skip to main | skip to sidebar
21 commenti

Cimici digitali dell’FBI in OpenBSD?

Davvero l'FBI ha messo cimici nel software libero OpenBSD (e nel Mac)?


Un'accusa pesante: l'FBI avrebbe infilato delle vere e proprie “cimici digitali” nel sistema operativo OpenBSD e la cosa potrebbe avere ripercussioni anche su altri sistemi operativi, come per esempio Mac OS X di Apple. Lo afferma una mail del programmatore ed ex consulente dell'FBI Gregory Perry, inviata a Theo de Raadt, capo del progetto OpenBSD, un sistema operativo simile a Unix, aperto e liberamente scaricabile, celebre fra gli appassionati per la sua qualità e sicurezza, tanto da vantare il record invidiabile di due sole falle gravi in dieci anni.

OpenBSD è appunto open: tutto il suo contenuto, il codice sorgente, è pubblico e verificabile, e questo viene interpretato di solito come garanzia di sicurezza e trasparenza. Ma la mail di Perry dice che l'FBI pagò vari sviluppatori del software (e Perry ne fa i nomi) per inserire delle backdoor (accessi segreti) in OpenBSD, specificamente nel suo stack IPSEC, una parte fondamentale per la cifratura e protezione delle reti private virtuali (VPN).

Se fosse vero, sarebbe uno smacco fortissimo per OpenBSD, che ha sempre fatto della sicurezza il proprio vanto principale, ma in generale per uno dei principi fondamentali dell'open source, secondo il quale se il codice è pubblico non può contenere trappole.

Va chiarito subito che per ora si tratta soltanto di un'accusa di cui mancano conferme, anche se una fonte FBI ha Twitterato "esperimento sì, successo no", vale a dire che l'FBI ci ha provato ma non c'è riuscita. O almeno così dice.

L'esame del codice è già in corso e finora non ha trovato tracce di manomissioni o backdoor. Va anche detto che la presunta infiltrazione dell'FBI risalirebbe a dieci anni fa, e in dieci anni lo stack IPSEC di OpenBSD ha subito grandi evoluzioni, quindi di quelle "cimici" oggi potrebbe non essere rimasto nulla.

La faccenda, però, non riguarda solo OpenBSD, che è comunque un prodotto abbastanza di nicchia (ma molto usato per i siti Web). Il codice incriminato è stato in parte riutilizzato in altri sistemi operativi, compreso Mac OS X, per cui secondo Intego "esiste la possibilità che se sono presenti queste backdoor, ne possa essere affetto Mac OS X" e che lo stesso valga per "altre suite e framework di sicurezza in vari sistemi operativi". Sempre Intego sottolinea che al momento "non c'è motivo di non usare una VPN su Mac OS X; se esistono queste backdoor, sono probabilmente accessibili soltanto all'FBI (o ad altre agenzie di sicurezza) e a meno che temiate che queste agenzie acquisiscano le informazioni che trasmettete su una VPN, siete probabilmente al sicuro."

Non so quanto siano davvero rassicuranti queste parole, ma c'è una cosa importante da sottolineare a chi pensa che questa possa essere una sconfitta per la filosofia open source: è solo grazie alla disponibilità pubblica del codice sorgente che si può verificare se quest'accusa è vera o no. Gli altri sistemi operativi, quelli che non divulgano il proprio codice, non consentono di sapere cosa c'è dentro.

Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (21)
credo che la considerazione finale sia la parte più importante di tutto l'articolo.
si spera sempre che la gente acquisisca la consapevolezza che non esistono sistemi inviolabili e questi esempi non li reputerei così devastanti per l'Open Source in generale o per OpenBSD, piuttosto andrebbero considerati per quello che sono, ovvero effetti dovuti alla corruttibilità del genere umano.
scommetto che gli svluppatori sono già al lavoro per mettere a punto qualche sistema in grado di impedire alla fonte questo tipo di "infiltrazioni esterne"...
tutta la tecnologia e le innovazioni nascono da falle e nuove necessità, se non ce ne fossero non ci sarebbe evoluzione.
Refuso: prodottoabbastanza
Non solo, ma se ben ricordo parti dello stack TCP/IP (che si occupa delle connessioni di rete a livello di protocollo) di Windows Vista sono basate sul codice di openBSD. Speriamo non IPSEC.

La cosa strana è che in un sistema open queste backdoor non siano mai saltate fuori, anche se OpenBSD è gestito in modo un pò particolare, le modifiche al codice devono essere approvate specificatamente dai coordinatori del progetto prima di poter essere pubblicate.
Che poi nulla vieterebbe all'FBI di pagare Microsoft per fare la stessa cosa; solo che, come giustamente dice Paolo, anche se poi saltasse fuori, non si potrebbe controllare e vivremmo per sempre col terrore che qualcuno ci spii.

