Далее в письме Перри несколько строк уделено весьма колоритному персонажу, который в министерстве юстиции руководил всем этим проектом с бэкдорами для прокуратуры:

    Человеком в министерстве юстиции, перед которым я отчитывался о проделанной работе, был некто Заль Азми (Zal Azmi) — тот самый, которого впоследствии президент Дж. Буш [в 2004 году] назначит директором ФБР по инфотехнологиям. А в те времена [при администрации Клинтона] он был выбран возглавлять проект VPN прокуратуры на основе его предыдущего опыта в структурах Корпуса морской пехоты (а еще раньше Заль Азми был афганским муджахеддином Усамы бен Ладена в их борьбе против Советов).

Posted on 23 сентября, 2013 Автор: idb@kiwiarxiv
Без срока давности

(Январь 2011)

О том, как ФБР и АНБ встраивали закладки-бэкдоры в криптографию OpenBSD, операционной системы с открытыми исходными кодами.

keyhole

Среди всего того разнообразия операционных систем, что в свое время отпочковались от ОС Unix, проект OpenBSD всегда отличался особо тщательным подходом к обеспечению защиты информации.

Именно по этой причине — ну и благодаря открытому исходному коду, конечно же — криптография, поначалу создававшаяся в рамках OpenBSD, ныне лежит в основе подсистем безопасности в неисчислимом множестве коммуникационных устройств и интернет-приложений, работающих под любыми операционными системами.

В подобных условиях вполне можно понять беспокойство, появившееся у специалистов по защите информации после того, как в середине декабря (2010) Тео де Раадт (Theo de Raadt), основатель и бессменный лидер проекта  OpenBSD, опубликовал через форум разработчиков этой ОС послание следующего содержания:

    Я получил письмо относительно ранней стадии разработки стека IPSEC в OpenBSD. В этом письме утверждается, что некоторые экс-разработчики (и компания, на которую они работали) получали деньги от правительства США на встраивание закладок-бэкдоров в наш набор сетевых протоколов, в частности в [отвечающий за безопасность] стек  IPSEC. Происходило все это дело примерно в 2000-2001 годах.

    Поскольку первый IPSEC-стек у нас был доступным бесплатно, то значительные фрагменты этого кода ныне обнаруживаются во множестве других проектов и программных продуктов. За минувшие более чем 10 лет данный код пакета IPSEC проходил через множество модификаций и исправлений, так что уже неясно, каковым может быть реальный эффект от этих утверждений.

Это письмо, поясняет далее де Раадт, пришло к нему частным образом от Грегори Перри (Gregory Perry) — человека, в свое время активно участвовавшего в становлении OpenBSD, но с которым они уже давно и совершенно никак не пересекались — примерно те же лет десять.

Учитывая весьма  деликатный и одновременно взрывоопасный характер сообщенной ему информации, де Раадт решил, что не испытывает «абсолютно никакого желания становиться частью какого бы то ни было заговора», а потому не стал отвечать автору этого письма лично. Посчитав, что более правильным будет опубликовать полный текст послания Перри на форуме — для всеобщего ознакомления и обсуждения.

Среди главных мотивов этого не очень этичного, прямо скажем, поступка, де Раадт перечислил такие:

(a) те, кто использует этот код, могли бы проверить его на предмет упомянутых проблем;
(b) те, кого это рассердило, могли бы предпринять другие действия;
(c) если же это неправда, то те, кого обвиняют, могли бы себя защитить.

В заключение де Раадт с готовностью признает, что сам он, конечно же, очень не любит, когда его частная переписка публикуется кем-то для всеобщего обозрения.

Однако в данном конкретном случае, считает он, «малая этичность» частного письма, публикуемого в онлайновом форуме, выглядит намного менее существенно, нежели «большая этичность» правительства, которое платит разработчикам открытых исходных кодов (т.е. членам сообщества друзей-единомышленников), дабы те тайком встраивали в коллективно создаваемое программное обеспечение специальные дыры, облегчающие шпионаж.

