Создатель OpenBSD: ФБР оплатила “закладки” в OpenBSD, но не смогла их реализовать

Открытое ПО ПО Свободное ПО Софт
, Текст: Егор Гребнев
Информацию о наличии закладок ФБР в исходном коде OpenBSD не удалось подтвердить. Лидер проекта Тео де Раадт считает вероятным, что ФБР действительно оплатила такую работу, но по какой-то причине закладки не попали в основное дерево проекта. В то же время разработчики OpenBSD продолжают выполнять аудит соответствующих фрагментов исходного кода.

После того, как создатель проекта OpenBSD Тео де Раадт (Theo de Raadt) опубликовал личное письмо от Грегори Пери (Gregory Perry), где сообщалось о возможном наличии в коде OpenBSD “закладок”, внесенных по заказу ФБР, зарубежные СМИ и сообщество OpenBSD приступили к изучению полученной информации. Так, по утверждению Грегори Перри, бывший сотрудник Netsec Джейсон Райт (Jason L. Wright) непосредственно отвечал за внесение в OpenBSD кода с “закладками”, а известный в сообществе специалистов по виртуализации Скотт Лоуэ (Scott Lowe), будучи одним из наиболее высокооплачиваемых специалистов ФБР, активно занимается продвижением OpenBSD в системах под управлением VMware vSphere.

Реакция от названных людей не заставила себя ждать. В письме, опубликованном в списке рассылки OpenBSD, Джейсон Райт охарактеризовал письмо Грегори Перри следующими словами: “Всякая городская легенда становится более правдоподобной, когда в нее включают имена реальных людей и даты. Сообщение Грегори Перри подпадает под эту категорию. Я не могу понять, чем он руководствовался при написании подобного подлога (возможно, мания величия или попытка саморекламы?)”. Далее Джейсон Райт опровергает свою причастность к разработке реализации протокола IPSEC в OpenBSD, подробно перечислив те работы, в которых он действительно принимал участие, и требует извинений от Грегори Перри.

Что касается Скотта Лоуэ, то журналисту издания ITWorld удалось найти двух человек с этим именем, работа которых так или иначе связана с виртуализацией. Скотт Лоуэ, занимающий в компании EMC должность руководителя по решениям VMWare-Cisco, ответил следующими словами: “Господин Перри ошибается. Я никогда не был связан с ФБР и не являлся сотрудником ни этого, ни какого-либо другого государственного учреждения. Аналогичным образом, я никогда не вносил ни строки кода в OpenBSD; моя работа по популяризации проекта связана исключительно с тем, что я ценю его достижения, и ни с чем иным”. Скотт Лоуэ сообщил, что в штате Миссури проживает еще один человек с таким же именем, с которым его путали и раньше. Однако второй Скотт Лоуэ, занимающий позицию вице-президента и CIO в Вестминстерском колледже Миссури, также опроверг свою связь с ФБР: “Я не получаю и никогда не получал денег от ФБР, и не занимаюсь продвижением OpenBSD ни в личном общении, ни в публикациях”.

Однако часть сведений в письме Грегори Перри все-таки подтвердилась, что не позволило разработчикам OpenBSD полностью оставить его сообщение без внимания: “Мы выяснили, что Ангелос [Керомитис – Angelos Keromytis] (наш разработчик ipsec) также в определенный момент времени выполнял работу по контракту с этой организацией. В письме сообщалось, что это был не только Джейсон”, – пишет Тео де Раадт.

Разработчик OpenBSD Дэмиэн Миллер (Damien Miller) предположил, что проблемный код, если он существовал, должен был быть внесен не в саму реализацию протокола IPSEC, а в сетевой стэк. В то время разработка криптографического кода, в силу действовавших в США экспортных ограничений, вообще была затруднительна: “Мы никогда не позволяли гражданам США или работающим в США иностранным гражданам участвовать в написании криптографического кода (Нильсу Провосу [Niels Provos] приходилось по этой причине ездить в Канаду для разработки OpenSSH), поэтому прямые интерференции с криптографическим кодом маловероятны”. Далее Дэмиэн Миллер предлагает четыре вероятных пути реализации утечки информации в коде сетевого стэка, с анализа которых он предлагает начать аудит.

Подводя промежуточные итоги, Тео де Раадт указал, что компания Netsec действительно занималась работой по государственным контрактам. В то же время, в период с 1999 по 2001 год контроль над криптографией передавался от Министерства обороны в Министерство торговли, в связи с чем криптографические средства теперь можно было экспортировать “в ограниченных пределах”. В связи с этим правительство США предпринимало меры по изобретению новых технологий, которые позволяли бы ему контролировать коммуникации в условиях распространения криптографических средств в частном секторе. Тео де Раадт сообщает, что Ангелос Керомитис, будучи активным разработчиком OpenBSD, поступил на работу в Netsec после ухода Джейсона Райта. Он занимался разработкой криптографического слоя в OpenBSD, путешествуя по другим странам. Благодаря проведенному аудиту, в этом коде удалось выявить две ошибки, однако вероятность того, что эти ошибки были внесены сознательно, лидер OpenBSD оценивает как невысокую: “Я не верю, что какая-либо из этих двух проблем, или из других обнаруженных на сегодня проблем, является результатом непосредственного злого умысла”.

Вместе с тем, Тео де Раадт считает, что обвинения Грегори Перри имеют под собой почву: “Я верю, что Netsec могла быть нанята для написания тех закладок, о которых идет речь”. Однако это намерение по каким-то причинам не удалось реализовать: “Если они и были написаны, то я не верю, что они попали в основное дерево. Вероятно, они были реализованы в их собственном продукте”, – пишет лидер OpenBSD.

Отвечая на вопрос CNews о том, сможет ли аудит исходного кода дать однозначные подтверждения или опровержения обвинений Грегори Перри, лидер проекта Openwall Александр Песляк ответил, что это очень сложная задача: “IPSec столь сложная вещь, что в реализации найдут уязвимости и не будут знать наверняка, были ли они привнесены сознательно или нет”. Что же касается вероятности участия ФБР в составлении закладок в коде OpenBSD, то такую меру Александр Песляк считает технически возможной, но неразумной: “Другое дело, что неразумные вещи иногда все равно заказывают и делают – или делают вид что делают”, – замечает лидер Openwall.