Backdoor in OpenBSD? Per ora no

Backdoor in OpenBSD? Per ora no

Una verifica interna del codice sorgente non porta ad alcuna "scoperta" sorprendente. Per il momento chi ha denunciato le porte segrete reste a bocca asciutta. Le indagini continuano
Una verifica interna del codice sorgente non porta ad alcuna "scoperta" sorprendente. Per il momento chi ha denunciato le porte segrete reste a bocca asciutta. Le indagini continuano

Alle accuse del programmatore Gregory Perry sull’ installazione di backdoor segrete all’interno del codice sorgente di OpenBSD sono seguiti i controlli dell’organizzazione che gestisce il progetto. E i controlli, almeno per il momento, tenderebbero a escludere la presenza di routine indesiderate e potenzialmente malevole nel sistema operativo open source derivato da UNIX.

Perry, ex-CTO della società NetSec , aveva inviato una mail al founder di OpenBSD Theo de Raadt denunciando l’iniziativa dell’FBI: pagare sviluppatori professionisti (Perry stesso assieme a Jason Wright e Angelos Keromytis) per assicurarsi una via di accesso ben camuffata nel codice dell’OS usato per le comunicazioni su VPN all’interno del network di EOUSA .

Di tali, presunte, vie di accesso, e di altre incongruenze potenzialmente utili all’intromissione non autorizzata nel sottosistema crittografico di OpenBSD, le verifiche sin qui messe in atto dall’organizzazione non hanno trovato traccia : le audizioni hanno portato alla luce un paio di bachi e un problema non meglio specificato nelle routine di generazione di numeri pseudo-casuali, ma in entrambe i casi non ci sarebbe alcuna correlazione con le backdoor di cui sopra .

Il sistema di verifica delle modifiche a OpenBSD ha permesso inoltre di chiarire il ruolo dei principali indiziati: Wright si era occupato della scrittura di driver di programmazione, mettendo le mani anche su alcune parti nel framework crittografico dell’OS (OFC), mentre Keromytis è stato effettivamente uno dei principali sviluppatori del framework.

Sia Wright che Keromytis hanno lavorato assieme a Perry presso NetSec, con Keromytis arrivato buon ultimo nella società. Durante il periodo della sua permanenza a NetSec, evidenziano le indagini, in OpenBSD era stato introdotto il concetto di vettori di inizializzazione insicuri poi rimosso in un secondo tempo .

Il lavoro di revisione interna non avrebbe insomma individuato alcuna “pistola fumante” capace di sostenere coi fatti le pesanti accuse lanciate da Gregory Perry, eppure i dubbi sull’esistenza di backdoor all’interno di OpenBSD non sono ancora del tutto fugati. Va inoltre considerata l’eventualità, remota ma sempre possibile, di porte di accesso segrete talmente ben scritte da risultare invisibili anche alle indagini sin qui compiute sul codice dell’OS.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 23 dic 2010
Link copiato negli appunti