FBI backdoors on OpenBSD IPSec stack

[HdkiLLeR]

crosspost: http://foss.aueb.gr/viewtopic.php?f=35&t=327

[stoupeace]

have received a mail regarding the early development of the OpenBSD
IPSEC stack. It is alleged that some ex-developers (and the company
they worked for) accepted US government money to put backdoors into
our network stack, in particular the IPSEC stack. Around 2000-2001.

Βαζω το quote για να ειναι αμεσα κατανοητος ο τίτλος, γιατι εγω δεν τον επιασα με τη μια

government paying companies to pay open sourcedevelopers (a member of a community-of-friends) to insert privacy-invading holes in software.

Κι αυτο δημοσιεύθηκε χθες!

Τωρα λογικα θα τρεχουνε να καλυψουνε τις τρυπες, post updates αν εχετε

[mikem4600]

"Given enough eyeballs, all bugs are shallow".

I guess not.

[HdkiLLeR]

Keep in mind ότι μιλάμε για code που κάνει leak key information. Δηλαδή για κάτι που θα μπορούσε, σε κατάλληλες συνθήκες, να είναι stepping stone για κάποιο side channel attack. Τέτοιες περιπτώσεις σφαλμάτων είναι ιδιαίτερα δύσκολο να γίνουν καλά καλά identify, πόσο μάλλον να τις κάνεις και exploit -- απ' όσο γνωρίζω μόνο σε ερευνητικό επίπεδο έχουν γίνει demonstrate παραδείγματα τέτοιων περιπτώσεων.

Τώρα απο την άλλη το IPSec stack στο OpenBSD έχει γραφτεί κυρίως απο τον Άγγελο Κερομύτη και τον Niels Provos, και βασίζεται (εάν θυμάμαι καλά) σε παλιότερο code του Γιάννη Ιωανίδη για το BSDi. Ο Niels έχει γράψει επίσης το systrace, έχει κάνει contribute στο Honeyd, και σε άπειρα ακόμη useful tools. Ο Άγγελος έχει γράψει όλο prototype του IPSec stack, τον πρώτο IKE daemon, το OpenBSD Cryptographic Framework (OCF), κλπ κλπ. Ο λόγος που αναφέρω τα παραπάνω είναι γιατί και οι δύο είναι πολύ respectful στον χώρο και ιδιαίτερα trustworthy. Συνεπώς, εγώ προσωπικά είμαι πολύ επιφυλακτικός σχετικά με την πηγή αυτών των claims, ένα άτομο το οποίο δεν γράψει/κάνει commit ούτε ένα bit.

food for thought: εάν το FBI είχε κάνει πραγματικά μια τέτοια κίνηση (που δεν το θεωρώ απίθανο), θα βασιζόταν απλά σε ένα NDA;... μάλλον όλο το project θα ήταν classified, και πολύ πιο πιθανόν τα contributions να ερχόντουσαν κατευθείαν απο δικά τους άτομα (maybe pseudo-identities)...

source: http://foss.aueb.gr/viewtopic.php?f=35& ... 1941#p1941

[PASCAL]

Κατά τύχη έπεσα πάνω στο εξής άρθρο για εμάς τους κοινούς θνητούς:

Το OpenBSD και τα backdoors του F.B.I.
Το OpenBSD είναι ένα UNIX-like λειτουργικό σύστημα, ανοιχτού κώδικα, που έχει τις ρίζες του στο BSD (Berkeley Software Distribution).

Η διαφοροποίηση του OpenBSD σε σχέση με τα ‘ξαδέρφια’ του, το γνωστό FreeBSD και το λιγότερο γνωστό NetBSD, είναι η εγγενής προσήλωση στην ασφάλεια (security) πέρα και πάνω από όλα. Είναι το μόνο σύστημα που κάνει ολοκληρωμένη χρήση κρυπτογραφίας σε όλα τα επίπεδα του λειτουργικού συστήματος.

