OpenBSD被要求加后門?開源OS風(fēng)險(xiǎn)評估
本月初有人聲稱FBI要求在OpenBSD的IPsec棧中加上后門。在審核完代碼后,OpenBSD的創(chuàng)建者Theo de Raadt得出如下結(jié)論:在這個(gè)開源操作系統(tǒng)中并不存在這種威脅。
軟件工程師Theo de Raadt是OpenBSD與OpenSSH項(xiàng)目的創(chuàng)建者,他近日說收到了來自于Gregory Perry的一封私人郵件,Gregory Perry是NETSEC的前CTO,負(fù)責(zé)資助OpenBSD Crypto Framework,同時(shí)還在2000——2001期間擔(dān)任FBI的咨詢師。Perry聲稱有些開發(fā)者在OpenBSD的IPsec棧中加入了大量后門,這是根據(jù)FBI的要求做的,以此作為交換來獲得FBI的資助:我與FBI簽訂的保密協(xié)議前不久到期了,我希望你能認(rèn)清這樣一個(gè)事實(shí):FBI向OCF中加入了大量后門和攻擊泄漏機(jī)制,目的是為了監(jiān)控EOUSA實(shí)現(xiàn)的站點(diǎn)到站點(diǎn)之間的VPB加密系統(tǒng),EOUSA則是FBI的上一層組織。Jason Wright和其他幾位開發(fā)者負(fù)責(zé)實(shí)現(xiàn)這些后門,我建議你最好檢查一下Wright和其他幾位曾供職于NETSEC的開發(fā)者提交的所有代碼。
de Raadt將這封郵件發(fā)給了Gmane新聞組,并邀請IPsec代碼的用戶對其進(jìn)行檢查以確認(rèn)這種說法是否屬實(shí):自從我們免費(fèi)發(fā)布了IPSEC棧后,很多項(xiàng)目/產(chǎn)品都使用了其中的大量代碼。十年內(nèi),IPSEC代碼經(jīng)歷了很多變化與修復(fù),因此現(xiàn)在很難確認(rèn)這些說法的真實(shí)性。
這則新聞出現(xiàn)在很多新聞?wù)军c(diǎn)上,人們開始懷疑美國政府一直在監(jiān)測計(jì)算機(jī)之間的通信。一周后,de Raadt就這個(gè)問題發(fā)表了調(diào)查結(jié)果。他相信“NETSEC可能像傳言所說的那樣編寫了后門”,但“如果他們真的寫了的話,我不相信他們會加到我們的系統(tǒng)當(dāng)中,他們可能將其部署到了自己的產(chǎn)品中“。根據(jù)Raadt所述,在審查過程中發(fā)現(xiàn)了兩個(gè)嚴(yán)重的Bug,一個(gè)與Cipher-Block Chaining(CBC) Oracle攻擊有關(guān)。
Gregory Perry在信中所提到的編寫后門的開發(fā)者之一Jason L. Wright否認(rèn)了他這種說法:我要說的是我并沒有向OpenBSD操作系統(tǒng)和OpenBSD Crypto Framework(OCF)中添加后門。我在工作中所接觸的代碼只與支持框架的設(shè)備驅(qū)動(dòng)有關(guān)。我自己根本就沒有碰過isakmpd和photurisd(用戶密鑰管理程序),我也很少接觸ipsec內(nèi)核(cryptodev與cryptosoft)。但我歡迎大家審核我向OpenBSD提交的一切代碼。
最后的結(jié)論就是OpenBSD中并沒有后門,但這個(gè)事件提醒某些開發(fā)者要再一次檢查自己的代碼。
【編輯推薦】