Непосредственно вслед за этим посланием де Раадта в рассылку для сообщества разработчиков пошел полный текст письма, полученного им от Грегори Перри:

    Привет, Тео. Давно не общались. Если ты припоминаешь, некоторое время назад я был техническим директором компании NETSEC и занимался вопросами финансирования и пожертвований на разработку криптографической подсистемы  OCF [OpenBSD Crypto Framework]. В то же самое время я сотрудничал с ФБР, а именно, с их Центром технической поддержки, где занимались криптологическим проектом по обратной инженерной разработке, нацеленным на встраивание бэкдоров и на реализацию механизмов депонирования ключа для смарт-карт и других аппаратно реализованных компьютерных технологий.

    Для подписанного мною в то время NDA [соглашения о неразглашении секретов] недавно истек срок давности. Поэтому мне хотелось бы ввести тебя в курс дела относительно того факта, что ФБР реализовало в OCF некоторое количество бэкдоров и механизмов для побочных каналов утечки криптоключей. Официальной целью этих работ был мониторинг шифрования в VPN-системе, связывающей сайты прокуратуры Министерства юстиции США, т.е. вышестоящей организации, которой ФБР подчиняется.

    Джейсон Райт (Jason Wright) и несколько других разработчиков [в составе NETSEC] отвечали за эти бэкдоры. Поэтому было бы правильно посоветовать тебе устроить перепроверку всех и каждого из тех кодов, что были предоставлены Райтом и теми из других разработчиков, с которыми он работал и которые появились в проекте из NETSEC.

В заключение своего письма Грегори Перри сообщил де Раадту не только известные ему факты, но и некоторые правдоподобного вида гипотезы.

Например, предположил Перри, именно в этом может крыться причина того, почему проект OpenBSD, прежде пользовавшийся поддержкой со стороны американских военных, в 2003 году резко и без каких-либо объяснений потерял ощутимое финансирование от DARPA, Агентства передовых оборонных исследований.

Расхожим объяснением этой неприятности обычно выдвигался общеизвестный пацифизм Тео де Раадта, осудившего войну США в Ираке. Однако с точки зрения Перри причина была иной: «Более чем вероятно, что до них дошли слухи о встроенных в систему бэкдорах, и они не захотели создавать никаких производных программных продуктов, основанных на той же системе».

Сразу же после публикации всей этой информации  разработчики OpenBSD начали аудиторскую проверку кодов, отвечающих в ОС за безопасность. А поскольку сам Тео де Раадт категорически не пожелал продолжать общение с Перри по данному вопросу, за дело взялись журналисты.

Некоторые из них не только получили от него более подробные комментарии о тайных делах спецслужб десятилетней  давности, но и опубликовали эту информацию в своих блогах. В частности, вот что Перри сообщил Роберту Макмиллану (Robert McMillan) из издания CSO:

    Приветствую, Роберт. В действительности я не подразумевал, чтобы Тео сделал мое письмо доступным для всей остальной части интернета, однако суть его содержимого от этого не меняется.

    Основной мишенью для встраивания механизмов утечки криптоключей через побочные каналы был [криптографический сегмент системы] OCF, а также сегмент фильтрации пакетов PF (stateful inspection packet filter) и стек гигабитного Ethernet-драйвера для ОС OpenBSD. Для всех этих проектов фирма NETSEC [ныне уже не существующая компания инфобезопасности Network Security Technology] предоставила инженеров и оборудование — включая первую версию аппаратного обеспечения для криптографического акселератора OCF, построенного на основе линии криптоускорителей HiFN.

    Этот проект [по встраиванию бэкдоров] осуществлялся Центром технической поддержки Администрации общих служб США (GSA Technical Support Center) — так в 1999 году назывался совместный проект ФБР и АНБ по исследованиям и разработкам. Технологии, которые мы разрабатывали, представляли собой средства управления многоуровневой безопасностью систем (MLS) для совместной работы АНБ и ФБР.

