Создатель OpenBSD: ФБР оплатила “закладки” в OpenBSD, но не смогла их реализовать
После того, как создатель проекта OpenBSD Тео де Раадт (Theo de Raadt) опубликовал личное письмо от Грегори Пери (Gregory Perry), где сообщалось о возможном наличии в коде OpenBSD “закладок”, внесенных по заказу ФБР, зарубежные СМИ и сообщество OpenBSD приступили к изучению полученной информации. Так, по утверждению Грегори Перри, бывший сотрудник Netsec Джейсон Райт (Jason L. Wright) непосредственно отвечал за внесение в OpenBSD кода с “закладками”, а известный в сообществе специалистов по виртуализации Скотт Лоуэ (Scott Lowe), будучи одним из наиболее высокооплачиваемых специалистов ФБР, активно занимается продвижением OpenBSD в системах под управлением VMware vSphere.
Реакция от названных людей не заставила себя ждать. В письме, опубликованном в списке рассылки OpenBSD, Джейсон Райт охарактеризовал письмо Грегори Перри следующими словами: “Всякая городская легенда становится более правдоподобной, когда в нее включают имена реальных людей и даты. Сообщение Грегори Перри подпадает под эту категорию. Я не могу понять, чем он руководствовался при написании подобного подлога (возможно, мания величия или попытка саморекламы?)”. Далее Джейсон Райт опровергает свою причастность к разработке реализации протокола IPSEC в OpenBSD, подробно перечислив те работы, в которых он действительно принимал участие, и требует извинений от Грегори Перри.
Что касается Скотта Лоуэ, то журналисту издания ITWorld удалось найти двух человек с этим именем, работа которых так или иначе связана с виртуализацией. Скотт Лоуэ, занимающий в компании EMC должность руководителя по решениям VMWare-Cisco, ответил следующими словами: “Господин Перри ошибается. Я никогда не был связан с ФБР и не являлся сотрудником ни этого, ни какого-либо другого государственного учреждения. Аналогичным образом, я никогда не вносил ни строки кода в OpenBSD; моя работа по популяризации проекта связана исключительно с тем, что я ценю его достижения, и ни с чем иным”. Скотт Лоуэ сообщил, что в штате Миссури проживает еще один человек с таким же именем, с которым его путали и раньше. Однако второй Скотт Лоуэ, занимающий позицию вице-президента и CIO в Вестминстерском колледже Миссури, также опроверг свою связь с ФБР: “Я не получаю и никогда не получал денег от ФБР, и не занимаюсь продвижением OpenBSD ни в личном общении, ни в публикациях”.
Однако часть сведений в письме Грегори Перри все-таки подтвердилась, что не позволило разработчикам OpenBSD полностью оставить его сообщение без внимания: “Мы выяснили, что Ангелос [Керомитис – Angelos Keromytis] (наш разработчик ipsec) также в определенный момент времени выполнял работу по контракту с этой организацией. В письме сообщалось, что это был не только Джейсон”, – пишет Тео де Раадт.
Разработчик OpenBSD Дэмиэн Миллер (Damien Miller) предположил, что проблемный код, если он существовал, должен был быть внесен не в саму реализацию протокола IPSEC, а в сетевой стэк. В то время разработка криптографического кода, в силу действовавших в США экспортных ограничений, вообще была затруднительна: “Мы никогда не позволяли гражданам США или работающим в США иностранным гражданам участвовать в написании криптографического кода (Нильсу Провосу [Niels Provos] приходилось по этой причине ездить в Канаду для разработки OpenSSH), поэтому прямые интерференции с криптографическим кодом маловероятны”. Далее Дэмиэн Миллер предлагает четыре вероятных пути реализации утечки информации в коде сетевого стэка, с анализа которых он предлагает начать аудит.
Подводя промежуточные итоги, Тео де Раадт указал, что компания Netsec действительно занималась работой по государственным контрактам. В то же время, в период с 1999 по 2001 год контроль над криптографией передавался от Министерства обороны в Министерство торговли, в связи с чем криптографические средства теперь можно было экспортировать “в ограниченных пределах”. В связи с этим правительство США предпринимало меры по изобретению новых технологий, которые позволяли бы ему контролировать коммуникации в условиях распространения криптографических средств в частном секторе. Тео де Раадт сообщает, что Ангелос Керомитис, будучи активным разработчиком OpenBSD, поступил на работу в Netsec после ухода Джейсона Райта. Он занимался разработкой криптографического слоя в OpenBSD, путешествуя по другим странам. Благодаря проведенному аудиту, в этом коде удалось выявить две ошибки, однако вероятность того, что эти ошибки были внесены сознательно, лидер OpenBSD оценивает как невысокую: “Я не верю, что какая-либо из этих двух проблем, или из других обнаруженных на сегодня проблем, является результатом непосредственного злого умысла”.
Вместе с тем, Тео де Раадт считает, что обвинения Грегори Перри имеют под собой почву: “Я верю, что Netsec могла быть нанята для написания тех закладок, о которых идет речь”. Однако это намерение по каким-то причинам не удалось реализовать: “Если они и были написаны, то я не верю, что они попали в основное дерево. Вероятно, они были реализованы в их собственном продукте”, – пишет лидер OpenBSD.
Отвечая на вопрос CNews о том, сможет ли аудит исходного кода дать однозначные подтверждения или опровержения обвинений Грегори Перри, лидер проекта Openwall Александр Песляк ответил, что это очень сложная задача: “IPSec столь сложная вещь, что в реализации найдут уязвимости и не будут знать наверняка, были ли они привнесены сознательно или нет”. Что же касается вероятности участия ФБР в составлении закладок в коде OpenBSD, то такую меру Александр Песляк считает технически возможной, но неразумной: “Другое дело, что неразумные вещи иногда все равно заказывают и делают – или делают вид что делают”, – замечает лидер Openwall.