[FUG-BR] [OFF-TOPIC]Foi realmente colocado backdoor no ipsec do OpenBSD?

Patrick Tracanelli eksffa em freebsdbrasil.com.br
Sexta Novembro 23 14:45:13 BRST 2012 

Em 23/11/2012, às 09:22, Paulo Henrique - BSDs Brasil escreveu:

> Em 23/11/2012 09:10, João Mancy escreveu:
>> Lembro dessa história.
>> 
>> http://br-linux.org/2010/desenvolvedor-acusa-fbi-de-colocar-backdoor-no-ipsec-do-openbsd/
>> 
>> Reza a lenda que para acessar remotamente servidores de grupos terroristas.
>> 
>> mas vai saber.
>> 
>> 
>> Em 23 de novembro de 2012 09:07, Marcelo Gondim <gondim em bsdinfo.com.br>escreveu:
>> 
>>> Em 22/11/12 23:34, Antônio Pessoa escreveu:
>>>> Em 22/11/2012 21:30, "jorge luis carvalho santos luis" <
>>>> jorgeassembler1 em hotmail.com> escreveu:
>>>>> Foi realmente colocado backdoor no ipsec do OpenBSD?
>>>>> -------------------------
>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>> Até hoje nada foi provado. Os membros do projeto auditaram o código a
>>> nada
>>>> foi encontrado. Apesar de não ter visto nenhuma posição oficial (alguém
>>> tem
>>>> link?), acredito que já tenham finalizado o assunto (acho, vou procurar
>>>> depos).
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>> 
>>> Pois é Antônio, se encontraram algo abafaram rsrsrsr porque não vi mais
>>> nada sobre esse assunto. Não ficou nada transparente ao meu ver.
>>> Se alguém tiver algum link deles explicando como que foi auditado e se
>>> encontraram algo mandem pra cá.
>>> 
>>> Abração,
>>> Gondim
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>> 
>> 
>> 
> Estamos falando de criptologia, arte de esconder, se achassem algo não 
> seria mais criptologia mais sim descobrelogia.
> Para eliminar qualquer duvida sobre tal possibilidade de intrusão pelo 
> FBI/CIA em sistemas OpenBSD só reescrevendo a pilha IPSec do OpenBSD.
> Contudo se ocorreu isso em um subsistema qual a possibilidade de não ter 
> ocorrido em todos os demais subsistemas do OS ?
> E isso não é limitado ao OpenBSD qualquer projeto até  mesmo o Microsoft 
> Windows é vuneravel a tal falha.
> Conclusão se quer manter algo seguro, começa a imprimir todos os seus 
> documentos depois de alguns tiros de escopeta C12 no HD e pentes de 
> memoria e seja feliz.


Esse assunto é bom pra quem gosta de teorias conspiratórias. Fatos:

- A primeira (e principal) implementação IPSEC do mundo, de licença BSD é a do Projeto KAME, que deu origem a do FreeBSD, NetBSD e OpenBSD;

- A do OpenBSD existem particularidades e mudanças exclusivas, a justificável são extensões pra redundância de túnel IPSEC que só o Open e mais ninguém tem e aceleração criptografica em hardware (portado pro FreeBSD no suporte ao device crypto depois) dessa forma; outras mudanças não tem justificativa clara (ponto conspiratório);

- No projeto KAME existiu um cara, apelidado de "IPV6 Samurai", ele era o Jun-ichiro 'Itojun' Itoh Hagino Aro

- O Jun-ichiro 'Itojun' Itoh Hagino Aro era também um dos líderes do Projeto KAME no assunto IPSEC;

- O Jun-ichiro 'Itojun' Itoh Hagino Aro (apenas Itojun na comunidade) é o único cara que se tem notícia nesse mundo que ao mesmo tempo foi commiter/devel do OpenBSD, FreeBSD (itojun@), NetBSD, Linux, Solaris (contratos de projetos individuais da Sun), Cisco (funcionário "de carteira"), KAME e governo japonês;

- O Itojun morreu aos 33 de causa desconhecida e súbita;

- A família do Itojun, muito tradicional de feudos japoneses (de fato descendentes diretos dos Samurais "Kenji" do seçulo XV), não deixou o corpo sofrer autopsia e disse que "ele se foi porque chegou sua hora" e ponto final. Aos 33 anos, achar que mesmo alguém como o Itojun, workhaolic ao extremo morre de causas naturais...