Το OpenBSD χρησιμοποιείται ευρέος στον τομέα τον διακομιστών (servers), τόσο σε πανεπιστήμια όσο και σε επιχειρήσεις. Κάποιες από τις τεχνολογίες που έχουν αναπτυχθεί από την κοινότητα του OpenBSD χρησιμοποιούνται από εκατομμύρια χρήστες καθημερινά, όπως π. χ. το OpenSSH που χρησιμοποιείται σχεδόν αποκλειστικά σε όλα τα συστήματα UNIX-Like ως default ssh client/server για ασφαλή απομακρυσμένη σύνδεση. Το MacOSX επίσης χρησιμοποιεί OpenSSH. Το εξαιρετικό – state of art – software level firewall PF καθιστά το OpenBSD ιδανικό σύστημα για stand-alone firewall machine, router, server κλπ.

Το OpenBSD λόγο της άδειας χρήσης (BSD License), και της ποιότητας του ως λειτουργικό σύστημα, έχει χρησιμοποιηθεί σε πολλές εκδόσεις για ενσωματωμένες συσκευές (embedded devices) από εταιρίες λογισμικού, για routers, firewalls, κρυπτογραφημένα δίκτυα VPN, κλπ.

Πρωτεργάτης του εγχειρήματος είναι ο αμφιλεγόμενος Theo De Raadt. Ο “theo” έχει διχάσει πολλές φορές την κοινότητα ανοιχτού λογισμικού, με τις δηλώσεις του. Έχει μιλήσει άσχημα για τα άλλα συστήματα ανοιχτού λογισμικού όπως το GNU/Linux, πολλές φορές. Ενώ αρκετές φορές έχει γίνει στόχος γνωστών ‘hacker’ πολύ ψηλού επίπεδου, όπως ο Brad Spengler (spender), του grsecurity project.

Στις ο Theo De Raaddt γνωστοποίησε στην δημόσια λίστα ταχυδρομείου ένα e-mail που έλαβε από τον Gregory Perry. Το μήνυμα, που μπορείτε να διαβάσετε στο διαδίκτυο, ενημέρωνε ούτε λίγο ούτε πολύ τον Theo De Raadt ότι μια ομάδα OpenBSD comitters1 είχαν προσληφθεί από το F.B.I. για να εγκαταστήσουν μια κερκόπορτα – backdoor – που θα επιτρέψει στο F.B.I. να παρακολουθεί οποιαδήποτε επικοινωνία ανάμεσα σε συστήματα VPN που βασίζονται στην τεχνολογία OpenBSD. Ο Perry δηλώνει ότι το γνωστοποίησε τώρα, γιατί έληξε το συμβόλαιο εχεμύθειας (NDA) που είχε υπογράψει.

Το εντυπωσιακό είναι ότι ο Perry αναφέρει ονόματα και καταστάσεις σε αυτό το email που μπορείτε να διαβάσετε πιο κάτω στο cryptome.org, γιατί έχει εξαιρετικό ενδιαφέρων:

20 December 2010. Gregory Perry responds:

From: Gregory Perry <Gregory.Perry[at]GoVirtual.tv>

To: John Young <jya[at]pipeline.com>

Subject: RE: OpenBSD Crypto Framework

Date: Mon, 20 Dec 2010 02:17:23 +0000

I really wish Theo hadn’t made that email public, it’s really stirred up things quite a bit in the mainstream media.

To put things into perspective, the salient points to consider are:

1) I sent a private letter to Theo Deraadt, urging him to perform a source code audit of the OpenBSD Project based upon the allegations contained within the original email you referenced

2) Theo then sent, without my permission and against my wishes, the entire contents of that email with my contact particulars to a public listserver, which ignited this firestorm of controversy that I am now seemingly embroiled in;

3) If I had this to do over again, I would have sent an anonymous postcard to Wikileaks probably;

4) I have absolutely, positively nothing to gain from making those statements to Theo, and only did so to encourage a source code audit of the OpenBSD Project based upon the expiry of my NDA with the FBI; and,

5) Being in any limelight is not my bag at all.

I personally hired and managed Jason Wright as well as several other developers that were involved with the OpenBSD Project, I am intimately familiar with OpenBSD having used it for a variety of commercial products over the years, and I arranged the initial funding for the cryptographic hardware accelerated OCF and gigabit Ethernet drivers by way of a series of disbursements of equipment and development monies made available via NETSEC (as well as my own personal donations) to the OpenBSD Project.

