最安全操作系統遭遇“FBI后門”
“維基揭秘”網站挑戰網民對事實真相的心理承受底線的實踐再次證明網絡安全早已不是一個純技術的評判領域。最近,由號稱世界上最安全的開源操作系統 OpenBSD的創始人希歐·德若特自己爆料稱,他們所提供的OpenBSD網絡數據安全加密協議可能早在10年前就為美國聯邦調查局(FBI)預留了 “后門”。當然,希歐·德若特表示他是不知情的,并且他們已經開始著手調查此事。
早些時候,德若特就對媒體表示,他并不知道也不在乎有多少人在使用OpenBSD,盡管它已經被下載了數百萬次。因而,對于FBI安置“后門”所造成的影響以及給其他使用者帶來的后果,德若特表示現在還無法估計。
聯邦政府“后門”記錄有前科
事情的經過大致是這樣的:今年12月14日,在OpenBSD的官方網站上,希歐·德若特公布了OpenBSD前開發人員格利高里·佩里 (Gregory Perry)在Facebook上給他的來信原文。佩里在來信中稱,由于其與FBI的保密協議已經到期,他現在可以將真相說出來了:大 約早在10年前,他作為OpenBSD的開發人員主要負責為項目籌措資金,但同時他還有一重身份,那就是為FBI的GSA技術支持中心提供咨詢服務,主要 是為智能卡和其他硬件的計算技術的密鎖托管機制開啟“后門”。
佩里坦言,在編寫OpenBSD的過程中,FBI為監測自 己的上級組織EOUSA的站點到站點VPN加密系統而安置了“后門”,并指名道姓地指出當時還有其他幾個編程人員具體執行了這些“后門”的植入工作。佩里 在郵件中建議德若特徹查有關人員編寫的部分。雖然幾位卷入此事的開發者和程序員都紛紛否認此項指控,開發人員已經著手檢測OpenBSD以確定佩里所言是 否屬實。
佩里在一封給媒體記者的郵件中指出,在開源代碼中植入“后門”的嘗試是基于克林頓政府“對其商業加密出口法規部 門可能存在的松懈的一種反擊措施”。然而不論其表面原因是什么,不可否認的一點是聯邦政府擁有一個設置網絡“后門”的悠久歷史。最近的一個例子即是,雖然 明顯違反了聯邦法律,布什政府時期仍然堅持要求AT&T公司開放網絡。因此,無論佩里所指控的“后門”事件是否屬實,這確實已經引起網絡安全社區 內的一陣辯論。一位名叫E·J·希爾伯特的前FBI網絡間諜在其14日的推特微博中稱,他們確實試圖在這樣的開源代碼中植入“后門”,然而并沒有成功。
加密操作系統面臨誠信危機
希 歐·德若特將該郵件原文公布于眾主要是希望相關各方引起注意,對其進行編碼檢測。“由于我們率先提供了完全免費的開源加密操作系統,因此我們的產品被廣泛 運用于其他程序和產品中。經過10年的發展,這個加密操作系統已經經歷了很多改變和改善,因此我們并不清楚這項指控所帶來的影響”德若特如是說。
然 而,深具諷刺意味的是,OpenBSD一向引以為傲的系統安全性如今卻面臨徹底被顛覆的危險。如果佩里的指控被證實屬實,那么受到沖擊的不僅是這個以安全 著稱的操作系統,甚至對于FBI本身而言也是一場不小的危機。因為這讓人擔心,在其他軟件系統中有被同樣放置“后門”的可能性。
截 至目前為止,這個消息還主要是在一些比較專業于信息技術的媒體圈內受到關注,因為本質上OpenBSD系統不是普羅大眾能夠日常接觸的軟件系統,而主要是 作為一些對于保密有特定要求的網站,在服務器端運行。如果這則消息最終證明為真,可能會在各國引發一場有關開源軟件實質安全程度的大風暴,尤其是那些發端 于美國的開源軟件,因為美國至少有13個隸屬不同條線的情報機構,FBI可以在OpenBSD系統置入后門,那么其他機構是否有同樣的可能?何種系統是真 正可以被信任,抑或說是真正安全的?如果說此前,維基揭秘的爆料可能引發一場“外交9·11”的話,那么此次OpenBSD后門事件有可能震動整個互聯網 開源軟件行業,乃至整個互聯網行業,因為人們此前對軟件以及信息技術的信任將面臨巨大的沖撞與挑戰。
【編輯推薦】