Insomma, se dovete organizzare una rapina, fatelo davanti a una birra e parlatevi faccia a faccia! :^D
Non è questione di pagare Microsoft (o qualsiasi altra software house), essendo i principali sistemi operativi "commerciali" closed source (si, anche UNIX) nessuno potrebbe notare la presenza delle backdoor.

La cosa che stupisce è che in un sistema open che tra l'altro fa della sicurezza un proprio punto di forza ci siano delle backdoor di cui nessuno si è accorto (magari scambiandole per bug) o che, se sono state scoperte, sono state tenute segrete... E sarebbe una cosa gravissima proprio perchè come fa notare Paolo, cadrebbero alcuni dei "pilastri" dell'Open Source: il fatto che "più gente può vedere il codice, più gente può trovare i difetti" e che "i sistemi open source sono più sicuri perchè puoi saprere sempre cosa fa il programma".
@Paolo

anche se una fonte FBI ha Twitterato

Il link alla fonte del FBI porta a una pagina vuota e anche nell'articolo che hai pubblicato sul sito della Rete 3 non funziona.
Trovato il link:

http://myloc.me/show.php?id=fiubs

I was one of the few FBI cyber agents when the coding supposedly happened. Experiment yes. Success No.

Ma chi ci dice che lui è chi dice di essere ?

;)
@il Lupo della Luna
Meglio che ti verifichi le informazioni che hai scritto nel post riguardante al codice dello stack TCP/IP di Vista.
Dieci anni si dicevano le stesse cose, cioè che lo stack TCP/IP di Windows NT/2000 fosse stato copiato da FreeBSD, e tale cosa era già stata un pò esaltata:
http://www.kuro5hin.org/story/2001/6/19/05641/7357

Probabilmente il vedere una nota di copyright negli eseguibili ping.exe o tracert.exe, avrà spinto a dire 'hanno copiato il codice spudoratamente'.

"La cosa strana è che in un sistema open queste backdoor non siano mai saltate fuori,"
Due anni fa era stata scoperta una grave vulnerabilità nel kernel Linux perché nel codice, anziché "=" c'era un "==" (anziché una verifica, un assegnamento).
E quattro anni fa era stata scoperta in Samba una vulnerabilità vecchia di 10 anni.
Insomma, non vedo cosa ci sia di "strano", visto che la scoperta di queste vulnerabilità pesanti è già avvenuta.

"OpenBSD è gestito in modo un pò particolare, le modifiche al codice devono essere approvate specificatamente dai coordinatori del progetto prima di poter essere pubblicate."
Mi domando chi ti abbia detto che è "particolare", visto che il suo sviluppo non differisce molto da altri progetti:
http://www.openbsd.org/why-cvs.html
Gli altri sistemi operativi, quelli che non divulgano il proprio codice, non consentono di sapere cosa c'è dentro.

Ho letto qualche settimana fa un bel libro di reverse engineering... e mi è ventuta un po' di nostalgia dei mitici anni '90!
Sinceramente non è un campo che ho molto approfondito allora... dopo un po' ho lasciato perdere, adesso ricordo ancora molte tecniche ma oggi, sinceramente, il mondo è cambiato e non sarei più in grado di fare nulla.
Bene! Comunque mi sa che tu sottovaluti il reverse engineering :-)

anche perché credo sia più semplice capire che cosa fa un programma binario piuttosto che capire che cosa fanno i sorgenti di ipsec!

:-)
Link sistemato qui e là, grazie Motogio.
@Claudio Fe

Meno arroganza ;-)
Strano che non si parli di Linux. C'è sempre stato odio tra utenti OpenBSD e utenti Linux, anche se non ho mai capito le ragioni. Può darsi che questa notizia sia stata divulgata per buttare fango su *BSD e far sì che le aziende investano più su Linux. Ricordiamoci che da poco Microsoft ha acquisito Novell.
La Microsoft NON ha comprato Novell. Ha un accodo con Novell per comprare alcuni suoi brevetti.

fonte
@Paolo

Link sistemato qui e là

Purtroppo non funziona ancora, ne qui ne la.

Twitter dice: "Ci spiace ma questa pagina non esiste!"
Purtroppo non funziona ancora, ne qui ne la.

A me risulta funzionare.

Tinyurl: http://tinyurl.com/2uguuk7

Link diretto (da ricomporre): http:// twitter.com/#!/ejhilbert/
status/14891845825863680
@Nexso
"Recentemente", tipo 3-4 anni fa ?
Non cerchiamo "coincidenze" che non sono successe.
Comunque la mail che ha dato il via al caso è stata _pubblicata_ da Theo de Raadt, il capo del progetto OpenBSD; non proprio vicino al mondo linux.

"Strano che non si parli di Linux"
Quando viene scoperta una vulnerabilità in Apache, bisogna parlare anche di Linux ?

