Alfonso Maruccia

OpenBSD e le backdoor dell'FBI

Un programmatore denuncia: io e altri siamo stati pagati dai federali per inserire canali di intercettazione nascosti nel sistema operativo open source. Realtà o teoria della cospirazione?

Roma - Le backdoor dell'FBI nei software di sicurezza non sono leggende metropolitane, anzi: il bureau investigativo più famoso del mondo avrebbe effettivamente pagato valenti programmatori con lo scopo preciso di instillare "porte di accesso secondarie" all'interno di software open source, con conseguenze ramificatesi nel corso degli anni.

A scatenare una nuova tempesta di cospirazioni governative e legittime preoccupazioni per la riservatezza delle comunicazioni è il coder Gregory Perry, che rivela la presenza delle backdoor federali in una email diretta al capo del progetto OpenBSD Theo de Raadt. Perry dice di essere stato sin qui obbligato al vincolo di segretezza dal non-disclosure agreement (NDA) stretto con l'FBI, ma tale NDA è recentemente scaduto e il programmatore può dunque rivelare la verità a Raadt e alla community dell'open source.

"Volevo rendervi edotti del fatto che l'FBI ha implementato un certo numero di backdoor nei meccanismi di leaking side channel delle chiavi nel framework crittografico di OpenBSD - scrive Perry - con l'intento preciso di monitorare il sistema di cifratura VPN site-to-site implementato da EOUSA, l'organizzazione che controlla l'FBI".
Le backdoor volute dall'FBI sarebbero insomma dirette soprattutto al monitoraggio della rete di amministrazione interna delle procure distrettuali, ma Perry suggerisce che le suddette backdoor rappresentino il motivo principale del "consiglio" dell'agenzia di usare OpenBSD per le comunicazioni VPN e il firewalling negli ambienti virtualizzati.

Come risponde il gestore del progetto OpenBSD alle rivelazioni di Gregory Perry? Lavandosene le mani: de Raadt dice di non voler entrare a far parte di una "simile cospirazione", e di non voler avviare alcuna indagine interna atta a scovare il codice nascosto di cui parla il programmatore.

Sarà la community a occuparsi delle opportune verifiche, dice de Raadt, verifiche che non sarebbero umanamente possibili per una singola organizzazione considerando il fatto che il codice incriminato è ora parte integrante di molti progetti e prodotti open source. Se le backdoor esistono realmente, la loro proliferazione avrebbe a questo punto raggiunto un'estensione capillare.

Alfonso Maruccia
Notizie collegate
  • Diritto & InternetUSA: no alle backdoor di StatoMolte le scomuniche, come quella di Vint Cerf: i costi e i rischi sono troppo grandi. Persino per gli USA: dal 2007 gli ISP dovranno aprire i propri sistemi allo spionaggio domestico voluto dall'amministrazione Bush
  • AttualitàStates, i rischi di quei congegni cinesiI falsi tecnologici penetrano in router militari, aerei da guerra, navi. Nel più rigoroso silenzio, in perfetta simbiosi con l'ambiente. Esponendo gli USA, e certo non solo gli USA, a nuovi gravi rischi
  • AttualitàSchneier: la minaccia viene dall'ovestIl guru della cybersicurezza punta il dito sui Governi democratici occidentali. Mentre la Cina ribadisce di non aver avuto ruolo nell'attacco a Google - UPDATE: BigG smentisce Schneier
45 Commenti alla Notizia OpenBSD e le backdoor dell'FBI
Ordina
  • Se lo dicono loro!!!
    non+autenticato
  • Visto che OsX è un derivato bsd, o meglio il kernel Darwin lo è secondo voi queste backdoor ci sono anche sui sistemi Apple?
    non+autenticato
  • Come mai tutta sta paura?A bocca aperta
    Intanto la falla non è stata ne individuata ne provata, è tutta fantascienza fintanto che non la trovano rimane un warn lanciato da un programmatore che seguiva neanche direttamente lo sviluppo..

    Detto questo.. apple farebbe bene a svilupparsele internamente le risorse invece che fregare come ha fatto gli sviluppatori del mondo open source illudendoli in qualche modo e portandoli a sviluppare driver per supportare x86. Cmq a quanto è dato sapere ha rubacchiato da NetBsd e FreeBsd
    non+autenticato
  • Google ci ruba i dati quando navighiamo.
    Facebook profila noi e i nostri amici.
    iOS e Android ci tolgono le App da sotto il naso.
    OpenBSD ha la backdoor che permette l'accesso all'FBI.

