OpenBSD chief says government contractor tried to write backdoors
Netsec 'was probably contracted' to write code giving secret access
By Robert McMillan | IDG News Service | Published 08:38, 22 December 10
Bài được đưa lên Internet ngày: 22/12/2010
Lời người dịch: Lãnh đạo của hệ điều hành nguồn mở OpenBSD nghi ngờ có công ty ký hợp đồng với chính phủ Mỹ để viết các cửa hậu nhằm đưa vào trong cây mã nguồn của OpenBSD. Tuy nhiên, cựu nhân viên của Cục Điều tra Liên bang Mỹ, E.J. Hilbert, đã nói rằng: “sự phát triển của một phần mềm nguồn mở với các cửa hậu trong đó là hoàn toàn ngu xuẩn, vì đó là nguồn mở”. Nếu FBI đã tạo ra những cửa hậu trong OpenBSD thì nó cũng có thể tương đương với việc trao cho bọn tội phạm một cách thức để thâm nhập vào các hệ thống OpenBSD, Hibbert nói. “Mọi người trên thế giới này sẽ nhìn vào nó và tìm thấy chúng”. Điều này thực sự đáng để chúng ta suy nghĩ, biết rằng có những thông tin cho rằng Windows có những cửa hậu của các cơ quan an ninh Mỹ để lại trong đó và vụ việc Stuxnet vừa qua còn để ngỏ câu hỏi liệu 4 lỗi “ngày số 0” mà dựa vào đó tin tặc tấn công các nhà máy của Iran đã không bị phát hiện trong khoảng 1 năm có phải là sự “cố tình” mở cửa hậu trong Windows hay không?
Lập trình viên hàng đầu của hệ điều hành OpenBSD nói rằng ông tin tưởng rằng một hãng ký hợp đồng với chính phủ đã đóng góp mã nguồn vào dự án của ông “có thể đã ký hợp đồng để viết các cửa hậu”, mà có thể trao sự truy cập bí mật tới những giao tiếp truyền thông được mã hóa.
Được đưa lên danh sách thảo luận của OpenBSD hôm thứ ba, Theo de Raadt đã nói rằng trong khi bây giờ ông tin tưởng rằng một công ty gọi là Netsec có thể đã có liên quan trong các cửa hậu, thì ông không nghĩ rằng bất kỳ phần mềm nào như vậy được đưa vào cơ sở mã nguồn của OpenBSD.
Sự tranh cãi đã bắt đầu từ tuần trước, sau khi cựu CEO của Netsec Gregory Perry đã gửi thư điện tử cho de Raadt với tư cách cá nhân, để cảnh báo ông rằng có thể có những lỗi 10 năm tuổi trong phần mềm mà OpenBSD sử dụng cho những giao tiếp truyền thông an ninh. Perry nói rằng mã của cửa hậu đã được phát triển như một cách thức cho Văn phòng Thanh tra Liên bang Mỹ giám sát các giao tiếp truyền thông được mã hóa trong Bộ Tư pháp Mỹ.
de Raadt của OpenBSD đưa bức thư điện tử này ra công khai, nói ông thà muốn toàn bộ vấn đề được băm ra một cách công khai, và trong khi không ai tiến lên trước để ủng hộ những lý lẽ của Perry (hoàn toàn ngược lại - 2 người đã đặt tên trong thư của mình đã nói những lý lẽ đó là sai), những phần mà Perry đã kêu đã kiểm tra.
The lead developer of the OpenBSD operating system says that he believes that a government contracting firm that contributed code to his project "was probably contracted to write backdoors," which would grant secret access to encrypted communications.
Posting to an OpenBSD discussion list Tuesday, Theo de Raadt said that while he now believes that a company called Netsec may have been involved in backdoors, he doesn't think that any of this software made it into the OpenBSD code base.
The controversy was kicked off last week, after former Netsec CEO Gregory Perry e-mailed de Raadt privately, to warn him that there might be 10-year-old bugs in the software that OpenBSD uses for secure Internet communications. Perry said that the back door code was developed as a way for the U.S. Federal Bureau of Investigation to monitor encrypted communications within the U.S. Department of Justice.
OpenBSD's de Raadt went public with the e-mail, saying he'd rather the whole matter be hashed out in public, and while no one has come forward to back up Perry's allegations (quite the opposite -- two people named in his e-mail have said the claims are false), parts of what Perry claimed do check out.
Ví dụ, thực sự đã có một nhà thầu về an ninh của chính phủ tên là Netsec. Và như Perry đã nói, một lập trình viên của Netsec có tên là Jason Writght đã không đóng góp cho OpenBSD. “Tôi tin tưởng rằng Netsec có thể được ký hợp đồng để viết các cửa hậu như được nêu”, de Raadt đã nói trên blog của mình. “Nếu những thứ này được viết”, ông bổ sung, “tôi không tin chúng đã đưa nó vào trong cây mã nguồn. Chúng có thể được triển khai như là sản phẩm của riêng họ”.
Theo de Raadt, Wright ban đầu đã làm việc trên các trình điều khiển cho OpenBSD. Một lập trình viên khác của Netsec, Angelos Keromytis, đã viết mã nguồn an ninh mà đã sử dụng các trình điều khiển này, de Raadt nói.
