Ads 468x60px

quarta-feira, 15 de dezembro de 2010

Desenvolvedores do OpenBSD foram pagos pelo FBI para inserir Backdoors em seu IPSEC (ATUALIZADO)

Essa notícia é pior do que vocês possam imaginar. Quando li a respeito, fiquei pensando o que eu poderia dizer para descrever o quão bombástica essa notícia é para o mundo (não só da informática); não consegui achar palavras. O post é grande, portanto só leiam se tiverem interesse.

Vou tentar explicar o que essa notícia quer dizer. Backdoor é uma brecha de segurança (ou enfraquecimento da criptografia) criada propositadamente em um software e o IPSEC é (um método de criptografia e autenticação) o protocolo que cuida da segurança e da privacidade das conexões TCP/IP (entre computadores). Pois bem, o que acontece se pessoas criarem brechas de segurança em um programa que era para proteger algo? O_O. Isso aconteceu há 9 (NOVE) anos no OpenBSD e só foi revelado agora por um dos desenvolvedores que decidiu jogar toda a merda tudo no ventilador.


O resumo da ópera é o seguinte: o IPSEC do OpenBSD foi uma das primeiras implementações desse protocolo de segurança de IP a serem disponibilizadas livremente. Isso quer dizer que grandes trechos do código desse IPSEC foram usados, ao longo desses 10 (DEZ) anos, por outras empresas em outros projetos totalmente distindos do OpenBSD. Um dos desenvolvedores, que fez um acordo de silêncio válido por 10 anos com o FBI - e que expirou recentemente (Oh Shit! o_O) -, resolveu mandar um e-mail para o fundador do OpenBSD dizendo que durante o início do desenvolvimento do sistema, um outro grupo de desenvolvedores foi pago pelo FBI para inserir Backdoors na implementação do IPSEC no sistema.

Em termos de criptografia, os Backdoors não necessariamente são encontrados em serviços de conectividade. Eles podem ser, por exemplo, um enfraquecimento dos algoritmos empregados na proteção dos dados ou da conexão. Quem tiver ciência desse enfraquecimento, pode utilizá-lo para quebrar senhas ou roubar informações entre uma conexão e outra.

Vocês devem estar se perguntado: "por que essa notícia é tão bombástica assim?". Pensem por um segundo: a segurança da informação era para proteger nossos dados, certo? Quando uma falha de segurança é colocada em um dispositivo de segurança, o que pode acontecer? Vocês conhecem os aparelhos chamados Switch (compartilha a mesma conexão com vários computadores) e Router (modem da sua casa)? Conhecem a empresa CISCO? Pois é, os Switchs e Routers da CISCO (em grande parte dos modelos) são BSD based, ou seja, possuem software baseado no BSD. O_O. Câmara dos deputados, Senado Federal, Corporações mundiais etc, poderiam estar vulneráveis a roubo de informações extremamente sigilosas.

Ainda não é possível calcular a magnitude desse problema. "PsychoTon, você disse uma vez que o Mac OS X tem núcleo BSD. Ele pode ter sido afetado por esses Backdoors?" R: Sim e sim. Como o Mac OS X é derivado do FreeBSD, e o desenvolvedor disse que vários outros projetos usaram a implementação do IPSEC do OpenBSD, há uma probabilidade de 95% (vou dar 5% de lambuja) de chance do Mac OS X ter absorvido essa falha de segurança. O_O

Pergunta: BSD é seguro? R: NÃO!

Seu eu lembrar de mais alguma coisa eu atualizo o post. Ainda não consegui processar as informações direito. Peço desculpas se falei alguma besteira.
------------------------------------------------------------------------------------------------------------------------------
Atualização:

O e-mail está sendo espalhado ao longo da internet para que as empresas que utilizaram parte do código em seus projetos, possam identificar essas falhas e corrigí-las. Segue um trecho do e-mail:

My NDA with the FBI has recently expired, and I wanted to make you aware of the fact that the FBI implemented a number of backdoors and side channel key leaking mechanisms into the OCF, for the express purpose of monitoring the site to site VPN encryption system implemented by EOUSA, the parent organization to the FBI," Perry details in the email, "Jason Wright and several other developers were responsible for those backdoors, and you would be well advised to review any and all code commits by Wright as well as the other developers he worked with originating from NETSEC. 

Meu NDA (acordo de silêncio) com o FBI expirou recentemente, e eu queria que vocês tomassem ciência do fato de que o FBI implementou um número de backdoors e mecanismos de canais laterais de vazamento de chaves dentro do OCF, com o propósito de monitorar o sistema de encriptação do VPN site-para-site implementado pelo EOUSA, a organização pai  do FBI, "detalhes do nome no e-mail", Jason Wright e muitos outros desenvolvedores foram responsáveis por esses backdoors, e você estaria bem aconselhado a revisar qualquer e todos os códigos enviados pelo Wright e também por todos os outros desenvolvedores com os quais ele trabalhou na organização do NETSEC.

Sinceramente? Para mim ainda surgirão muitos podres de órgãos, países e entidades que se intitulam defensores da democracia. Isso se deve ao fato de que as pessoas passaram a se sentir encorajadas a falar a verdade depois do surgimento do fenômeno WikiLeaks.

Nenhum comentário:

Postar um comentário