"Закладки" в коде OpenBSD пока не обнаружены

 

Разработчики OpenBSD начали аудит исходного кода операционной системы с целью проверить скандальные утверждения Грегори Перри (Gregory Perry) о том, что ее криптографические механизмы содержат «закладку», позволяющую ФБР вскрывать защищенные VPN-соединения.

Напомним, что Перри обвинил в диверсии двух разработчиков OpenBSD – Джейсона Райта (Jason Wright) и Ангелоса Кромитиса (Angelos Keromytis). Оба программиста в свое время работали на компанию NetSec, которая, по словам Тэо де Раадта (Theo de Raadt), лидера проекта OpenBSD, действительно создавала программные компоненты с уязвимостями, заложенными по указанию ФБР, а затем бесплатно распространяла их. Тем не менее, де Раадт считает, что ни одна «закладка» не попала в код OpenBSD.

 

 

Благодаря системе контроля версий ПО аудиторам удалось выяснить, над какими именно компонентами ОС работали попавшие под подозрение разработчики. Оказалось, что Джейсон Райт работал, в основном, над драйверами и никогда не занимался криптографической средой Open BSD (OpenBSD Crypto Framework), хотя и приложил руку к реализации протокола IPSec. А вот Ангелос Керомитис был ее главным архитектором и разработчиком. В период его работы в коде ОС действительно была обнаружена определенная уязвимость, но в следующих версиях уже была закрыта на уровне шифрования трафика. Кроме того, Керомитис стал сотрудником NetSec в более позднее время.

Что касается аудита исходного кода актуальной версии OpenBSD, то он пока что не выявил ничего, что можно было бы объявить «черным ходом». Лишь вышеупомянутая уязвимость все еще частично присутствует на уровне сетевых драйверов – видимо, по недосмотру. Другая ошибка обнаружена в драйверах оборудования. Тэо де Раадт также упомянул о некоей проблеме с механизмом генерации случайных чисел, но подробностей не раскрывает.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Постоянный URL: https://servernews.ru/594018
Поделиться:  
Система Orphus