Código auditado de OpenBSD no arrojó puertas traseras en la pila IPSEC

Código auditado de OpenBSD no arrojó puertas traseras en la pila IPSEC

por

Pueden respirar tranquilos, el FBI no los vigila

Hace unos días atrás comentamos una noticia algo perturbadora para todos nosotros, y que involucraba a la Oficina Federal de Investigación (FBI) con los ingenieros de la empresa NETSEC, quienes habrían implementado puertas traseras en el código de la pila IPSEC del sistema operativo BSD -utilizada por un número importante de dispositivos enrutadores- mientras el FBI les dejaba unos billetitos en el escritorio; Pero pueden respirar tranquilos, porque no existirían tales puertas traseras.

Recordemos que la información fue filtrada por Theo de Raadt -lider del proyecto BSD- luego de que Gregory Perry confesara vía e-mail lo que hacía su empresa durante los años 90, lo que alertó a los colaboradores del sistema operativo a realizar una auditoría al código de Internet Protocol Security (IPSEC). Para la buena fortunada de todos, los resultados arrojados no mostraron indicios de alguna puerta trasera, pero si varios bugs importantes que podrían comprometer la seguridad.

Entre los bugs más críticos encontrados por los desarrolladores, estaba una mala expresion condicional en antiguas versiones del código de Encapsulating Security Payload (ESP), el que fue cerrado en el 2002 pero se mantenía desconocido para los actuales usuarios de OpenBSD. También se identificó una susceptibilidad en la Cadena de Cifrado-Bloque (CBC).

De Raadt no piensa que aquellos bugs fueran introducidos intencionalmente por NETSEC para el FBI, sin embargo no descarta que ésta empresa haya sido contratada para implementar puertas traseras en OpenBSD, solo que nunca se unieron las líneas de código de la empresa con el actual OpenBSD.

Link:  OpenBSD code audit uncovers bugs, but no evidence of backdoor (Arstechnica)