    Coi nuovi contatori digitali l'azienda che vi fornisce la corrente elettrica può sapere che elettrodomestico state usando in quel momento.
    L'azienda che vi fornisce l'acqua sa quando aprite e chiudete il rubinetto.
    L'azienda che vi fornisce il gas sa quando lo usate.

    Incrociando questi dati, quando vi alzate la mattina, qualcuno sa il modello di sveglia che vi ha svegliato. Qualcuno sa se vi siete fatti la doccia. Qualcuno sa sa se avete fatto colazione. Qualcuno sa quando siete usciti di casa. Salite in macchina, e qualcuno sa il tragitto che fate grazie allo smartphone che avete in tasca. Poi arrivate in ufficio e qualcuno sa dove avete parcheggiato la macchina. Accendete il PC, e qualcuno sa che computer avete, che sistema operativo utilizzate, che programmi avete installati, che siti visitate. Qualcuno sa se state lavorando o se state cazzeggiando. Se state cazzeggiando, qualcuno sa cosa vi piace fare quando non lavorate. Poi andate a pranzo, e qualcuno sa dove andate a mangiare. Poi tornate in ufficio e la faccenda si ripete. Poi uscite e andate a fare la spesa, e qualcuno sa in che supermercato siete andati e anche quali prodotti avete comprato. Tornate a casa, e qualcuno sa il tragitto che fate e dove lasciate la macchina. Aprite la porta di casa, vi buttate sul divano e accendete la TV, e qualcuno sa che la state guardando, e se avete il satellite o la paytv, qualcuno sa anche cosa state guardando. E' ora di cena, e qualcuno sa se vi state preparando un piatto di pasta o se state scaldando qualcosa nel microonde. Poi accendete la vostra console e vi fate una partita, e qualcuno sa a cosa state giocando e per quanto tempo. E' ora di andare a dormire, e qualcuno sa a che ora ci andate di solito e sa pure se vi siete lavati i denti prima di mettervi sdraiati. E qualcuno sa pure per quanto tempo dormite. E il giorno dopo si ricomincia.

    A questo punto non vi rimane che andare a vivere nei boschi e far perdere le vostre tracce. E qualcuno si accorgerà anche di questo...

    Arrendetevi, siete circondati...
    --
    JackRackham
    non+autenticato
  • Bellissimo! E divertente anche!Sorride
    non+autenticato
  • Molto bello!
    Farei comunque un'aggiunta:
    qualcuno sa dove avete lasciato la macchina, ma voi potreste non ricordare dove l'avete lasciata.
    non+autenticato
  • sono tanti anni che se ne parla.

    A parte le backdoor nel codice dei programmi che utilizziamo, la cosa più subdola sarebbe introdurre del codice malevolo nei compilatori che generano gli eseguibili, o nelle librerie che linkiamo.

    Uno può avere scritto il codice più bello, sicuro e blindato del mondo, ma se poi il compilatore / linker ci attacca un bel payload a sorpresa ...

    Ricordatevi sempre di utilizzare software scaricato dai siti ufficiali (si spera meglio controllati)!
  • - Scritto da: andy61
    > sono tanti anni che se ne parla.
    >
    > A parte le backdoor nel codice dei programmi che
    > utilizziamo, la cosa più subdola sarebbe
    > introdurre del codice malevolo nei compilatori
    > che generano gli eseguibili, o nelle librerie che
    > linkiamo.
    >
    > Uno può avere scritto il codice più bello, sicuro
    > e blindato del mondo, ma se poi il compilatore /
    > linker ci attacca un bel payload a sorpresa
    > ...
    Mi ricorda questa simpatica sorpresina:
    W32/Induc-A
    che si attaccava ai programmi in delphi...
    non+autenticato
  • OpenBsd non è usato da quattro gatti come ho visto scrivere da qualcuno.. ha una solida community alle spalle..

    detto questo.. com'è possibile che in un software VOTATO alla sicurezza come openbsd, vagliato ad ogni release da tantissimi programmatori e esperti in sicurezza sia affetto da questi bachi?Deluso

    Cecità globale? è un come se in photoshop la funzione di riempimento non effettuasse un gradiente perfetto. Se ne accorgerebbero tutti quelli che lo usano. Sfido ad accorgersi "in produzione" di un baco nel motore crittografico ma comunque sia è l'ennesima sfida ad un progetto che comunque sta sulle balle agli States per via della loro mancata collaborazione diretta (infatti saltano fuori storie di mazzette)

    I soliti complimenti a Theo e a tutti quelli che contribuiscono a questo fantastico progetto. Bacioni ai nerdoni!
    non+autenticato
  • - Scritto da: Lex Logic
    > OpenBsd non è usato da quattro gatti come ho
    > visto scrivere da qualcuno.. ha una solida
    > community alle spalle..

