本月初有人聲稱FBI要求在OpenBSD的IPsec棧中加上后門。在審核完代碼后,OpenBSD的創建者Theo de Raadt得出如下結論:在這個開源操作系統中并不存在這種威脅。
軟件工程師Theo de Raadt是OpenBSD與OpenSSH項目的創建者,他近日說收到了來自于Gregory Perry的一封私人郵件,Gregory Perry是NETSEC的前CTO,負責資助OpenBSD Crypto Framework,同時還在2000——2001期間擔任FBI的咨詢師。Perry聲稱有些開發者在OpenBSD的IPsec棧中加入了大量后門,這是根據FBI的要求做的,以此作為交換來獲得FBI的資助:我與FBI簽訂的保密協議前不久到期了,我希望你能認清這樣一個事實:FBI向OCF中加入了大量后門和攻擊泄漏機制,目的是為了監控EOUSA實現的站點到站點之間的VPB加密系統,EOUSA則是FBI的上一層組織。Jason Wright和其他幾位開發者負責實現這些后門,我建議你最好檢查一下Wright和其他幾位曾供職于NETSEC的開發者提交的所有代碼。
de Raadt將這封郵件發給了Gmane新聞組,并邀請IPsec代碼的用戶對其進行檢查以確認這種說法是否屬實:自從我們免費發布了IPSEC棧后,很多項目/產品都使用了其中的大量代碼。十年內,IPSEC代碼經歷了很多變化與修復,因此現在很難確認這些說法的真實性。
這則新聞出現在很多新聞站點上,人們開始懷疑美國政府一直在監測計算機之間的通信。一周后,de Raadt就這個問題發表了調查結果。他相信“NETSEC可能像傳言所說的那樣編寫了后門”,但“如果他們真的寫了的話,我不相信他們會加到我們的系統當中,他們可能將其部署到了自己的產品中“。根據Raadt所述,在審查過程中發現了兩個嚴重的Bug,一個與Cipher-Block Chaining(CBC) Oracle攻擊有關。
Gregory Perry在信中所提到的編寫后門的開發者之一Jason L. Wright否認了他這種說法:我要說的是我并沒有向OpenBSD操作系統和OpenBSD Crypto Framework(OCF)中添加后門。我在工作中所接觸的代碼只與支持框架的設備驅動有關。我自己根本就沒有碰過isakmpd和photurisd(用戶密鑰管理程序),我也很少接觸ipsec內核(cryptodev與cryptosoft)。但我歡迎大家審核我向OpenBSD提交的一切代碼。
最后的結論就是OpenBSD中并沒有后門,但這個事件提醒某些開發者要再一次檢查自己的代碼。
原文鏈接:http://os.51cto.com/art/201012/241115.htm