Although I don’t agree with what Theo did last week, I will say that he is a brilliant and very respected individual in the computer security community and he would have in no way agreed to intentionally weaken the security of his project. Theo is an iron-fisted fascist when it comes to secure systems architecture, design, and development, and there is no better person than him and his team to get to the bottom of any purported issues with the OpenBSD security controls and its various internal cryptographic frameworks.

Many, many commercial security products and real time embedded systems are derived from the OpenBSD Project, due to Theo’s liberal BSD licensing approach contrasted with other Linux-based operating systems licensed under the GPL. Many, many commercial security products and embedded systems are directly and proximately affected by any lapse in security unintentional or otherwise by the OpenBSD Project. Almost every operating system on the planet uses the OpenSSH server suite, which Theo and his team created with almost zero remuneration from the many operating systems and commercial products that use it without credit to the OpenBSD Project. Given the many thousands of lines of code that the IPSEC stack, OCF, and OpenSSL libraries consist of, it will be several months before the dust settles and the true impact of any vulnerabilities can be accurately determined; it’s only been about 96 hours since their source code audit commenced and your recent article points to at least two vulnerabilities discovered so far.

I wish Theo and his team the best of success with their project and endeavors.

Kind regards

Gregory Perry

Chief Executive Officer

[...]

Οι κατηγορίες του Gregory Perry αναφέρονται σε δύο πολύ συγκεκριμένα πρόσωπα: Τον Scott Lowe και τον Jason L. Wright. Και οι δύο ανακοίνωσαν ότι δεν είχα ποτέ προσληφθεί από το F.B.I. κι ουδέποτε έγραψαν κώδικα που να θέτει σε κίνδυνο τους χρήστες του OpenBSD. Μάλιστα ο Wright παραθέτει και κάποια παραπάνω στοιχεία στο email του.

Περισσότερα για την ιστορία μπορείτε να διαβάσετε από τον Mickey, που προσφέρει κάποιες λεπτομέρειες για τα πρόσωπα που είχαν εμπλακεί με την υπόθεση τότε. Το κείμενο είναι αρκετά τεχνικό και μπορεί να σας μπερδέψει λίγο. Φαίνεται πως στην ιστορία εμπλέκεται κι ο Έλληνας Άγγελος Κερομύτης, καθώς ήταν μέλος της ομάδας που μαζί με τον Wright “μετέφρασαν” των κώδικα για Gbit Ethernet στο OpenBSD.

Τα ερωτήματα που εγείρονται είναι πολλά κι έχουν αναστατώσει την κοινότητα OpenBSD κι όχι μόνο. Δυστυχώς το κομμάτι το κώδικα στο οποίο αναφέρονται τα emails είναι μεγάλο κι απαιτεί καλή γνώση. Είναι δύσκολο να ελεγχθεί σε μικρό χρονικό διάστημα για να έχουμε σαφείς απαντήσεις.

Δεν υπάρχει προφανείς λόγος να πει ο Perry ψέματα. Αν τα εμπλεκόμενα μέλη παραδεχθούν τις κατηγορίες, τότε θα ήταν κάτι σαν «εργασιακή αυτοκτονία» αφού οι μηνύσεις από τις εταιρίες που συνεργάστηκαν μαζί τους θα έπεφταν βροχή. Θα ήταν «ξοφλημένοι» στον τομέα IT security, με τέτοιο ιστορικό. Ο Perry μάλιστα κατηγορεί τον Scott Lowe ευθέως ότι προωθεί λύσεις βασισμένες στο OpenBSD, για λογαριασμό του F.B.I. .