    Одной из наших задач было освоение различных методов для обратной инженерной разработки смарт-карт, включая технологию «Пиранья» (Piranha), применяемую для удаления органических материалов с карточек и других подобных систем, используемых для хранения криптоключей — так, чтобы вентили схемы можно было анализировать с помощью сканирующей электронной и сканирующей туннельной микроскопии.

    Кроме того, мы разрабатывали предложения по распределенным вычислительным системам, использовавшимся при криптоанализе алгоритмов DES/3DES, для лобового взлома ключей тотальным перебором. А также, плюс к этому — разного рода методами для организации побочных каналов утечки ключей и скрытых закладок-бэкдоров в аппаратно реализованных криптосистемах. Некоторые из этих проектов затем ответвлялись в самостоятельные субпроекты, в компоненты систем автоматического тестирования и так далее…

В 2000 году, пишет далее Перри, он ушел из фирмы NETSEC. Во-первых, чтобы затеять новое предприятие. А во-вторых, потому что испытывал весьма существенное беспокойство и душевный дискомфорт от личного участия в шпионских проектах довольно сомнительного характера.

Например, среди прочего Грегори Перри довелось быть ведущим архитектором некоего VPN-проекта, который разрабатывался для защиты виртуальной частной сетью коммуникаций Исполнительного управления прокуратуры США. И уже на этапе разработки в эту VPN-систему, связывающую две с половиной сотни офисов прокуроров США, компания NETSEC встроила тайные бэкдоры ФБР.

Эти бэкдоры были встроены для того, чтобы ФБР имело возможность (в потенциале) восстанавливать информацию о решениях Большого жюри, сообщаемую из различных офисов прокуратуры на территории США и за границей.

Далее в письме Перри несколько строк уделено весьма колоритному персонажу, который в министерстве юстиции руководил всем этим проектом с бэкдорами для прокуратуры:

    Человеком в министерстве юстиции, перед которым я отчитывался о проделанной работе, был некто Заль Азми (Zal Azmi) — тот самый, которого впоследствии президент Дж. Буш [в 2004 году] назначит директором ФБР по инфотехнологиям. А в те времена [при администрации Клинтона] он был выбран возглавлять проект VPN прокуратуры на основе его предыдущего опыта в структурах Корпуса морской пехоты (а еще раньше Заль Азми был афганским муджахеддином Усамы бен Ладена в их борьбе против Советов).

    Он бегло говорил на фарси и работал в нескольких операциях с ЦРУ в качестве лингвиста-переводчика — как до, так и после событий 11 сентября 2001. А затем он получил должность CIO ФБР и главы проекта Sentinel — большой автоматизированной системы по ведению дел ФБР (Sentinel case management system), создаваемой по контракту с Бюро корпорацией Lockheed.

Понятно, что в спецслужбах очень не любят, когда люди, участвующие в проектах, весьма деликатных с точки зрения разглашения информации, вдруг все бросают и уходят неизвестно куда. Сразу после того, как Грегори Перри покинул фирму, его занесли в списки фигурантов санкционированного законом FISA расследования.

Этот закон — Foreign Intelligence Surveillance Act — в порядке исключения позволяет разведслужбам США следить за американскими гражданами, подозреваемыми в сотрудничестве с зарубежной разведкой. Как предполагает Перри, это было сделано «в профилактических целях» — для того, чтобы он не болтал обо всех этих разнообразных проектах его бывшей компании.

Но коль скоро в конце 2010 для официально подписанного Перри соглашения о неразглашении информации истек срок давности, то теперь он считает себя свободным говорить обо всем, что ему известно:

    Реальность такова, что еще при администрации Клинтона, хотя и очень тихо, но уже вовсю кипела закулисная работа по встраиванию бэкдоров во многих областях инфотехнологий — как контрмеры спецслужб в ответ на предполагавшиеся ослабления министерства торговли в экспортных ограничениях на криптотехнику.

    Причем все это происходило до 11 сентября 2001, т.е. во времена, когда, как принято полагать, еще существовали — по крайней мере в теории — высокие стены между ФБР и Министерством обороны [подразделением которого является разведслужба АНБ]…