E se l’FBI controllasse (e aprisse) tutte le connessioni cifrate?

Incredibilmente combatto contro la mia proverbiale pigrizia nello scrivere su questo Blog perché c’è qualcosa di interessante da dire. No, non parlo di Wikileaks (ma se vi interessa la cosa questo Sabato sarò a Salerno ad una conferenza sul tema), ma di una mail passata sulla Mailing List interna del progetto OpenBSD. Una mail assoutamente inquietante a firma nientemeno di Theo de Raadt, fondatore e leader di OpenBsd.

La mail è l’inoltro alla mailing list di una comunicazione giunta a Theo da parte di Greg Perry e recita quanto segue:

Long time no talk. If you will recall, a while back I was the CTO at NETSEC and arranged funding and donations for the OpenBSD Crypto Framework. At that same time I also did some consulting for the FBI, for their GSA Technical Support Center, which was a cryptologic reverse engineering project aimed at backdooring and implementing key escrow mechanisms for smart card and other hardware-based computing technologies. My NDA with the FBI has recently expired, and I wanted to make you aware of the fact that the FBI implemented a number of backdoors and side channel key leaking mechanisms into the OCF, for the express purpose of monitoring the site to site VPN encryption system implemented by EOUSA, the parent organization to the FBI. Jason Wright and several other developers were responsible for those backdoors, and you would be well advised to review any and all code commits by Wright as well as the other developers he worked with originating from NETSEC. (…) This is also why several inside FBI folks have been recently advocating the use of OpenBSD for VPN and firewalling implementations in virtualized environments (…).

In altre parole: Greg sottolinea come nel corso degli anni l’FBI abbia pagato sviluppatori che hanno lavorato alla parte del sistema OpenBSD responsabile della gestione della crittografia (OpenBSD Crypto Framework) con il fine esplicito di implementare all’interno dello stesso processi o funzioni per decifrare i contenuti cifrati da questo componente di base del sistema operativo, in pratica creando sistemi paralleli di recupero delle chiavi.

Per rendere la cosa più chiara: ogni connessione cifrata e/o operazione di cifratura implementata su OpenBSD fa riferimento all’OCF e sarebbe quindi vulnerabile ad attacchi da parte delle realtà di controllo, FBI in primis.

La mail continua anche a dare dettagli, dicendo esplicitamente che il motivo per cui molti consulenti “al soldo” dell’FBI stanno consigliando l’utilizzo di OpenBDS è proprio perché se qualunque sistema usa OpenBSD diviene anche quando si tutela con crittografia perfettamente intercettabile, contro il volere dell’installatore ed utilizzatore.

OpenBSD è utilizzato in modo massivo, ad esempio, per la creazione di sistemi di VPN (Virtual Private Network). Una azienda o una organizzazione implementa infatti sistemi di VPN quando non vuole che i dati siano liberamente intercettabili, ma con una tecnologia come questa (nel caso le ipotesi si rivelassero reali) sarebbe una mossa assolutamente inutile: tutte le cifrature avrebber, infatti, una “backdoor”, una porta sul retro da cui un utente con le giuste conoscenze può entrare e decifrare comunque, in barba alle chiavi impostate, ogni comunicazione.

OpenBsd non solamente è implementato in centinaia di migliaia di server al mondo, ma la licenza particolare del sistema operativo ne consente l’utilizzo (anche tacito) all’interno di dispositivi hardware di terze parti. Non è possibile quindi sapere, nel caso le voci vengano confermate, la reale estensione del fenomeno: il router che usate in azienda potrebbe, infatti, essere null’altro che una appliance linux che monta OpenBSD a vostra insaputa (vista la nota stabilità del sistema) e potreste quindi essere vulnerabili anche senza saperlo.

Theo non ha ancora preso particolari precauzioni, ma ha divulgato la mail alla mailing-list, così da potere, nelle sue parole:

The mail came in privately from a person I have not talked to for nearly 10 years. I refuse to become part of such a conspiracy, and will not be talking to Gregory Perry about this. Therefore I am making it public so that (a) those who use the code can audit it for these problems, (b) those that are angry at the story can take other actions, (c) if it is not true, those who are being accused can defend themselves.

Ne parla anche ItWire, tra l’altro…

Staremo a vedere, ma nel frattempo, al solito, estote parati…

Autore:

Il nuovo sito di Confindustria è un colabrodo

Uno pensa che dopo anni di sicurezza informatica, dopo minchiate galattiche sparse per il mondo che dovrebbero aver insegnato qualcosa di Web Application Security, una PRIMARIA SOCIETA’ INTERNAZIONALE di sviluppo impari ad andare in bicicletta senza le rotelle. E invece no. Andate al nuovo sfavillante Sito di Confindustria… Ci siete? perfetto! La vedete la bella […]