Se vi interessate di sicurezza, vi avrà sicuramente già raggiunti la notizia “bomba” secondo cui delle backdoor sarebbero state volutamente inserite nello stack IPSEC di OpenBSD intorno al 2001. OpenBSD è il simbolo della “sicurezza opensource”, molto più di Linux, e quindi la possibilità che ci siano backdoor, per di più in un componente così importante, studiato e riutilizzato, colpisce alla radice le certezze della sicurezza opensource. Ora, giustamente tutti si sono affrettati a dire che l’affermazione contenuta nella mail è priva di prove o di indicazioni di dove potrebbe essere la backdoor. Schneier si sbilancia a dire che un’operazione del genere sarebbe improbabile e inutile da parte dell’FBI ma segnala un’uteriore articolo in cui invece lo stesso Perry confermerebbe le proprie affermazioni e aggiungerebbe qualche informazione, pur senza entrare nel merito di dove starebbe la backdoor (che, a quanto pare, farebbe uscire su un “side channel” parte del “key material”).
Penso che per valutare il problema sia però utile soprattutto leggere uno dei messaggi che sulla mailing lista hanno seguito la mail originale di De Raat, questo (non quoto perché si fa prima a leggerlo). Finora è l’unica cosa interessante che abbia letto sulla possibilità o meno che il side channel sia stato inserito.
Riguardo alla possibilità che la l’FBI abbia fatto una cosa del genere, ricordo un’affermazione fatta anni fa da persona competente, che peraltro si riferiva ad un’altra agenzia a tre lettere; nell’esperienza di questa persona, quando quest’agenzia ha più opzioni per attaccare un meccanismo che le interessa manomettere, non ne sceglie una: in linea di massima le prova tutte, perché scegliendone una sola rischierebbe che in caso di problemi, passare ad un altra comporterebbe una perdita di tempo e a un potenziale fallimento ingiustificabile. In questa logica, che mi sembra molto ragionevole, le motivazioni di Schneier (di vulnerabilità ce ne sono già tante) mi sembrano molto deboli, ma soprattutto mi sembrano deboli nello specifico: si parla di informazioni sulla chiave trasmesse all’interno del canale cifrato, in modo che chi lo intercetti possa raccoglierle e decifrare il canale stesso. Non si parla quindi di attacchi ai sistemi. Ebbene, non è un ambito in cui le vulnerabilità siano chissà quante, se IPSEC è utilizzato correttamente, e quindi volendo decifrare del traffico intercettato la strada del side channel secondo me è sensata. Concordo comunque con chi dice che in seguito il codice ha avuto così tante modifiche e revisioni che quelle backdoor possono essere scomparse… quelle; ma le altre, messe in un qualsiasi prodotto da chi si può permettere di comprare o forzare la mano a un programmatore? Quello che si può imparare da questa vicenda, e dal messaggio di analisi che ho citato sopra, è la possibilità reale di manomettere del codice fra quello più osservato, analizzato, critico, aperto e copiato disponibile: gli sviluppatori di OpenBSD non hanno liquidato la cosa come impossibile. Sarebbe facile sbeffeggiare il codice open source su questa faccenda, ed effettivamente l’efficacia dei “molti occhi” subisce un duro colpo, ma se pensiamo a come possono andare con il sorgente chiuso, la questione cambia: se l’FBI avesse voluto comprare un programmatore di un’azienda che produce codice chiuso, o più programmatori, avrebbe avuto più difficoltà? In OpenBSD, probabilmente nel corso di dieci anni il side channel, se c’era, è stato corretto senza neppure che ci si rendesse conto del fatto che era stato messo volutamente. Si potrebbe dire lo stesso di codice chiuso, in cui nella maggior parte dei casi le vulnerabilità vengono corrette solo quando qualcuno (qualche cliente) si accorge che qualcosa non funziona?
Alla fine si può dedurre poco, proprio perché la vulnerabilità probabilmente nel frattempo è stata rimossa; se è stata rimossa presto, anzi, questo va a favore dell’approccio open source. Quello che si può dedurre certamente, sempre che la notizia alla fine sia in qualche modo confermata, è l’interesse a impiantare backdoor nei prodotti da parte delle autorità dei paesi che sono in condizioni di farlo. Che fare allora? Al di là dei ragionamenti che si possono fare sulla situazione specifica di Italia ed Europa, che le backdoor le possono certamente subire ma altrettanto certamente non mettere, vi do questo ultimo spunto di riflessione: “U.S. code-cracking agency works as if compromised“. Cito: “We have to build our systems on the assumption that adversaries will get in” e “The NSA must constantly fine tune its approach, she said, adding that there was no such thing as a “static state of security.”“.