Backdoor governative dentro lo stack IPSec di OpenBSD

Backdoor governative dentro lo stack IPSec di OpenBSD

15 Dicembre 2010

Altro grattacapo epico per la sicurezza di OpenBSD (e di tutti gli OS Unix che utilizzano lo stack IPSec), dopo la famosa figuraccia riguardante OpenSSH di qualche anno fa (che personalmente non ha fatto altro che confermare il fatto che ostico, brutto, scomodo, rigido e Theo de Raadt non significhino automaticamente “sicuro”).

La notizia bomba viene proprio dal più grande fautore di oBSD, ovvero Theo de Raadt in persona, che, dopo aver avuto uno scambio di mail con vecchi sviluppatori (2000-2001) di oBSD, che non sentiva da più di 10 anni, viene a conoscenza della volontà del governo US di inserire delle backdoor dello stack di rete di IPSec tramite alcuni sviluppatori open-source. Theo continua dicendo che lo stack da allora è cambiato moltissimo ed è stato incluso in decine di distribuzioni e software diversi, e che allo stato attuale è molto difficile dire se questa cosa è stata fatta ed ha avuto o no ripercussioni, ma che ha voluto informare la comunità per permettergli di tenere gli occhi “aperti” su eventuali pezzi di codice, che fino ad oggi, erano insospettabili (questo dimostra come Open Source non sempre significhi trasparenza, e lo dico essendone un grande, ma realista, sostenitore).

La mail alla community si conclude parlando di etica:

Of course I don’t like it when my private mail is forwarded. However
the “little ethic” of a private mail being forwarded is much smaller
than the “big ethic” of government paying companies to pay open source
developers (a member of a community-of-friends) to insert
privacy-invading holes in software.

La lettera completa, compresa del messaggio dello sviluppatore si può leggere qui.

Che dire? Io diffido sempre e comunque da chi vuole “venderti” un sistema sicuro in scatola , e non è la prima volta che oBSD mostra il fianco a problematiche piuttosto pungenti, perdendo quindi, molta della sua “aurea” di sicurezza e credibilità (che personalmente è sempre stata meno di 0).

Bazingato via FB da lorim

eagle1

Hoster (ormai a fondo perduto) di Lega Nerd. Sysadmin UNIX. Owner di third eYe consulting. Cattivo dentro.
Aree Tematiche
Opensource Software
Tag
mercoledì 15 dicembre 2010 - 18:01
Edit
LN Panic Mode - Premi "P" per tornare a Lega Nerd