- Agora essa é boa. O Atsushi Onoe (onoe em freebsd.org), criador do algoritimo de rate Onoe no WiFi, @aonoe no twitter, militar japones, professor em Berkeley em algumas disciplinas como convidado, informou na cerimônia de homenagem que toda a comunidade japonesa de tecnologia (incluindo muitos nomes do Open Source, claro) ao Itojun que o Itojun era... (essa é a parte boa), funcionário da NSA nos últimos 8 anos;

- Portanto Itojun era secretamente (agente secreto? ehuahua) funcionário da NSA; o que isso significa? depende do nível de paranoia da pessoa...

- Em 2001 a DoD/DARPA/SPAWAR/NAI e outras diversas agências norte americanas, junto com interesse do governo japones e iniciativa privada criaram um fundo chamado CBOSS pra investir em criaçãod e tecnologia com foco em segurança;

- Iniciaram um financiamento do Projeto OpenBSD, 1 milhão por ano para investir em tecnologias de segurança de licença BSD com foco no POSIX.1e;

- Iniciaram o mesmo financiamento com mesmo foco no FreeBSD; no FreeBSD isso gerou o projeto "TrustedBSD";

- Nessa época Robert Watson virou Security Officer do FreeBSD (mais tarde passaria a posição pro Colin Percival, e se tornaria Core Team), e assumiu ao lado do PHK e do McKusick o desenvolvimento focado no POSIX.1E tendo como maiores subprojetos as extensões MAC do FreeBSD (Watson), Geom (PHK) UFS2+Snap+Extended Attributes (McKusick);

- O Theo de Raadt soltou a frase numa BSDCon (lembram? nessa epoca os projetos BSD aproveitavam as BSDCon para fazerem também as conferencias internas entre desenvolvedores, o que depois acabou se tornando independente e virando developer summit no FreeBSD, parte da BSDCAN, e maratonas Hacker do OpenBSD, etc), aquela frase que dizia que o POSIX.1E era lindo no papel mas impossível ser transformado em código;

- De 2001 a 2005 começaram a maior parte das mudanças do IPSEC no OpenBSD;

- Em 2002 a NSA através da agência DISA (Defense Information System Agency), do NIST (National Institute for Standards & Technology) e a Homeland Security dos EUA passaram a indicar OpenBSD como sistema "de escolha" para túneis IPSEC.

- Pelo bem (algo muito melhor e mais seguro que qualquer outro IPSEC) ou pelo mal (o suposto backdoor?), a recomendação primária de OpenBSD "casa" em cronologia com os fatos e nunca foi justificada tecnicamente;

- Em 2003 os fundos de financiamento militar do OpenBSD são cortados, e os 2.3 milhões restantes deixam de ser entregues; sem justificativa; sem motivo; Theo de Raadt alega que suspeita que haviam alegações do governo norte americano que o dinheiro do financiamento militar estava indo para muitos desenvolvedores estrangeiros;

- Em http://arstechnica.com/civis/viewtopic.php?f=2&t=938&p=15373#p15373 percebe-se que na verdade eram 2 britanicos, 2 canadenses e os demais eram americanos, enfraquecendo a teoria de "dinheiro indo para fora do pais"; mas ficou sem explicação; teorias diversas surgiram;

- Não houve corte pro Projeto FreeBSD;

- Em 2005 com os resultados do TrustedBSD, o FreeBSD "renova" o contrato militar com a Foundation onde o DoD/DARPA depois de ja ter tido pedidos como TCP/IP, DNS/BIND e tantos outros atendidos pelo BSD original (em Berkeley), e tendo a Internet como resultado direito da aprceria DARPA+BSD, "encomenda" um novo objetivo pra essa renovação de contrato: 100% do POSIX.1E implementados no FreeBSD em até 10 anos;

- Robert Watson fecha um contrato com a BAE Systems e passa a ser funcionário dessa empresa além de Researcher em segurança por Cambridge e pela CMU; parte da verba da fundação do Security Group de Cambridge vem da BAE systems;

