Un programmatore denuncia: io e altri siamo stati pagati dai federali per inserire canali di intercettazione nascosti nel sistema operativo open source. Realtà o teoria della cospirazione?
Roma - Le backdoor dell'FBI nei software di sicurezza non sono leggende metropolitane, anzi: il bureau investigativo più famoso del mondo avrebbe effettivamente pagato valenti programmatori con lo scopo preciso di instillare "porte di accesso secondarie" all'interno di software open source, con conseguenze ramificatesi nel corso degli anni.
A scatenare una nuova tempesta di cospirazioni governative e legittime preoccupazioni per la riservatezza delle comunicazioni è il coder Gregory Perry, che rivela la presenza delle backdoor federali in una email diretta al capo del progetto OpenBSD Theo de Raadt. Perry dice di essere stato sin qui obbligato al vincolo di segretezza dal non-disclosure agreement (NDA) stretto con l'FBI, ma tale NDA è recentemente scaduto e il programmatore può dunque rivelare la verità a Raadt e alla community dell'open source.
"Volevo rendervi edotti del fatto che l'FBI ha implementato un certo numero di backdoor nei meccanismi di leaking side channel delle chiavi nel framework crittografico di OpenBSD - scrive Perry - con l'intento preciso di monitorare il sistema di cifratura VPN site-to-site implementato da EOUSA, l'organizzazione che controlla l'FBI".Le backdoor volute dall'FBI sarebbero insomma dirette soprattutto al monitoraggio della rete di amministrazione interna delle procure distrettuali, ma Perry suggerisce che le suddette backdoor rappresentino il motivo principale del "consiglio" dell'agenzia di usare OpenBSD per le comunicazioni VPN e il firewalling negli ambienti virtualizzati.
Come risponde il gestore del progetto OpenBSD alle rivelazioni di Gregory Perry? Lavandosene le mani: de Raadt dice di non voler entrare a far parte di una "simile cospirazione", e di non voler avviare alcuna indagine interna atta a scovare il codice nascosto di cui parla il programmatore.
Sarà la community a occuparsi delle opportune verifiche, dice de Raadt, verifiche che non sarebbero umanamente possibili per una singola organizzazione considerando il fatto che il codice incriminato è ora parte integrante di molti progetti e prodotti open source. Se le backdoor esistono realmente, la loro proliferazione avrebbe a questo punto raggiunto un'estensione capillare.
Fonte: punto-informatico
Nessun commento:
Posta un commento