    > detto questo.. com'è possibile che in un software
    > VOTATO alla sicurezza come openbsd, vagliato ad
    > ogni release da tantissimi programmatori e
    > esperti in sicurezza sia affetto da questi bachi?
    >Deluso

    > Cecità globale? è un come se in photoshop la
    > funzione di riempimento non effettuasse un
    > gradiente perfetto. Se ne accorgerebbero tutti
    > quelli che lo usano. Sfido ad accorgersi "in
    > produzione" di un baco nel motore crittografico
    > ma comunque sia è l'ennesima sfida ad un progetto
    > che comunque sta sulle balle agli States per via
    > della loro mancata collaborazione diretta
    > (infatti saltano fuori storie di mazzette)

    Inoltre mi chiedo, ma nessuno dei programmatori che "sanno" ha mai mandato una mail attraverso un remailer anonimo per avvertire un po' di mondo delle linee di codice incriminate ?


    > I soliti complimenti a Theo e a tutti quelli che
    > contribuiscono a questo fantastico progetto.
    > Bacioni ai nerdoni!
    krane
    22544
  • - Scritto da: krane
    > Inoltre mi chiedo, ma nessuno dei programmatori
    > che "sanno" ha mai mandato una mail attraverso un
    > remailer anonimo per avvertire un po' di mondo
    > delle linee di codice incriminate
    > ?
    Ma se lo sapevano in due!
    Quanto pensi ci avrebbero messo a scoprire chi dei due era stato?
    non+autenticato
  • - Scritto da: pippO
    > - Scritto da: krane
    > > Inoltre mi chiedo, ma nessuno dei programmatori
    > > che "sanno" ha mai mandato una mail attraverso
    > > un remailer anonimo per avvertire un po' di
    > > mondo delle linee di codice incriminate ?
    > Ma se lo sapevano in due!
    > Quanto pensi ci avrebbero messo a scoprire chi
    > dei due era stato?

    Ma rendere evidenti le linee di codice come se lo si fosse scoperto ? Tipo: guardate ho trovato questo...
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: pippO
    > > - Scritto da: krane
    > > > Inoltre mi chiedo, ma nessuno dei
    > programmatori
    > > > che "sanno" ha mai mandato una mail attraverso
    > > > un remailer anonimo per avvertire un po' di
    > > > mondo delle linee di codice incriminate ?
    > > Ma se lo sapevano in due!
    > > Quanto pensi ci avrebbero messo a scoprire chi
    > > dei due era stato?
    >
    > Ma rendere evidenti le linee di codice come se lo
    > si fosse scoperto ? Tipo: guardate ho trovato
    > questo...
    Certo pippo ha scoperto "per caso" che proprio in quella riga di codice manca il ; finale che la rende operativa...
    non+autenticato
  • ma se hanno accettato soldi per farlo non erano certo tanto brave persone da avvisare qualcuno... o no? comunque la vicenda mi sembra strana. Per carità i bug esistono ovunque, ma backdoor in software open source mi sembra strano non vengano scoperte...
    non+autenticato
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > - Scritto da: Lex Logic
    > > OpenBsd non è usato da quattro gatti come ho
    > > visto scrivere da qualcuno..
    >
    > scritto io.
    > Che percentuale ha?
    > 0.5%?
    > 0.1%?

    In questo caso non è importante la diffusione, ma l'ambito di utilizzo. OpenBSD è utilizzato sopratutto come s.o. "embedded" per hardware dedicato alle comunicazioni e alla sicurezza informatica
  • Bla bla bla!

    Non cerco facili consensi, anzi le percentuali che dai tu sono a dir poco ottimistiche..

    Non so quanto sia affidabile questo sito:
    http://www.netmarketshare.com/operating-system-mar...
    ma sembra che sia ancora menoSorride

    Cmq il fatto è che essendo un os che non è assolutamente votato allo user friendly, sviluppata e gestita da tecnici, c'è una buona probabilità che i bachi si trovino nelle sorgenti molto più velocemente di altri prodotti (paragonabili, ossia a loro volta open source)

    Ti posso garantire che il livello medio di chi quel bsd lo usa tutti i giorni o ci monta dei servizi è veramente elevato. La parte crittografica poi è di base anche per altri prodotti e le sorgenti sono monitorate anche da persone che non sviluppano direttamente bsd. Il problema è prettamente commerciale, stanno cercando di far fuori l'attendibilità di un prodotto che minaccia un mercato come quello americano dove o ti pieghi alle agenzie governative o t'attacchi al tram. Mi piacerebbe sapere come l'ha presa Cisco la news ^__^
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 11 discussioni)