Backdoor governative dentro lo stack IPSec di OpenBSD

LEGANERD 035554

Altro grattacapo epico per la sicurezza di OpenBSD (e di tutti gli OS Unix che utilizzano lo stack IPSec), dopo la famosa figuraccia riguardante OpenSSH di qualche anno fa (che personalmente non ha fatto altro che confermare il fatto che ostico, brutto, scomodo, rigido e Theo de Raadt non significhino automaticamente “sicuro”).

La notizia bomba viene proprio dal più grande fautore di oBSD, ovvero Theo de Raadt in persona, che, dopo aver avuto uno scambio di mail con vecchi sviluppatori (2000-2001) di oBSD, che non sentiva da più di 10 anni, viene a conoscenza della volontà del governo US di inserire delle backdoor dello stack di rete di IPSec tramite alcuni sviluppatori open-source. Theo continua dicendo che lo stack da allora è cambiato moltissimo ed è stato incluso in decine di distribuzioni e software diversi, e che allo stato attuale è molto difficile dire se questa cosa è stata fatta ed ha avuto o no ripercussioni, ma che ha voluto informare la comunità per permettergli di tenere gli occhi “aperti” su eventuali pezzi di codice, che fino ad oggi, erano insospettabili (questo dimostra come Open Source non sempre significhi trasparenza, e lo dico essendone un grande, ma realista, sostenitore).

La mail alla community si conclude parlando di etica:

Of course I don’t like it when my private mail is forwarded. However
the “little ethic” of a private mail being forwarded is much smaller
than the “big ethic” of government paying companies to pay open source
developers (a member of a community-of-friends) to insert
privacy-invading holes in software.

La lettera completa, compresa del messaggio dello sviluppatore si può leggere qui.

Che dire? Io diffido sempre e comunque da chi vuole “venderti” un sistema sicuro in scatola , e non è la prima volta che oBSD mostra il fianco a problematiche piuttosto pungenti, perdendo quindi, molta della sua “aurea” di sicurezza e credibilità (che personalmente è sempre stata meno di 0).

Bazingato via FB da lorim

Social distancing: IIT e Aereoporto di Genova sperimentano un software di controllo
Social distancing: IIT e Aereoporto di Genova sperimentano un software di controllo
Microsoft aquisirà GitHub?
Microsoft aquisirà GitHub?
ColorPiano: una sinestesia digitale a base di LEGO e tecnologie Web
ColorPiano: una sinestesia digitale a base di LEGO e tecnologie Web
SBrick.js: Robotica semplificata grazie a LEGO, SBrick e Web Bluetooth
SBrick.js: Robotica semplificata grazie a LEGO, SBrick e Web Bluetooth
Facebook porta internet in tutto il mondo con OpenCellular
Facebook porta internet in tutto il mondo con OpenCellular
Toonz Ghibli Edition diventa gratis e open source
Toonz Ghibli Edition diventa gratis e open source
Lego plays Ruzzle: retroscena della nascita di un robot
Lego plays Ruzzle: retroscena della nascita di un robot