Sistema operacional teria 'brecha' pedida pelo FBI, diz programador

O sistema operacional OpenBSD, desenvolvido com foco em sua segurança, teria seu código de segurança IPsec “contaminado” por uma “porta dos fundos” que permitiria ao FBI grampear as conexões. A acusação está em um e-mail escrito pelo ex-desenvolvedor do sistema Gregory Perry e enviado ao líder e fundador do projeto OpenBSD, Theo de Raadt. Perry era colaborador do projeto OpenBSD em 2000 e não tinha mais contato com Raadt desde então.

O IPsec é um protocolo que define uma maneira de adicionar segurança ao protocolo de internet (IP). É usado para a criação de redes virtuais privadas (VPN), que permitem a um usuário se conecte à rede da empresa remotamente, por exemplo. A VPN precisa de um canal seguro para sua comunicação. Com a presença de uma “porta dos fundos”, o FBI conseguiria decodificar a conexão e grampeá-la. Normalmente, mesmo com ordem judicial, esse grampo não seria possível.

Raadt disse que não quer “ser parte dessa conspiração” e resolveu publicar o e-mail original de Perry, na íntegra. A mensagem acusa Jason Wright, uma das figuras mais importantes do OpenBSD, de ter colaborado com o esquema. Perry era diretor de tecnologia da empresa Netsec e, segundo ele, qualquer código que originou da empresa deve ser auditado. “Quem usa o código deve verificá-lo”, disse Raadt.

Não se sabe se o código ainda torna as conexões IPsec do OpenBSD inseguras. Nesses dez anos, muitas mudanças foram realizadas e o código foi atualizado diversas vezes. Não é possível saber se ainda resta algum código do FBI ou mesmo se ele é funcional. Também não é possível confirmar se o código de fato existe.

Objetivo e perda de financimento
A “porta dos fundos” teria como objetivo permitir ao FBI monitorar as conexões internas do Escritório Executivo de Procuradores dos Estados Unidos (EOUSA), que ajuda a coordenar operações do Departamento de Justiça, do qual o FBI faz parte. Perry disse só estar divulgando esses detalhes agora porque seu acordo de sigilo (NDA, na sigla em inglês) com o FBI “expirou recentemente”.

Perry também especula que o OpenBSD perdeu seu auxílio financeiro da Agência de Pesquisas em Projetos Avançados de Defesa (Darpa, na sigla em inglês) porque a agência teria tomado conhecimento das inseguranças no código. A presença da vulnerabilidade intencional também teria motivado alguns especialistas ligados ao FBI a recomendar o OpenBSD como solução de VPN e firewall.

Ernest Hilbert, ex-agente do FBI, afirmou pelo Twitter que o experimente realmente ocorreu, mas que não teria tido sucesso. O OpenBSD é desenvolvido com um foco agressivo na segurança e divulga com orgulho que só teve “duas brechas remotas” na instalação padrão.

Outros sistemas e produtos
A licença do BSD é bem permissiva a respeito de qual código pode ser copiado. Muitos softwares e produtos podem ter copiado o código “contaminado”.

Entre os produtos potencialmente vulneráveis pode estar o Microsoft Services for Unix, que promove a integração do Windows com ambientes baseados em Unix, como é o caso do OpenBSD.

No entanto, o NetBSD e o FreeBSD usam um código diferente para sua implementação de IPsec e não estão vulneráveis. O MacOS X, da Apple, que usa código desses sistemas, também não teria consigo o código vulnerável. O Linux também usa outra implementação do IPsec e não contém o código inseguro.