• Tweet

Las denuncias de que el FBI podría haber puesto puertas traseras en la criptografía de OpenBSD, ha creado revuelo en la comunidad de seguridad.

El excontratista del gobierno, Gregory Perry, quién ayudó en el desarrollo del framework de criptografía de OpenBSD hace 10 años, declaró que a algunos contratistas se les pagó por incluir puertas traseras dentro de la pila IPSec de OpenBSD hace 10 años. Perry recientemente alertó a Theo de Raadt, desarrollador de OpenBSD, años después del evento mediante un correo electrónico, el cual de Raadt publicó en espíritu de apertura.

Perry dijo que esperó hasta que su contrato de confidencialidad de 10 años con el FBI expirara antes de presentar las declaraciones, las cuales permanecen sin el apoyo de fuentes secundarias. Si las declaraciones son ciertas, significaría que se tiene una vía fácil de intervenir las supuestamente seguras conexiones VPN y otras tecnologías basadas en la pila criptográfica de OpenBSD.

De Raadt dijo que ha publicado el correo de Perry para que aquellos quienes utilizan el código potencialmente afectado puedan llevar a cabo una auditoría, así como ofrecer la oportunidad a quienes se mencionan en el correo para dar su versión de lo ocurrido.

En su correo, Perry alega que el gurú de virtualización Scott Lowe está dentro del FBI, lo que sugiere que podría estar detrás de su reciente apoyo a la tecnología de OpenBSD para su implementación en VPN"s y firewalls en ambientes virtualizados.

Lowe negó el cargo diciendo que él nunca ha trabajado para los federales.

En un intercambio de correos con el reportero Robert McMillan, Perry dijo que los intentos de implantar puertas traseras en el código abierto fueron hechos por la administración de Clinton para "contrarrestar la supuesta relajación en las regulaciones de exportación de encriptación del Departamento de Comercio".

Los alegatos de Perry están siendo tomados seriamente, a pesar de que no han sido acompañados con nada sustancial que pueda considerarse como evidencia. Sea cierto o no, la acusación de una puerta trasera en OpenBSD ha generado un gran debate.

E J Hilbert, un exagente de cibercrimen del FBI, dijo que se hicieron intentos de implantar puertas traseras en código abierto de seguridad, pero todos fracasaron. "Yo era uno de los pocos ciber agentes del FBI cuando el desarrollo de éste código supuestamente ocurrió. Experimento sí. Éxito no", dijo Hilbert en una actualización de Twitter.

Chris Wysopal, director de tecnología de las herramientas de aplicación de seguridad de la firma Veracode y ex alto miembro del colectivo de hackers L0pht Heavy Industries, dijo que el tema de una potencial puerta trasera no se detiene con OpenBSD: "Si a OpenBSD con todas sus auditorías le fue implantada una puerta trasera, ¿dónde queda Linux, Windows, FreeBSD, OS X- ¿Quién piensa que esto se limitaría a una distribución pequeña-".