Una Backdoor di FBI in OpenBSD?

Se vogliamo credere ad un ex-consulente, l’FBI avrebbe piazzato una o più backdoor all’interno del codice IPsec di OpenBSD:

http://cryptome.org/0003/fbi-backdoors.htm

http://punto-informatico.it/3056481/PI/News/openbsd-backdoor-dell-fbi.aspx

http://blogs.csoonline.com/1296/an_fbi_backdoor_in_openbsd

Se questo fosse vero, dimostrerebbe che il codice dei progetti Open Source NON viene ispezionato e verificato con la dovuta attenzione. Questo sarebbe estremamente grave perché la verifica continua del codice da parte degli utenti e degli sviluppatori viene considerata una delle ragioni principali di superiorità del software Open Source su quello commerciale. Più esattamente, viene considerata LA principale ragione per adottare software Open Source (e specialmente di OpenBSD) per applicazioni critiche.

Allora, sarà vero?

Chi ispeziona il codice?

Nel caso specifico di OpenBSD, c’è un apposito team di 6 – 12 persone che esamina ininterrottamente il codice:

http://openbsd.org/security.html

Più in generale, le aziende che utilizzano codice Open Source per applicazioni di questo genere (ad esempio sui router) lo controllano prima di installarlo. La ragione dei controlli è che non vogliono dover ritirare dei prodotti e/o fare delle figure barbine coi clienti.

Quando viene scoperto qualche baco, viene segnalato a chi gestisce il codice a monte, cioè al team di sviluppo ed a chi si occupa del packaging.

Ma il codice viene ispezionato davvero?

Beh, per verificarlo basta vedere il registro dei bachi scoperti e registrati nel corso degli anni:

http://openbsd.org/query-pr.html

Un’altra fonte di informazioni sono le mailing list:

http://openbsd.org/mail.html

L’impressione (molto personale) è che il codice venga sistematicamente “masticato” e rimaneggiato da molte persone e che quindi un baco di queste dimensioni NON sarebbe riuscito a passare inosservato.

Oltre ai “buoni”, ci sono poi i “cattivi” di cui bisogna tenere conto: ogni giorno migliaia di “hacker” (o, meglio, “cracker”) e di specialisti di InfoSec cercano vulnerabilità “0 day” all’interno del codice Open Source.

I loro risultati vengono poi fieramente pubblicati su vari siti come:

http://www.securiteam.com/exploits/archive.html

http://www.exploit-db.com/

http://osvdb.org/

http://packetstormsecurity.org/files/tags/exploit/

Insomma: di gente che rovista nel codice Open Source in cerca di guai ce n’è davvero parecchia.

Precedenti

Va anche detto che il rischio che qualcuno tenti di piazzare del codice malevolo all’interno di qualche programma Open Source è ben noto da molti anni. In realtà, questo rischio è la ragione per cui il software da ormai dieci anni viene raccolto in appositi “repository” e viene firmato crittograficamente. Non si installa più nulla che non provenga da un repository certificato e che non sia stato accuratamente controllato dal team di sviluppo e dai packager.

In particolare, alcuni anni fa qualcuno è effettivamente riuscito a piazzare una versione “taroccata” di alcuni programmi Open Source nei repository di una nota distribuzione Linux. Questo tentativo è stato però scoperto in meno di 24 ore e da allora tutto il software che viene installato su sistemi Linux è firmato crittograficamente.

Un approccio simile viene ormai seguito da tutti gli operatori (inclusi i vari BSD e persino Microsoft).

Conclusioni

Insomma, no: non è possibile che un baco grosso come una backdoor sia passato inosservato per oltre dieci anni all’interno di un sistema utilizzato su larga scala da professionisti dell’informatica come OpenBSD.

Qualcuno (specialmente i “cattivi”) se ne sarebbe già accorto da tempo ed avrebbe sfruttato questa possibilità contribuendo a renderla visibile.

Alessandro Bottoni

L’immagine di copertina è coperta da liceza CC e proviene da qui:

flickr.com/photos/samuel_k/76542117/

Comments
One Response to “Una Backdoor di FBI in OpenBSD?”

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: