack." Dit is rond 2000 en 2001 gebeurd.

Perry, tegenwoordig ceo van virtualisatietrainingsbedrijf GoVirtual, noemt concreet OpenBSD-kernelontwikkelaar Jason Wright als één van de daadwerkelijke 'installateurs' van de backdoors. "Je zou er goed aan doen om alle code door te nemen die hij heeft bijgedragen, en van zijn mede-ontwikkelaars afkomstig van NETSEC." Wright is volgens zijn LinkedIn-profiel sinds 4 jaar in dienst bij een overheidslab.

Subsidie geschrapt

De aanwezigheid van de FBI-backdoors zou ook de reden zijn waarom een ander deel van de Amerikaanse overheid de subsidie voor OpenBSD-ontwikkeling heeft ingetrokken, schrijft Perry. Het ministerie van Defensie heeft in 2003 de DARPA-financiering geschrapt, nadat De Raadt openlijk zijn afkeuring had uitgesproken voor de Amerikaanse inval in Irak. Perry stelt dat dat niet de enige of voornaamste reden was: "Zij hebben waarschijnlijk wind gekregen van het feit dat die backdoors aanwezig waren en wilden geen afgeleide producten maken die zijn gebaseerd op diezelfde code."

Perry gaat nog een stap verder met zijn samenzweringsbericht: "Dit is ook de reden dat diverse FBI-medewerkers recent gebruik van OpenBSD promoten voor VPN- en firewall-implementaties in gevirtualiseerde omgevingen." De klokkenluider wijst virtualisatie- en OpenBSD-expert Scott Lowe ook aan als iemand die op de FBI-loonlijst staat. Lowe raadt inderdaad OpenBSD aan voor onder meer routers en ook voor vm's (virtual machines) in zakelijke virtuele omgevingen met VMware. Hij ontkent de aantijgingen van Perry met klem.

Ook in andere software

De infiltratie kan bovendien groter zijn dan "alleen maar" in OpenBSD. De Raadt meldt dat grote delen van de IPSEC-stack, die gratis beschikbaar is, terecht zijn gekomen in andere projecten en producten. Dit betekent niet dat de in 2000 geïnstalleerde backdoors daar nog in zitten, maar het is wel mogelijk.

"Gedurende 10 jaar zijn er veel veranderingen en fixes doorgevoerd in de IPSEC-code, dus het is onduidelijk wat de daadwerkelijke impact is van deze beschuldigingen", schrijft de BSD-grondlegger. Toch is er in al die jaren geen enkele melding van een backdoor of een spoor van een backdoor gedaan, wat het ergste doet vrezen. De Raadt haalt dit niet aan in zijn e-mail. De oorspronkelijke TCP/IP-stack van Windows NT 3.5, en daarna ook Windows 95, is gebaseerd op de BSD-stack hoewel dat legale lenen van BSD-code in de jaren negentig is gedaan.

Samenzwering

De mail is privé aan De Raadt gestuurd "door een persoon waar ik bijna 10 jaar niet mee gesproken heb". De OpenBSD-hoofdontwikkelaar vervolgt: "Ik weiger deel te nemen aan zo'n samenzwering en zal niet met Gregory Perry hierover spreken. Daarom maak ik dit nu publiekelijk bekend."

De Raadt wil er daarmee voor zorgen dat mensen die de mogelijk besmette code gebruiken die nu kunnen doornemen (auditen) op de aanwezigheid van backdoors. Dit geldt ook voor developers van andere software die de backdoors mogelijk ook in hun code hebben zitten. Verder wil hij bereiken dat mensen die boos zijn over dit verhaal "andere acties kunnen ondernemen". En tenslotte dat, indien de beweringen van Perry waar zijn de beschuldigde mensen, zoals Jason Wright, zich kunnen verdedigen.

Privacyschending

"Natuurlijk hou ik er niet van als mijn privé-mail wordt doorgestuurd", sluit De Raadt nog af. "Maar de 'kleine ethiek' van het forwarden van een privé-mail is veel kleiner dan de 'grote ethiek' van de overheid die bedrijven betaalt om open source-ontwikkelaars te betalen, leden van een gemeenschap-van-vrienden, om privacyschendende gaten in software te installeren."

 

Main Menu


Online

We have 8 guests online