Грегори Перри, бывший технический директор NETSEC, в письме к
руководителю проекта BSD Тео де Раадту сообщил, что разработчики NETSEC
помогли ФБР встроить множество лазеек в криптографическую подсистему
OpenBSD примерно десять лет назад.
Перри говорит, что срок его
соглашения с ФБР о неразглашении истёк, что и позволило, наконец,
сообщить сведения разработчикам OpenBSD. Он также делает предположение,
что «чёрные ходы» ФБР сыграли свою роль в решении DARPA (Министерство
обороны США) отозвать в 2003 году грант OpenBSD на миллионы долларов.
«Я
хочу проинформировать вас о том, что ФБР реализовало ряд лазеек и
обходных путей для обеспечения утечки ключей из криптосистемы OpenBSD с
целью мониторинга системы шифрования каналов VPN», – пишет Перри. –
«Вероятно, это также стало причиной потери финансирования со стороны
DARPA – они просто не хотели создавать производные продукты, основанные
на дырявом коде».
Письмо стало достоянием общественности после
того, как де Раадт перенаправил его в список рассылки OpenBSD для
мотивации разработчиков, которые будут искать уязвимости в коде. Во
избежание обвинений в причастности к «заговору», де Раадт сообщил, что
не станет сам заниматься данным вопросом. Некоторые разработчики уже
начали процесс аудита стека IPsec в OpenBSD.
«Утверждается,
что некоторые бывшие разработчики (и компании, в которых они работали)
получили деньги от правительства США, чтобы встроить лазейки в наш
сетевой стек», – пишет де Раадт. – «Когда мы сделали наш стек IPsec
доступным для свободного скачивания, многие продукты использовали его в
качестве основы. За 10 лет код IPsec был неоднократно модифицирован и
исправлен, поэтому истинный масштаб проблемы пока неизвестен».
Разработчики
OpenBSD часто хвалятся системой безопасности своего проекта, считая ещё
лучшей в мире. И если обвинения Перри оправдаются, то проект получит
самый серьёзный имиджевый удар за всю свою историю.
Подобное
сотрудничество правительственных организаций с разработчиками
программных продуктов не ново, но всё равно вызывает требогу. Вполне
возможно, что существует ещё множество платформ, незамеченные лазейки в
которых оставлены специально. Впрочем, пока ещё рано судить OpenBSD –
сообщество только начало работу по анализу кода.