最安全操作系统遭遇“FBI后门”
“维基揭秘”网站挑战网民对事实真相的心理承受底线的实践再次证明网络安全早已不是一个纯技术的评判领域。最近,由号称世界上最安全的开源操作系统 OpenBSD的创始人希欧·德若特自己爆料称,他们所提供的OpenBSD网络数据安全加密协议可能早在10年前就为美国联邦调查局(FBI)预留了 “后门”。当然,希欧·德若特表示他是不知情的,并且他们已经开始着手调查此事。
早些时候,德若特就对媒体表示,他并不知道也不在乎有多少人在使用OpenBSD,尽管它已经被下载了数百万次。因而,对于FBI安置“后门”所造成的影响以及给其他使用者带来的后果,德若特表示现在还无法估计。
联邦政府“后门”记录有前科
事情的经过大致是这样的:今年12月14日,在OpenBSD的官方网站上,希欧·德若特公布了OpenBSD前开发人员格利高里·佩里 (Gregory Perry)在Facebook上给他的来信原文。佩里在来信中称,由于其与FBI的保密协议已经到期,他现在可以将真相说出来了:大约早在10年前,他作为OpenBSD的开发人员主要负责为项目筹措资金,但同时他还有一重身份,那就是为FBI的GSA技术支持中心提供咨询服务,主要是为智能卡和其他硬件的计算技术的密锁托管机制开启“后门”。
佩里坦言,在编写OpenBSD的过程中,FBI为监测自己的上级组织EOUSA的站点到站点VPN加密系统而安置了“后门”,并指名道姓地指出当时还有其他几个编程人员具体执行了这些“后门”的植入工作。佩里在邮件中建议德若特彻查有关人员编写的部分。虽然几位卷入此事的开发者和程序员都纷纷否认此项指控,开发人员已经着手检测OpenBSD以确定佩里所言是 否属实。佩里在一封给媒体记者的邮件中指出,在开源代码中植入“后门”的尝试是基于克林顿政府“对其商业加密出口法规部门可能存在的松懈的一种反击措施”。然而不论其表面原因是什么,不可否认的一点是联邦政府拥有一个设置网络“后门”的悠久历史。最近的一个例子即是,虽然明显违反了联邦法律,布什政府时期仍然坚持要求AT&T公司开放网络。因此,无论佩里所指控的“后门”事件是否属实,这确实已经引起网络安全社区 内的一阵辩论。一位名叫E·J·希尔伯特的前FBI网络间谍在其14日的推特微博中称,他们确实试图在这样的开源代码中植入“后门”,然而并没有成功。
加密操作系统面临诚信危机
希欧·德若特将该邮件原文公布于众主要是希望相关各方引起注意,对其进行编码检测。“由于我们率先提供了完全免费的开源加密操作系统,因此我们的产品被广泛运用于其他程序和产品中。经过10年的发展,这个加密操作系统已经经历了很多改变和改善,因此我们并不清楚这项指控所带来的影响”德若特如是说。
然而,深具讽刺意味的是,OpenBSD一向引以为傲的系统安全性如今却面临彻底被颠覆的危险。如果佩里的指控被证实属实,那么受到冲击的不仅是这个以安全著称的操作系统,甚至对于FBI本身而言也是一场不小的危机。因为这让人担心,在其他软件系统中有被同样放置“后门”的可能性。
截至目前为止,这个消息还主要是在一些比较专业于信息技术的媒体圈内受到关注,因为本质上OpenBSD系统不是普罗大众能够日常接触的软件系统,而主要是作为一些对于保密有特定要求的网站,在服务器端运行。如果这则消息最终证明为真,可能会在各国引发一场有关开源软件实质安全程度的大风暴,尤其是那些发端于美国的开源软件,因为美国至少有13个隶属不同条线的情报机构,FBI可以在OpenBSD系统置入后门,那么其他机构是否有同样的可能?何种系统是真正可以被信任,抑或说是真正安全的?如果说此前,维基揭秘的爆料可能引发一场“外交9·11”的话,那么此次OpenBSD后门事件有可能震动整个互联网 开源软件行业,乃至整个互联网行业,因为人们此前对软件以及信息技术的信任将面临巨大的冲撞与挑战。