Den amerikanska federala polismyndigheten FBI har hamnat i fokus på tekniska nyhetssidor världen över. Operativsystemet OpenBSD:s och OpenSSH:s grundare och ledare, Theo de Raadt, har mottagit ett e-postmeddelande där det står att FBI för tio år sedan betalade flera öppen källkodsutvecklare för att baka in en hemlig bakdörr i OpenBSD:s IPSEC-stack, som används vid VPN.
Theo de Raadt beslöt att publicera innehållet i brevet så att alla får ta del av det, men också för att koden i fråga ska kunna granskas. E-postmeddelandet skickades från Gregory Perry, nuvarande CEO på Govirtual Education. För tio år sedan var han CTO på Netsec och utförde konsultuppdrag åt FBI:s GSA Technical Support Center. Avtalet, ett så kallat non-disclosure agreement (NDA), gick nyligen ut och han beslöt sig för att kontakta de Graat och meddela vad han fick veta för tio år sedan.
”Mitt NDA med FBI har nyligen gått ut och jag vill göra dig medveten om det faktum att FBI implementerat ett antal bakdörrar och nyckelläckande mekanismer i OCF (OpenBSD Cryptographic Framework). Syftet var uttryckligen att övervaka ett VPN-krypteringssystem som implementerades av EOUSA, FBI:s moderorganisation”, skriver Gregory Perry i det skickade meddelandet och namnger samtidigt en ansvarig utvecklare:
”NN och flera andra utvecklare var ansvariga för dessa bakdörrar. Du bör granska alla koder med ursprung från Netsec, som härstammar från NN, så väl som kod från andra utvecklare han arbetade tillsammans med”.
Theo de Raadt tar dessa anklagelser på fullaste allvar och vill att koden ska granskas så snart som möjligt. Eftersom IPSEC-stacken redan är ganska gammal, och anklagelserna också är ganska gamla, har koden genomgått flera revisioner. Men OpenBSD:s grundare och ledare vill ändå få koden granskad.
”E-postmeddelandet kom privat från en person jag inte har pratat med på nästan tio år. Jag vägrar att bli en del av en sådan konspiration, och kommer inte att prata med Gregory Perry om detta”, skriver Theo de Raadt. Samtidigt förklarar han de tre syften som publiceringen av brevet har.
”Jag gör det allmänt tillgängligt för att (a) de som använder koden kan revidera dem för dessa problem, (b) de som är arga på berättelsen kan vidta andra åtgärder, (c) om detta inte är sant, kan de som är misstänkta försvara sig”, skriver Theo de Raadt.
Det kan ses som lite smått ironiskt att detta drabbar just OpenBSD – ett av operativsystemen som anses vara säkrast efter en standardinstallation. På projektets webbplats skryter de själva om att det enbart har funnits två säkerhetsrelaterade hål från en standardinstallation på väldigt lång tid.
Bland nyhetskommentarer spekuleras det i om OpenSSH skulle kunna vara involverat. I sådana fall kan Linuxanvändare vara utsatta för en potentiell risk. Detta är dock oklart. Det är trots allt oklart om det ligger någon sanning i de allvarliga anklagelserna, eller om allt bara är en bluff.
Första delen av brevet ser du nedan, du kan läs hela meddelandet på följande länk: http://dmzlabs.se/ipsecfbi