miércoles, 15 de diciembre de 2010

Agregó el FBI puertas-traseras en la implementación de IPSEC de OpenBSD

En la mañana recibí la noticia vía alguna de las listas a las que estoy suscrito (alguien inicio el hilo). Dejé que pasara un tiempo prudencial revisando en noticias y varios sitios que publican información relativa. Ya en la tarde salió el artículo en OsNews, y parece que este asunto solo acaba de empezar.
El caso es que el líder del proyecto OpenBSD Theo de Raadt, acaba de recibir un correo de Gregory Perry en el que lo pone sobre aviso al respecto de supuestos mecanismos de puertas traseras (backdoor) desarrollados e incluidos en el stack de IPsec de OpenBSD por ....... el FBI!. 

La posición de De Raadt está como sigue:
... me rehúso a formar parte de tal conspiración, y no le hablaré a Gregory Perry acerca de esto, de modo que lo haré público de manera que:
(a) Aquellos que utilicen el código puedan auditarlo debido a estos problemas.
(b) Aquellos que están molestos por causa de esta historia puedan tomar otras acciones.
(c) Si la historia no es cierta, los que están siendo acusados se puedan defender.
De todas maneras, creo que están manejando la situación tan mesuradamente como les es posible y Daniel Miller, Jason Nixon, Stuart Henderson y el propio Scott Lowe, ya han hecho algunos comentarios. 
Este último (Lowe) ya dijo que "Perry está equivocado y que el nunca ha estado afiliado o en ninguna nómina del FBI o ninguna otra agencia gubernamental y que además no ha contribuido con una sola línea de código al OpenBSD y que si abogó por su uso es porque finalmente aprecia el proyecto, nada mas". Luego de eso no ha sido posible contactar con Perry. Todo es muy confuso, pero de eso se trata, de nuevo, creo que solo comienza. Les incluyo debajo el correo de Perry para su consideración.
  
.....Hola Theo,

Mucho tiempo sin hablar.  Recordarás, que hace tiempo funjí como director de tecnología de 
NetSec y conseguí financiación y donaciones para el framework de cifrado de OpenBSD (FCO) 

 Al mismo tiempo también hice alguna labor de consultoría para el FBI, 
para su Centro de Soporte Técnico de GSA, que implemento un proyecto de ingenieria inversa de cifrados que tenia como objetivo 

trabajos relativos a sistemas de puertas-traseras y la implementación de mecanismos de protección de claves para tarjetas inteligentes y otras tecnologías de computación basadas en hardware.

Mi CND con el FBI acaba de expirar, y quería advertirte del hecho de que el FBI implementó un numero de mecanismos de puertas-traseras 
y de claves de filtración en canales alternos en el FCO, con el propósito expreso de 

monitorear el sistema de cifrado sobre VPN punto a punto 

implementado por EOUSA, la organización matriz del FBI.  Jason

Wright y varios otros desarrolladores fueron los responsables de la implementación 
de estas puertas-traseras, y usted haría bien en examinar todas y cada código 

contribuido por Wright, así como los otros desarrolladores con los que trabajó 

procedentes de NetSec.

Esto también es probablemente la razón por la que perdió su financiación de DARPA, que

probablemente notaron la existencia de estas puertas-traseras 
y no quieren crear ningún producto derivado basado 

sobre lo mismo

Esta es también la razón por varias personas en el interior del FBI han abogado recientemente 

por el uso de OpenBSD para VPN e implementaciones de cortafuegos 

en entornos virtualizados, por ejemplo, Scott Lowe que es un muy 

respetado autor en los círculos de virtualización y ademas esta en la nomina del FBI

ha publicado recientemente varios tutoriales 
para el uso de máquinas virtuales de OpenBSD en despliegues empresariales de Vware vSphere..........



Veremos que sucede en los días que siguen, por lo pronto el gobierno de EU no ha salido de una y ya está entrando en la otra.