Sospechas sobre la existencia de puertas traseras en OpenBSD
El desarrollador jefe del sistema operativo OpenBSD, Theo de Raadt, cree que una firma contratista del gobierno y que ha contribuido con código al proyecto “ha sido probablemente contratada para crear puertas traseras”, que podrían brindar acceso secreto a comunicaciones encriptadas.
En un post publicado en un foro del sistema operativo libre OpenBSD, de Raadt, explica que, aunque cree que una compañía denominada Netsec podría haber estado implicada en el desarrollo de backdoors o puertas traseras, piensa que ninguna parte del software en cuestión esté en el código base de OpenBSD.
El debate sobre este asunto se inició la semana pasada, después de que Gregory Perry, anterior CEO de Netsec, enviara un correo electrónico privado a de Raadt para advertirle de que podrían existir agujeros desde hace diez años en el software que OpenBSD utiliza para securizar las comunicaciones Internet.
Según Perry, el código de puerta trasera habría sido desarrollado como un medio para que el FBI pudiera monitorizar las comunicaciones encriptadas dentro del Departamento de Justicia de Estados Unidos.
De Raadt hizo público el correo electrónico explicando que prefería sacar a la luz el asunto. Nadie ha respaldado las afirmaciones de Perry. De hecho, dos personas nombradas en el mensaje de e-mail han asegurado que son falsas. Pero lo cierto es que existen algunos datos que aporta son ciertos.
Por ejemplo, realmente existe un contratista de seguridad del gobierno denominado Netsec. Y, como Perry defiende, un desarrollador de esta empresa, Jason Wright, realizó contribuciones a OpenBSD. “Realmente creo que es probable que Netsec fuera contratado para desarrollar puertas traseras”, indica de Raadt en su post. “Pero en mi opinión, no las desarrollaron en nuestro código. Debieron ser desplegadas como un producto propio”, continúa.
Según de Raadt, Wright trabajó principalmente sobre drivers para OpenBSD y otro desarrollador de Netsec, Angelos Keromytis, escribió código de seguridad que utilizaba tales drivers.
De cualquier modo, si existe una puerta trasera en OpenBSD desde hace 10 años, sería difícil de identificar, dado que probablemente tendría la apariencia de cualquier otra vulnerabilidad. Sin embargo, podría dar a cualquiera que la conociera una forma de espiar comunicaciones Internet supuestamente seguras –tráfico VPN, por ejemplo- que utilizaran el software afectado.
El debate sobre este asunto se inició la semana pasada, después de que Gregory Perry, anterior CEO de Netsec, enviara un correo electrónico privado a de Raadt para advertirle de que podrían existir agujeros desde hace diez años en el software que OpenBSD utiliza para securizar las comunicaciones Internet.
Según Perry, el código de puerta trasera habría sido desarrollado como un medio para que el FBI pudiera monitorizar las comunicaciones encriptadas dentro del Departamento de Justicia de Estados Unidos.
De Raadt hizo público el correo electrónico explicando que prefería sacar a la luz el asunto. Nadie ha respaldado las afirmaciones de Perry. De hecho, dos personas nombradas en el mensaje de e-mail han asegurado que son falsas. Pero lo cierto es que existen algunos datos que aporta son ciertos.
Por ejemplo, realmente existe un contratista de seguridad del gobierno denominado Netsec. Y, como Perry defiende, un desarrollador de esta empresa, Jason Wright, realizó contribuciones a OpenBSD. “Realmente creo que es probable que Netsec fuera contratado para desarrollar puertas traseras”, indica de Raadt en su post. “Pero en mi opinión, no las desarrollaron en nuestro código. Debieron ser desplegadas como un producto propio”, continúa.
Según de Raadt, Wright trabajó principalmente sobre drivers para OpenBSD y otro desarrollador de Netsec, Angelos Keromytis, escribió código de seguridad que utilizaba tales drivers.
De cualquier modo, si existe una puerta trasera en OpenBSD desde hace 10 años, sería difícil de identificar, dado que probablemente tendría la apariencia de cualquier otra vulnerabilidad. Sin embargo, podría dar a cualquiera que la conociera una forma de espiar comunicaciones Internet supuestamente seguras –tráfico VPN, por ejemplo- que utilizaran el software afectado.
