OpenBSD — единственная операционная система без анальных зондов

Тео де Раадт из команды OpenBSD поделился результатами аудита, произведенного в ходе проверки сведений о возможных зондах в системе, сделанных по требованию ФБР. На данный момент известно, что в ходе аудита найдено несколько серьезных ошибок, способных повлиять на защищенность систем, однако характер этих ошибок показывает, что ошибки сделаны непреднамеренно и не имеет свойств «черного хода».

Бэкдор в OpenBSD

Совсем недавно мы рассказывали о письме, которое получил Тео де Раадт от Грегори Перри своего бывшего сослуживца по компании NETSEC. В этом письме автор утверждал, что в свое время ФБР оплатило введение специальных «черных ходов» в механизм защищенных коммуникаций IPSEC. В итоге весь код IPSEC оказался под подозрением и разработчики OpenBSD решили провести тщательный аудит кода.

Ошибка в Encapsulating Security Payload

По предварительным итогам аудита самой серьезным дефектом в коде оказалось неправильное логическое выражение в уже устаревших версиях модуля ESP (Encapsulating Security Payload – инкапсуляция нагрузки по обеспечению безопасности). Эта уязвимость была устранена еще в 2002 без громкой огласки в обход стандартной процедуры устранения уязвимостей. Таким образом, данная ошибка отсутствует в современных версиях OpenBSD, хотя этот факт остался неизвестным для конечных пользователей.

Oracle-атаки на OpenBSD

Также были обнаружены потенциальные уязвимости в модуле сцепления блоков шифр-текста CBC (Cipher-Block Chaining). В некоторых драйверах, где модуль CBC не генерировал каждый раз новые случайные значения для вектора инициализации CBC, возникала угроза успешного проведения так называемых «Oracle-атак». Предсказуемость содержания вектора инициализации — это давно известная проблема, давно исправленная во всех базовых компонентах OpenBSD. Оказывается, исправление просто не было распространено на драйверы. Сейчас, когда проблема оказалась в поле зрения, ведется работа над специальным исправлением.

Несмотря на серьезность ошибок, остающихся в модуле CBC для драйверов, разработчики OpenBSD уверены, что такие ошибки вряд ли могут служить «черными ходами». По мнению де Раадта, вполне вероятно, что компания NETSEC действительно принимала участие в разработке таких «черных ходов» по заказу ФБР, но полученный код, скорее всего, так и не попал в официальные версии OpenBSD.

Аудит кода OpenBSD

Так или иначе, внеплановый аудит кода стал полезным упражнением для команды разработчиков OpenBSD, хотя и не выявил никаких «черных ходов», которые якобы были встроены по заказу государственных ведомств США.