OpenBSDchief says government contractor tried to write backdoors

Netsec 'was probablycontracted' to write code giving secret access

By Robert McMillan | IDGNews Service | Published 08:38, 22 December 10

Theo:http://www.computerworlduk.com/news/open-source/3254444/openbsd-chief-says-government-contractor-tried-to-write-backdoors/

Bài được đưa lênInternet ngày: 22/12/2010

Lờingười dịch: Lãnh đạo của hệ điều hành nguồn mởOpenBSD nghi ngờ có công ty ký hợp đồng với chính phủMỹ để viết các cửa hậu nhằm đưa vào trong cây mãnguồn của OpenBSD. Tuy nhiên, cựu nhân viên của Cục Điềutra Liên bang Mỹ, E.J. Hilbert, đã nói rằng: “sự pháttriển của một phần mềm nguồn mở với các cửa hậutrong đó là hoàn toàn ngu xuẩn, vì đó là nguồnmở”. Nếu FBI đã tạo ra những cửa hậu trong OpenBSDthì nó cũng có thể tương đương với việc trao cho bọntội phạm một cách thức để thâm nhập vào các hệthống OpenBSD, Hibbert nói. “Mọi người trên thế giớinày sẽ nhìn vào nó và tìm thấy chúng”. Điều này thựcsự đáng để chúng ta suy nghĩ, biết rằng có nhữngthông tin cho rằng Windows cónhững cửa hậu của cáccơ quan an ninh Mỹ để lại trong đó và vụ việcStuxnetvừa qua còn để ngỏ câu hỏi liệu 4 lỗi “ngày số 0”mà dựa vào đó tin tặc tấn công các nhà máy của Iranđã không bị phát hiện trong khoảng 1 năm có phải là sự“cố tình” mở cửa hậu trong Windows hay không?

Lập trình viên hàngđầu của hệ điều hành OpenBSD nói rằng ông tin tưởngrằng một hãng ký hợp đồng với chính phủ đã đónggóp mã nguồn vào dự án của ông “có thể đã ký hợpđồng để viết các cửa hậu”, mà có thể trao sựtruy cập bí mật tới những giao tiếp truyền thông đượcmã hóa.

Được đưa lên danhsách thảo luận của OpenBSD hôm thứ ba, Theo de Raadt đãnói rằng trong khi bây giờ ông tin tưởng rằng một côngty gọi là Netsec có thể đã có liên quan trong các cửahậu, thì ông không nghĩ rằng bất kỳ phần mềm nào nhưvậy được đưa vào cơ sở mã nguồn của OpenBSD.

Sự tranh cãi đã bắtđầu từ tuần trước, sau khi cựu CEO của Netsec GregoryPerry đã gửi thư điện tử cho de Raadt với tư cách cánhân, để cảnh báo ông rằng có thể có những lỗi 10năm tuổi trong phần mềm mà OpenBSD sử dụng cho nhữnggiao tiếp truyền thông an ninh. Perry nói rằng mã của cửahậu đã được phát triển như một cách thức cho Vănphòng Thanh tra Liên bang Mỹ giám sát các giao tiếp truyềnthông được mã hóa trong Bộ Tư pháp Mỹ.

de Raadt của OpenBSDđưa bức thư điện tử này ra công khai, nói ông thà muốntoàn bộ vấn đề được băm ra một cách công khai, vàtrong khi không ai tiến lên trước để ủng hộ những lýlẽ của Perry (hoàn toàn ngược lại - 2 người đã đặttên trong thư của mình đã nói những lý lẽ đó là sai),những phần mà Perry đã kêu đã kiểm tra.

Thelead developer of the OpenBSD operating system says that he believesthat a government contracting firm that contributed code to hisproject "was probably contracted to write backdoors," whichwould grant secret access to encrypted communications.

Postingto an OpenBSD discussion list Tuesday, Theo de Raadt said thatwhile he now believes that a company called Netsec may have beeninvolved in backdoors, he doesn't think that any of this softwaremade it into the OpenBSD code base.

Thecontroversy was kickedoff last week, after former Netsec CEO Gregory Perry e-mailed deRaadt privately, to warn him that there might be 10-year-old bugs inthe software that OpenBSD uses for secure Internet communications.Perry said that the back door code was developed as a way for theU.S. Federal Bureau of Investigation to monitor encryptedcommunications within the U.S. Department of Justice.

OpenBSD'sde Raadt went public with the e-mail, saying he'd rather the wholematter be hashed out in public, and while no one has come forward toback up Perry's allegations (quite the opposite -- two people namedin his e-mail have saidthe claims are false), parts of what Perry claimed do check out.

Ví dụ, thực sự đãcó một nhà thầu về an ninh của chính phủ tên làNetsec. Và như Perry đã nói, một lập trình viên củaNetsec có tên là Jason Writght đã không đóng góp choOpenBSD. “Tôi tin tưởng rằng Netsec có thể được kýhợp đồng để viết các cửa hậu như được nêu”, deRaadt đã nói trên blog của mình. “Nếu những thứ nàyđược viết”, ông bổ sung, “tôi không tin chúng đãđưa nó vào trong cây mã nguồn. Chúng có thể đượctriển khai như là sản phẩm của riêng họ”.