Nếu có một cửa hậu 10 năm trong OpenBSD, thì điều này có thể khó mà xác định, như nó có thể trông chỉ giống như bất kỳ chỗ bị tổn thương về an ninh nào khác. Nhưng nó có thể trao cho bất kỳ ai mà biết về nó cách thức để nghe trộm trong các giao tiếp truyền thông an ninh của Internet - giao thông VPN, ví dụ thế - mà đã sử dụng phần mềm có lỗi này.
For example, there really was a government security contractor called Netsec. And as Perry claimed, a Netsec developer named Jason Wright did make contributions to OpenBSD. "I believe that Netsec was probably contracted to write backdoors as alleged," de Raadt said in his posting. "If those were written," he added, "I don't believe they made it into our tree. They might have been deployed as their own product."
According to de Raadt, Wright worked primarily on drivers for OpenBSD. Another Netsec developer, Angelos Keromytis, wrote security code that used these drivers, de Raadt said.
If there is a 10-year-old back door in OpenBSD, it would be hard to identify, as it would probably look just like any other security vulnerability. But it would give anyone who knew about it a way to eavesdrop on supposedly secure Internet communications -- VPN traffic, for example -- that used the buggy software.
Tuần trước, phản ứng chung đối với Perry là cực kỳ nghi ngại. Theo cựu nhân viên của FBI và nhà điều tra tội phạm máy tính E.J. Hilbert, “sự phát triển của một phần mềm nguồn mở với các cửa hậu trong đó là hoàn toàn ngu xuẩn, vì đó là nguồn mở”, ông nói vào tuần trước. Ông đã gọi Perry là “một cái gai”. Nếu FBI đã tạo ra những cửa hậu trong OpenBSD thì nó cũng có thể tương đương với việc trao cho bọn tội phạm một cách thức để thâm nhập vào các hệ thống OpenBSD, Hibbert nói. “Mọi người trên thế giới này sẽ nhìn vào nó và tìm thấy chúng”.
Vì những tranh cãi của Perry đã được đưa ra công khai, các lập trình viên đã thấy 2 lỗi mới trong OpenBSD, nhưng de Raadt nói hôm thứ ba rằng anh ta nghĩ rằng không có lỗi nào trong số này là một cửa hậu.
Trên thực tế, de Raadt dường như nghĩa rằng toàn bộ sự việc đã giúp cho OpenBSD. “Tôi hạnh phúc rằng mọi người đang nắm lấy cơ hội để kiểm tra một phần quan trọng của cây mã nguồn mà nhiều người đã giả thiết - từ đã quá lâu - sẽ là an toàn như nó có”, ông nói.
Ngoài một lưu ý bằng thư điện tử bổ sung thêm nhiều chi tiết tới những tranh luận của mình, Perry đã không bình luận xa hơn về vấn đề này. Tới hôm thứ ba, người phát ngôn của FBI đã không bình luận gì về vấn đề này. De Raadt đã không trả lời cho các thông điệp tìm kiếm bình luận về câu chuyện này.
Perry là CEO với GoVirtual, một công ty dịch vụ của VMware. Tuy nhiên, khi mã nguồn cửa hậu được cho là đã được đưa vào kho IPsec của OpenBSD, thì CEO của Netsec, nơi đã ký hợp đồng công việc cho FBI. Ông đã nói rằn ông đã tiến lên trước vì hợp đồng không tiết lộ với FBI của ông đã hết hạn.
Last week, the general reaction to Perry was extremely skeptical. According to former FBI agent and computer crime investigator E.J. Hilbert, "the deployment of an open source software with backdoors in it is completely idiotic, because it's open source," he said last week. He called Perry "a nut." If the FBI created back doors in OpenBSD it would be tantamount to giving criminals a way to breaking into OpenBSD systems, Hibbert said. "Everybody in the world is going to be looking at it and finding them."
Since Perry's allegations were made public, developers have found two new bugs in OpenBSD, but de Raadt said Tuesday that he thinks that neither of them is a back door.
In fact, de Raadt seems to think that the whole incident has helped OpenBSD. "I am happy that people are taking the opportunity to audit an important part of the tree which many had assumed -- for far too long -- to be safe as it is," he said.
Except for an e-mail note adding some more detail to his allegations, Perry has not commented further on the matter. Reached Tuesday, an FBI spokesman had no comment on the issue. De Raadt did not respond to messages seeking comment for this story.
Perry is CEO with GoVirtual, a VMware services company. When the backdoor code was allegedly added to OpenBSD's IPsec stack, however, he was CEO of Netsec, which did contract work for the FBI. He has said that he came forward because his FBI nondisclosure agreement has expired.
Dịch tài liệu: Lê Trung Nghĩa
Điều này hoàn toàn có khả năng xảy ra vì license BSD, không như GPL, cho phép đóng kết quả riêng đó lại.
Trả lờiXóaNgười dùng tin tưởng vào FOSS model, vô tình có thể dùng cả đoạn mã riêng đó mà không biết (không phải ai cũng có đủ trình độ để đọc mã nguồn, nhất là của 1 HĐH lớn như OpenBSD)
Tóm lại nếu có nhiều cái mở thì nên tin vào cái mở nhất, và cái đó không gì khác chính là GNU/Linux và các phần mềm phát hành theo GPL.
Thông tin chính xác sau khi "audit" code http://arstechnica.com/open-source/news/2010/12/openbsd-code-audit-uncovers-bugs-but-no-evidence-of-backdoor.ars
Trả lờiXóa