Разработчик OpenBSD обвинил ФБР во внедрении бэкдоров в криптографические модули системы

Разработчик OpenBSD обвинил ФБР во внедрении бэкдоров в криптографические модули системы

Руководитель компании GoVirtual Грегори Перри, который 10 лет назад принимал непосредственное участие в разработке криптографической инфраструктуры ОС OpenBSD, на днях заявил, что государственные заказчики платили программистам-исполнителям за внедрение бэкдоров и уязвимостей в стэк IPSec этой операционной системы. Соответствующая информация была изложена в электронном письме, которое г-н Перри направил на имя нынешнего главы проекта OpenBSD Тео де Раадта; последний, в свою очередь, решил предать письмо огласке.



Поскольку письмо невелико, имеет смысл привести его полностью.


"Привет, Тео," - пишет г-н Перри. - "Уже довольно много времени прошло с момента нашей последней беседы. Возможно, ты помнишь, что когда-то я был главным технологом NETSEC и распоряжался финансированием проекта криптосистемы OpenBSD. В это же время я оказывал услуги консультанта Федеральному бюро расследований и, в частности, так называемому центру технической поддержки GSA - криптологическому проекту, который занимался внедрением средств удаленного управления и механизмов депонирования ключей для смарт-карт и прочих аппаратных вычислительных технологий.


Недавно истек срок действия моей подписки о неразглашении, которую я давал ФБР. Я хотел бы поставить тебя в известность о том, что бюро внедрило в криптографическую инфраструктуру OpenBSD несколько бэкдоров, а также ряд механизмов, позволяющих осуществлять успешные атаки на шифросистему по побочным каналам. В первую очередь это было сделано для того, чтобы обеспечить мониторинг защищенных межсайтовых коммуникаций с использованием технологий VPN, которые активно продвигались родительской организацией ФБР - ведомством прокурорского надзора EOUSA. Джейсон Райт и некоторые другие разработчики непосредственно отвечали за создание и установку этих бэкдоров, и я бы советовал как следует изучить весь код, который был написан им и его коллегами во времена NETSEC.


Не исключено, что именно поэтому ваш проект лишился поддержки фонда DARPA: скорее всего, они заподозрили или каким-то образом узнали, что эти средства удаленного управления действительно существуют, и не захотели рисковать.


Также именно здесь следует искать причину того, что некоторые федеральные агенты и их гражданские помощники начали активно продвигать идею использования OpenBSD при построении виртуальных вычислительных сред и систем их защиты. Например, Скотт Лоуи, который считается авторитетным специалистом в соответствующих кругах, состоит на содержании у ФБР; недавно он выпустил несколько руководств по использованию виртуальных машин на OpenBSD при развертывании корпоративных решений от VMWare.


C наступающим Рождеством...


Грегори Перри, генеральный директор GoVirtual Education"


Хотя на данный момент заявление главы GoVirtual остается лишь заявлением, которое ничем не подтверждено, сказанное им уже вызвало озабоченность у многих специалистов по защите информации.


В распоряжении журналиста The Register оказалось несколько комментариев относительно содержания письма. В частности, бывший агент ФБР И.Дж. Хилберт, в сферу ответственности которого входили вопросы киберпреступности, заявил, что бюро действительно предпринимало попытки внедрить бэкдоры в программное обеспечение с открытым кодом, однако все эти эксперименты окончились неудачей. В свою очередь, специалист Крис Уайсопл, занимающий ныне пост главного технолога компании Veracode, отметил, что, "если уж OpenBSD со всеми ее внутренними механизмами контроля и аудита была скомпрометирована, то что говорить обо всех остальных системах - Linux, Windows, FreeBSD, OS X? Вряд ли ФБР ограничилась лишь этой малораспространенной ОС..."

Детские сим-карты в России хотят ставить на стоп при нулевом балансе

Минцифры предложило новые правила для детских сим-карт: если на счету закончились деньги, оператор должен будет автоматически отключать платные услуги связи. Документ опубликован на портале проектов нормативных правовых актов.

Речь идёт о номерах, оформленных на несовершеннолетних, а также о сим-картах, которые родители передали детям.

Ограничение касается авансовой системы расчётов, когда сначала пополняешь баланс, а потом пользуешься связью. При нуле на счету должны приостанавливаться звонки, СМС, мобильный интернет и дополнительные платные услуги.

В Минцифры поясняют: экстренная связь никуда не денется. Вызов 112 и других служб останется доступен круглосуточно и бесплатно. Входящие и другие бесплатные услуги также сохранятся. Главная идея — не дать ребёнку уйти в минус или случайно накупить услуг без ведома родителей.

Но автоблокировка — только часть пакета. Для детских номеров также хотят полностью запретить входящие звонки из-за границы, отключить роуминг за пределами России, убрать массовые рассылки, включая рекламу и часть банковских сообщений, и бесплатно фильтровать контент, который может навредить ребёнку.

Чтобы ограничения заработали, родителю нужно будет сообщить оператору, что номер передан несовершеннолетнему, и указать возраст ребёнка. Сделать это можно в салоне связи, через личный кабинет или электронным документом с усиленной квалифицированной подписью. Если договор заключил сам несовершеннолетний, правила тоже будут применяться.

Проект затрагивает не только детские сим-карты. В правила хотят добавить запрет на быстрый отказ от номера: абонент-физлицо не сможет расторгнуть договор раньше чем через 90 дней после получения сим-карты. Это должно ударить по серым симкам, которые мошенники используют для обзвона и быстро выбрасывают.

Новые нормы могут вступить в силу 1 марта 2027 года и действовать до конца 2030-го. Затраты операторов на выполнение требований оцениваются от 300 млн до 3 млрд рублей. Контролировать всё это будет Роскомнадзор.

RSS: Новости на портале Anti-Malware.ru