- BAE Systems só pra background, fabrica o sistema operacional STOP, parte do TSB XTS-400 que existem indícios de ser FreeBSD com compatibilidade binária e de interfaces de kernel com Linux (ninguém confirma nem desmente), mas é o sistema que equipa os aviões da Lockeed, os mísseis, aviões, trackers da Força Aérea americana; os sistemas de controle de armas dos navios de guerra americanos e também do Amazonas da Marinha Brasileira; o sistema que controla os Droids não tripulados dos EUA e agora a Mars Curiosity da NASA; a BAE Systems é iniciativa privada mas com contrato de exlusividade de fornecimento para o DoD, NSA ou quem esses 2 permitam - foi necessário um acordo pra permitir que a NASA usasse tecnologia da BAE Systems - é o único sistema militarmente certificado TSEC/A1 (Orangebook) e o que tem os maiores níveis de certificação EaL (Common Criteria);

- Em 2010 Greg Perry diz que existe uma backdoor no IPSEC do OpenBSD e que foi plantada a pedido do FBI; esse cara era o CTO de uma empresa privada (NETSEC) contratada por diversas das agencias financiadoras a trabalhar em projetos diversos, nesse caso incluindo OpenBSD durante esse período de financiamento militar;

- Greg Perry acusou pessoas chaves do OpenBSD de coordenar e participar do backdoor, inclusive o Jason Wright que se defendeu e negou: http://marc.info/?l=openbsd-tech&m=129244045916861&w=2

- Theo de Raadt disse que ia auditar o código e investigar os fatos; um processo de auditoria começou e nenhum commit relevante pra "remover" qualquer coisa aconteceu, sugerindo que nada foi encontrado;

- Todos os demais envolvidos nas acusões do Perry negam;

- Misteriosamente a esposa de Greg Perry tem um infarto quando voava da Califórnia pra Paris, e morre no meio do oceano onde não há condição de pouso de emergencia hehehe;

- O Write afirma que só trabalho no IPSEC na parte de aceleração de criptografia em hardware das placas HiFN; e que as acusões do Perry não faziam sentido nem cronológicos;

- Poucos dias depois do falecimento de sua esposa, Greg Perry disse que durante o governo Clinton existiram tantos pedidos de criação de backdoor em silencio que ele pode ter feito alguma confusão (http://blogs.csoonline.com/1296/an_fbi_backdoor_in_openbsd)

- Logo depois Perry disse claramente que pode ter se confundido e nunca mais falou do assunto (operação abafa? hehehe);

- Ninguém mais falou do assunto e tudo está como está.

- Em 2010 Robert Watson virou o primeiro civil a ter acesso ao Draft 19 do POSIX.1E;

- DRAFT 19? Pois é! Até então o mundo NÃO SABIA que existia nada do POSIX.1E além do Draft 17; Do 17 (publico) ao 19 (classificado) o que muda, e porque o rwatson@ teve acesso, ninguém sabe;

- Em 2010 Robert Watson, iniciativas academicas e o Google anunciaram o projeto Capsicum implementado no Chrome, no FreeBSD, com fundos do DARPA e focos do POSIX.1e (parte do q conhecemos do Draft 17 é a parte de granularização de capabilities, o resto não consta no draft 17;

- Em 2011/2012 o Capsicum virou realidade;

Agora, o fato é, cada um acredita no que quiser, e os gestores de segurança tomam suas decisòes com base em seus convencimentos pessoais. Tem muita corda pra teoria conspitatória claro... mas eu prefiro entender que: 

<PATRICK-OPINIAO-PESSOAL>
- O DoD/DARPA sempre financiou BSD pra conseguir o que queria (tai a Internet, TCP/IP, dSN, etc) e quando o BSD deixou de existir como um projeto centralizado na Universidade, precisava testar quem escolher;

- O DARPA financiou OpenBSD e FreeBSD e por alguns anos tuxou dinheiro e comparou resultados. Eu acredito que decidiram concentrar esforços e fundos no projeto FreeBSD por ter mais pessoas envolvidas e nesse "piloto" mostrar mais resultados;

- Eu acredito que o fato do Robert Watson começar a mostrar resultados no POSIX.1E enquanto o OpenBSD focou em criptografia e o Theo deu o POSIX.1E por utopia pesou pro DARPA/DoD escolher FreeBSD e descontinuar o financiamento do OpenBSD;