Το σημαντικότερο ερώτημα όμως είναι, κατά πόσο το F.B.I. και οι άλλες υπηρεσίες των Η.Π.Α. έχουν εμπλακεί με τον ίδιο τρόπο σε άλλα open source projects και τι μπορεί αυτό να σημαίνει;

Έχει το δικαίωμα το F.B.I. να επηρεάσει με τέτοιο τρόπο τον κώδικα μιας μη κυβερνητικής μη κερδοσκοπικής οργάνωσης; Θα υπάρξουν μηνύσεις, δικαστήρια και κυρώσεις; Είναι τα άλλα openbsd projects ασφαλή για χρήση από τον μέσο χρήση;

[1]Πάντως ακόμη δεν έχει κινηθεί νομικά κανείς, ούτε έχει απαντηθεί επίσημα η κατηγορία από την ομάδα του OpenBSD.
Στα περισσότερα μεγάλα projects, ανοιχτού κώδικα, η πρόσβαση στον κώδικα είναι διαβαθμισμένη για να αποφεύγεται το χάος. Οι commiters είναι χρήστες που έχουν δικαίωμα αλλαγής στον βασικό κώδικα του συστήματος. Είναι θα λέγαμε μια από τις ψηλότερες βαθμίδες.

Η πηγή και διάφορα links εδώ: http://www.convalesco.org/index.php/archives/1738

[dexter]

ωραίο άρθρο pascal

[HdkiLLeR]

btw όλα τα source code reviews που έγιναν, απο πολύ respectful άτομα του BSD community, έχουν καταλήξει στο ότι όλα τα claims είναι τρομερή αερολογία -- check the responses στο link μου παραπάνω αλλά και το link που παραθέτει ο c00kiemon5ter.

[ja_the_invincible]

food for thought: εάν το FBI είχε κάνει πραγματικά μια τέτοια κίνηση (που δεν το θεωρώ απίθανο), θα βασιζόταν απλά σε ένα NDA;... μάλλον όλο το project θα ήταν classified, και πολύ πιο πιθανόν τα contributions να ερχόντουσαν κατευθείαν απο δικά τους άτομα (maybe pseudo-identities)...

Αυτό βασικά συνοψίζει πολλά.Λες και ρε παιδιά δεν ξέρετε πως λειτουργούν όλες σχεδόν οι μυστικές υπηρεσίες.Προσωπικά είμαι καχύποπτος απέναντι σε οποιοδήποτε leak πληροφοριών τέτοιου είδους.

[HdkiLLeR]

Επίσης να ξεκαθαρίσω λίγο την @@ολογία του παραπάνω author (όχι του PASCAL αλλά της πηγής που παραθέτει)

Φαίνεται πως στην ιστορία εμπλέκεται κι ο Έλληνας Άγγελος Κερομύτης, καθώς ήταν μέλος της ομάδας που μαζί με τον Wright “μετέφρασαν” των κώδικα για Gbit Ethernet στο OpenBSD.

Αυτά παθαίνεις όταν απλά κάνεις translate ότι βρίσκεις δεν δεν έχεις ιδέα για το τι πραγματικά σημβαίνει στον κόσμο γύρω σου...Ο Κερομύτης με τον Wright έχουν γράψει όλο το IPSec stack στο OpenBSD αλλά και το OpenBSD Cryptographic Framework (OCF) το οποίο είναι αυτό που δίνει fundamentally cryptographic capabilities στο OpenBSD.

Τα ερωτήματα που εγείρονται είναι πολλά κι έχουν αναστατώσει την κοινότητα OpenBSD κι όχι μόνο. Δυστυχώς το κομμάτι το κώδικα στο οποίο αναφέρονται τα emails είναι μεγάλο κι απαιτεί καλή γνώση. Είναι δύσκολο να ελεγχθεί σε μικρό χρονικό διάστημα για να έχουμε σαφείς απαντήσεις.

όλα τα source code reviews που έγιναν, απο πολύ respectful άτομα του BSD community, έχουν καταλήξει στο ότι όλα τα claims είναι τρομερή αερολογία -- check the responses στο link μου παραπάνω αλλά και το link που παραθέτει ο c00kiemon5ter...

Δεν υπάρχει προφανείς λόγος να πει ο Perry ψέματα.

Προφανώς και όχι...τι λόγο να έχει να πεί ψέματα κάποιος που δεν έχει κάνει commit ούτε ένα bit στο repository του OpenBSD...

Πάντως ακόμη δεν έχει κινηθεί νομικά κανείς, ούτε έχει απαντηθεί επίσημα η κατηγορία από την ομάδα του OpenBSD.

Καλά...ας διαβάζει την mailing list...έλεος (o theo έχει απαντήσει πάνω απο 10 φορές)