“維基揭秘”網(wǎng)站挑戰(zhàn)網(wǎng)民對(duì)事實(shí)真相的心理承受底線的實(shí)踐再次證明網(wǎng)絡(luò)安全早已不是一個(gè)純技術(shù)的評(píng)判領(lǐng)域。最近，由號(hào)稱世界上最安全的開源操作系統(tǒng) OpenBSD的創(chuàng)始人希歐·德若特自己爆料稱，他們所提供的OpenBSD網(wǎng)絡(luò)數(shù)據(jù)安全加密協(xié)議可能早在10年前就為美國聯(lián)邦調(diào)查局（FBI）預(yù)留了 “后門”。當(dāng)然，希歐·德若特表示他是不知情的，并且他們已經(jīng)開始著手調(diào)查此事。

早些時(shí)候，德若特就對(duì)媒體表示，他并不知道也不在乎有多少人在使用OpenBSD，盡管它已經(jīng)被下載了數(shù)百萬次。因而，對(duì)于FBI安置“后門”所造成的影響以及給其他使用者帶來的后果，德若特表示現(xiàn)在還無法估計(jì)。

[[17640]]

聯(lián)邦政府“后門”記錄有前科

事情的經(jīng)過大致是這樣的：今年12月14日，在OpenBSD的官方網(wǎng)站上，希歐·德若特公布了OpenBSD前開發(fā)人員格利高里·佩里 （Gregory Perry）在Facebook上給他的來信原文。佩里在來信中稱，由于其與FBI的保密協(xié)議已經(jīng)到期，他現(xiàn)在可以將真相說出來了：大 約早在10年前，他作為OpenBSD的開發(fā)人員主要負(fù)責(zé)為項(xiàng)目籌措資金，但同時(shí)他還有一重身份，那就是為FBI的GSA技術(shù)支持中心提供咨詢服務(wù)，主要 是為智能卡和其他硬件的計(jì)算技術(shù)的密鎖托管機(jī)制開啟“后門”。

佩里坦言，在編寫OpenBSD的過程中，F(xiàn)BI為監(jiān)測自 己的上級(jí)組織EOUSA的站點(diǎn)到站點(diǎn)VPN加密系統(tǒng)而安置了“后門”，并指名道姓地指出當(dāng)時(shí)還有其他幾個(gè)編程人員具體執(zhí)行了這些“后門”的植入工作。佩里 在郵件中建議德若特徹查有關(guān)人員編寫的部分。雖然幾位卷入此事的開發(fā)者和程序員都紛紛否認(rèn)此項(xiàng)指控,開發(fā)人員已經(jīng)著手檢測OpenBSD以確定佩里所言是 否屬實(shí)。

佩里在一封給媒體記者的郵件中指出，在開源代碼中植入“后門”的嘗試是基于克林頓政府“對(duì)其商業(yè)加密出口法規(guī)部 門可能存在的松懈的一種反擊措施”。然而不論其表面原因是什么，不可否認(rèn)的一點(diǎn)是聯(lián)邦政府擁有一個(gè)設(shè)置網(wǎng)絡(luò)“后門”的悠久歷史。最近的一個(gè)例子即是，雖然 明顯違反了聯(lián)邦法律，布什政府時(shí)期仍然堅(jiān)持要求AT&T公司開放網(wǎng)絡(luò)。因此，無論佩里所指控的“后門”事件是否屬實(shí)，這確實(shí)已經(jīng)引起網(wǎng)絡(luò)安全社區(qū) 內(nèi)的一陣辯論。一位名叫E·J·希爾伯特的前FBI網(wǎng)絡(luò)間諜在其14日的推特微博中稱，他們確實(shí)試圖在這樣的開源代碼中植入“后門”，然而并沒有成功。

加密操作系統(tǒng)面臨誠信危機(jī)

希 歐·德若特將該郵件原文公布于眾主要是希望相關(guān)各方引起注意，對(duì)其進(jìn)行編碼檢測。“由于我們率先提供了完全免費(fèi)的開源加密操作系統(tǒng)，因此我們的產(chǎn)品被廣泛 運(yùn)用于其他程序和產(chǎn)品中。經(jīng)過10年的發(fā)展，這個(gè)加密操作系統(tǒng)已經(jīng)經(jīng)歷了很多改變和改善，因此我們并不清楚這項(xiàng)指控所帶來的影響”德若特如是說。

然 而，深具諷刺意味的是，OpenBSD一向引以為傲的系統(tǒng)安全性如今卻面臨徹底被顛覆的危險(xiǎn)。如果佩里的指控被證實(shí)屬實(shí)，那么受到?jīng)_擊的不僅是這個(gè)以安全 著稱的操作系統(tǒng)，甚至對(duì)于FBI本身而言也是一場不小的危機(jī)。因?yàn)檫@讓人擔(dān)心，在其他軟件系統(tǒng)中有被同樣放置“后門”的可能性。

截 至目前為止，這個(gè)消息還主要是在一些比較專業(yè)于信息技術(shù)的媒體圈內(nèi)受到關(guān)注，因?yàn)楸举|(zhì)上OpenBSD系統(tǒng)不是普羅大眾能夠日常接觸的軟件系統(tǒng)，而主要是 作為一些對(duì)于保密有特定要求的網(wǎng)站，在服務(wù)器端運(yùn)行。如果這則消息最終證明為真，可能會(huì)在各國引發(fā)一場有關(guān)開源軟件實(shí)質(zhì)安全程度的大風(fēng)暴，尤其是那些發(fā)端 于美國的開源軟件，因?yàn)槊绹辽儆?3個(gè)隸屬不同條線的情報(bào)機(jī)構(gòu)，F(xiàn)BI可以在OpenBSD系統(tǒng)置入后門，那么其他機(jī)構(gòu)是否有同樣的可能？何種系統(tǒng)是真 正可以被信任，抑或說是真正安全的？如果說此前，維基揭秘的爆料可能引發(fā)一場“外交9·11”的話，那么此次OpenBSD后門事件有可能震動(dòng)整個(gè)互聯(lián)網(wǎng) 開源軟件行業(yè)，乃至整個(gè)互聯(lián)網(wǎng)行業(yè)，因?yàn)槿藗兇饲皩?duì)軟件以及信息技術(shù)的信任將面臨巨大的沖撞與挑戰(zhàn)。

【編輯推薦】

1. 維基解密黑客復(fù)仇Radware用戶占上風(fēng)
2. 完全清除DLL后門的實(shí)際操作流程
3. 賽門鐵克提示:有關(guān)維基解密網(wǎng)站的分布式拒絕服務(wù)攻擊
4. 維基解密可怕 防止企業(yè)Android和iPhone手機(jī)泄密