@theDRaKKaR
Hai ragione, rileggendo ho visto il tono polemico che non serviva a nulla.
E me ne scuso, soprattutto con Il Lupo della Luna
A me risulta funzionare.

Tinyurl: http://tinyurl.com/2uguuk7


Anche copiando l'indirizzo Twitter continua a cinguettare che "questa pagina non esiste!"

Nessun altro ha provato?
@motogio
Il link con tinyurl non mi va. Però http://twitter.com/ejhilbert/status/14891845825863680
mi funziona
@Claudio Fe

Grazie; non avevo capito cosa dovevo ricomporre nel secondo link di Paolo.

Mistero risolto

;)
@Claudio Fe: dire che il codice di Vista è basato su BSD non equivale a dire che "è stato copiato", ma che può essere stato usato tranquillamente col permesso degli sviluppatori originari. Ora, non so cosa preveda la licenza BSD in caso di inclusione di codice in un progetto non open source, ma immagino che sia possibile. D'altra parte, se un lavoro è buono e funziona, non vedo proprio perchè io programmatore debba reinventare la ruota e non possa riutilizzarlo.

A quella stregua allora anche OSX è "copiato da BSD" per via di Darwin (che è BSD based)..


Cosa ci sia di strano nel non trovare delle backdoor in un pacchetto che si occupa di crittografia? Mah, se il mio OS è improntato alla sicurezza, qualcosa di strano direi che c'è.

Mi risulta (e magari mi risulta male) che chiunque può crearsi una propria distribuzione di Linux (basandola ad esempio su Debian) aggiungendo o modificando il codice a suo piacimento e pubblicarla senza farlo presente a chi cura la distrubuzione principale.
Se ho ben capito questo con openBSD non succede (infatti c'è FreeBSD, che tra l'altro è stato il mio primo sistema "alternativo" a Windows).

"Gli altri sistemi operativi, quelli che non divulgano il proprio codice, non consentono di sapere cosa c'è dentro."
Il che non fa una gran differenza, dato che anche potendo sapere cosa c'è dentro questa backdoor (sempre che ci sia) non sarebbe saltata fuori se l'ex agente non avesse detto che c'era.

E poi, come fa notare Federico, c'è sempre modo di sapere, quantomeno con buona approssimazione "cosa c'è dentro" un software. Se non si potesse non si potrebbero sfruttare le vulnerabilità dei software per farci cose impreviste. E sarebbe meglio.
@Il Lupo della Luna
"dire che il codice di Vista è basato su BSD non equivale a dire che "è stato copiato", ma che può essere stato usato tranquillamente col permesso degli sviluppatori originari."
Infatti io non ho detto che è stato copiato per Vista, ma ho ricordato cosa si diceva nel 2000, facendo un parallelo con il presente.
E volevo quindi concludere che anche stavolta l'affermazione "il codice è basato", può essere poco realistica.

"Ora, non so cosa preveda la licenza BSD in caso di inclusione di codice in un progetto non open source, ma immagino che sia possibile."
Si può andare a leggersi la licenza BSD e vedere cosa dice. E già si scopre che non c'è "la" licenza BSD.
http://tinyurl.com/42zef
http://en.wikipedia.org/wiki/BSD_licenses

Ecco un esempio, che comprende la licenza "2-terms"
http://tinyurl.com/2b29dao

In ogni caso, è riconosciuto che con quella famiglia di licenze, il codice può essere incluso in progetti closed source e rivenduto.

"Cosa ci sia di strano nel non trovare delle backdoor in un pacchetto che si occupa di crittografia? Mah, se il mio OS è improntato alla sicurezza, qualcosa di strano direi che c'è."
Immagino che nei sorgenti non abbiano scritto cose del genere
/* Here start 14th backdoor in ipsec stack */

Ma cose decisamente più sottili.
Nella mail si accenna a attacchi "side channel key leaking", un buon esempio di cosa intendo.
In 10 anni queste vulnerabilità possono anche essere state riconosciute, ovviamente non come intenzionali, e corrette.
Ti ho dato anche un esempio di come una cosa apparentemente insignificante possa avere gravi conseguenze.

"Mi risulta (e magari mi risulta male) che chiunque può crearsi una propria distribuzione di Linux (basandola ad esempio su Debian) aggiungendo o modificando il codice a suo piacimento e pubblicarla senza farlo presente a chi cura la distrubuzione principale.
Se ho ben capito questo con openBSD non succede (infatti c'è FreeBSD, che tra l'altro è stato il mio primo sistema "alternativo" a Windows)."
Perché non potrebbe succedere ? Perché avrebbe così tanta importanza l'esistenza di freebsd ?
Oenbsd deriva da netbsd. E 8 anni fa era stato creato mirBSD, partendo da openbsd. Ekkobsd aveva anche lui le stesse origini.
Perché non dovrebbe succedere con openbsd ?