Theo de Raadt, Wright banđầu đã làm việc trên các trình điều khiển choOpenBSD. Một lập trình viên khác của Netsec, AngelosKeromytis, đã viết mã nguồn an ninh mà đã sử dụng cáctrình điều khiển này, de Raadt nói.

Nếu có một cửa hậu10 năm trong OpenBSD, thì điều này có thể khó mà xácđịnh, như nó có thể trông chỉ giống như bất kỳ chỗbị tổn thương về an ninh nào khác. Nhưng nó có thểtrao cho bất kỳ ai mà biết về nó cách thức để nghetrộm trong các giao tiếp truyền thông an ninh của Internet- giao thông VPN, ví dụ thế - mà đã sử dụng phần mềmcó lỗi này.

Forexample, there really was a government security contractor calledNetsec. And as Perry claimed, a Netsec developer named Jason Wrightdid make contributions to OpenBSD. "I believe that Netsec wasprobably contracted to write backdoors as alleged," de Raadtsaid in his posting. "If those were written," he added, "Idon't believe they made it into our tree. They might have beendeployed as their own product."

Accordingto de Raadt, Wright worked primarily on drivers for OpenBSD. AnotherNetsec developer, Angelos Keromytis, wrote security code that usedthese drivers, de Raadt said.

Ifthere is a 10-year-old back door in OpenBSD, it would be hard toidentify, as it would probably look just like any other securityvulnerability. But it would give anyone who knew about it a way toeavesd-rop on supposedly secure Internet communications -- VPNtraffic, for example -- that used the buggy software.

Tuầntrước, phản ứng chung đối với Perry là cực kỳ nghingại. Theo cựu nhân viên của FBI và nhà điều tra tộiphạm máy tính E.J. Hilbert, “sự phát triển của mộtphần mềm nguồn mở với các cửa hậu trong đó là hoàntoàn ngu xuẩn, vì đó là nguồn mở”, ông nói vào tuầntrước. Ông đã gọi Perry là “một cái gai”. Nếu FBIđã tạo ra những cửa hậu trong OpenBSD thì nó cũng cóthể tương đương với việc trao cho bọn tội phạm mộtcách thức để thâm nhập vào các hệ thống OpenBSD,Hibbert nói. “Mọi người trên thế giới này sẽ nhìnvào nó và tìm thấy chúng”.

Vì những tranh cãicủa Perry đã được đưa ra công khai, các lập trình viênđã thấy 2 lỗi mới trong OpenBSD, nhưng de Raadt nói hômthứ ba rằng anh ta nghĩ rằng không có lỗi nào trong sốnày là một cửa hậu.

Trên thực tế, deRaadt dường như nghĩa rằng toàn bộ sự việc đã giúpcho OpenBSD. “Tôi hạnh phúc rằng mọi người đang nắmlấy cơ hội để kiểm tra một phần quan trọng của câymã nguồn mà nhiều người đã giả thiết - từ đã quálâu - sẽ là an toàn như nó có”, ông nói.

Ngoài một lưu ý bằngthư điện tử bổ sung thêm nhiều chi tiết tới nhữngtranh luận của mình, Perry đã không bình luận xa hơn vềvấn đề này. Tới hôm thứ ba, người phát ngôn của FBIđã không bình luận gì về vấn đề này. De Raadt đãkhông trả lời cho các thông điệp tìm kiếm bình luậnvề câu chuyện này.

Perry là CEO vớiGoVirtual, một công ty dịch vụ của VMware. Tuy nhiên, khimã nguồn cửa hậu được cho là đã được đưa vào khoIPsec của OpenBSD, thì CEO của Netsec, nơi đã ký hợp đồngcông việc cho FBI. Ông đã nói rằn ông đã tiến lêntrước vì hợp đồng không tiết lộ với FBI của ông đãhết hạn.

Lastweek, thegeneral reaction to Perry was extremely skeptical. According toformer FBI agent and computer crime investigator E.J. Hilbert, "thedeployment of an open source software with backdoors in it iscompletely idiotic, because it's open source," he said lastweek. He called Perry "a nut." If the FBI cre-ated backdoors in OpenBSD it would be tantamount to giving criminals a way tobreaking into OpenBSD systems, Hibbert said. "Everybody in theworld is going to be looking at it and finding them."

SincePerry's allegations were made public, developers have found two newbugs in OpenBSD, but de Raadt said Tuesday that he thinks thatneither of them is a back door.

Infact, de Raadt seems to think that the whole incident has helpedOpenBSD. "I am happy that people are taking the opportunity toaudit an important part of the tree which many had assumed -- for fartoo long -- to be safe as it is," he said.

Exceptfor an e-mailnote adding some more detail to his allegations, Perry has notcommented further on the matter. Reached Tuesday, an FBI spokesmanhad no comment on the issue. De Raadt did not respond to messagesseeking comment for this story.

Perryis CEO with GoVirtual, a VMware services company. When the backdoorcode was allegedly added to OpenBSD's IPsec stack, however, he wasCEO of Netsec, which did contract work for the FBI. He has said thathe came forward because his FBI nondisclosure agreement has expired.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com