- O tal Gregory Perry mandou e-mail em pvt pro Theo, não se sabe com que intenção mas nunca imaginou que o Theo teria a postura responsável de abrir tudo e jogar no ventilador; o Greg viu a alegação dele tomar proporções internacionais; pra mim ele se arrependeu e seja la qual eral suas motivacoes originais acho que era fazer graça e ter nome de alguma forma, ja que estava desempregado hehehe; mas é sim opinião pessoal;

- Pra mim essa backdoor nunca existiu e, e a postura correto do Theo de Raadt de abrir publicamente o assunto fez o cara se arrepender de afirmar isso mas preferiu deixar no ar pra pagar de mistério do que de babaca q fala mais q a boca; de qq forma ferrou sua carreira profissional;

- Acredito que o código aberto e a auditoria publica de fontes à que esses sistemas se submete acontece com frequencia demais pra pensar que exista algo que esta la aberto e ninguem consegue ver; mesmo sabendo a complexidade existente em encontrar algo assim;

- Acho que é muita Claudia pra pouco assento; 

- Pra mim o Itojun ser da NSA é algo corriqueiro pra esses "hackers"; existem inumeros researchers com contrato com a NSA, no Brasil mesmo tem 2 q eu saiba e um outro q deixou de ser pra "vender" vulnerabilidades no mercado negro porque paga-se melhor; de forma geral um hacker pra viver a vida dessa forma ou vira cracker e vai pro crime; ou vira um white researcher e tenta vender as falhas pro fabricante, recebendo pouco mas pelo menos vendo ser corrigido, ou "abre publicamente" quando o vendor não compra; ou vira um grey researcher e vai vender vulnerabilidades no mercado negro; o que pode ser eticamente contestável mas é uma realidade inegavel, e pelo menos melhor do que um cracker praticando crimes; então acho que a relação do Itjun era mais uma dessas, ou white ou grey researchers, provavelmente white, mas nada de conspiratório à pedido do governo americano, etc etc; e morreu pq convenhamos? O cara levava nas costas IPv6, ALTQ, IPSEC e outros projetos do KAME, tinha 15 empregos, 400 projetos open source, mais funções desconhecidas na NSA, trabalhava pro governo japones; acho q é muita coisa pra uma pessoa e acho q morreu de pressão alta hehehe workaholic demais...

- Acho que a mulher do Perry morreu por azar e coincidencia; essa foi autopsiada; nada disseram...

- Acho que o OpenBSD se auto-intitula e se orgulha de seus titulos de segurança mas FreeBSD, até Linux oferecem mais recursos de segurança que o Open, e isso abre margem pra bla bla bla mesmo e as vezes até alguem querendo se aproveitar e querer alguma coisa; acho q foi o caso do Gregory Perry ao fazer essa alegação;
</PATRICK-OPINIAO-PESSOAL>

Ou eu posso estar errado, todas as conspirações serem reais e não teoricas e os militares terem acesso até a alma de cada um de nós através de backdoor implementados financiados com o OpenBSD, a Igreja Católica, os cartolas do Flamengo e do Corinthians, Chico Xavier, Apple, Samsung, Android (heuuhauhahua acho q esse não precisa gastar 1 dolar pra ter backdoor), todos os demais projetos livres e comerciais, etc; 

Enfim cada louco acredita no que quer; mas o sensato não descarta completamente nenhuma hipótese;

Alias só um a parte, existe um boicote muito grande nos EUA aos produtos da Huawei, que acusam inclusive de existirem backdoors chineses nos produtos, e devido ao baixo custo, nos EUA está brotando Huawei em todo canto; E ai no que voce acredita? Vai deixar de comprar um Huawei por X pra por um Cisco por 3X se os 2 tecnicamente forem equivalentes?

Pois é, a motivação real pode ser comercial; a cada X produtos chineses que entram no mercado N empregos americanos deixam de ser criados. Ou pode ser que os chineses estejam mesmo tuxando backdoor em tudo... e no futuro os chineses dominem o mundo por bem ou por mal hehehe

--
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 em sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

Mais detalhes sobre a lista de discussão freebsd