Davvero l'FBI ha messo cimici nel software libero OpenBSD (e nel Mac)?
Un'accusa pesante: l'FBI avrebbe infilato delle vere e proprie “cimici digitali” nel sistema operativo OpenBSD e la cosa potrebbe avere ripercussioni anche su altri sistemi operativi, come per esempio Mac OS X di Apple. Lo afferma una mail del programmatore ed ex consulente dell'FBI Gregory Perry, inviata a Theo de Raadt, capo del progetto OpenBSD, un sistema operativo simile a Unix, aperto e liberamente scaricabile, celebre fra gli appassionati per la sua qualità e sicurezza, tanto da vantare il record invidiabile di due sole falle gravi in dieci anni.
OpenBSD è appunto open: tutto il suo contenuto, il codice sorgente, è pubblico e verificabile, e questo viene interpretato di solito come garanzia di sicurezza e trasparenza. Ma la mail di Perry dice che l'FBI pagò vari sviluppatori del software (e Perry ne fa i nomi) per inserire delle backdoor (accessi segreti) in OpenBSD, specificamente nel suo stack IPSEC, una parte fondamentale per la cifratura e protezione delle reti private virtuali (VPN).
Se fosse vero, sarebbe uno smacco fortissimo per OpenBSD, che ha sempre fatto della sicurezza il proprio vanto principale, ma in generale per uno dei principi fondamentali dell'open source, secondo il quale se il codice è pubblico non può contenere trappole.
Va chiarito subito che per ora si tratta soltanto di un'accusa di cui mancano conferme, anche se una fonte FBI ha Twitterato "esperimento sì, successo no", vale a dire che l'FBI ci ha provato ma non c'è riuscita. O almeno così dice.
L'esame del codice è già in corso e finora non ha trovato tracce di manomissioni o backdoor. Va anche detto che la presunta infiltrazione dell'FBI risalirebbe a dieci anni fa, e in dieci anni lo stack IPSEC di OpenBSD ha subito grandi evoluzioni, quindi di quelle "cimici" oggi potrebbe non essere rimasto nulla.
La faccenda, però, non riguarda solo OpenBSD, che è comunque un prodotto abbastanza di nicchia (ma molto usato per i siti Web). Il codice incriminato è stato in parte riutilizzato in altri sistemi operativi, compreso Mac OS X, per cui secondo Intego "esiste la possibilità che se sono presenti queste backdoor, ne possa essere affetto Mac OS X" e che lo stesso valga per "altre suite e framework di sicurezza in vari sistemi operativi". Sempre Intego sottolinea che al momento "non c'è motivo di non usare una VPN su Mac OS X; se esistono queste backdoor, sono probabilmente accessibili soltanto all'FBI (o ad altre agenzie di sicurezza) e a meno che temiate che queste agenzie acquisiscano le informazioni che trasmettete su una VPN, siete probabilmente al sicuro."
Non so quanto siano davvero rassicuranti queste parole, ma c'è una cosa importante da sottolineare a chi pensa che questa possa essere una sconfitta per la filosofia open source: è solo grazie alla disponibilità pubblica del codice sorgente che si può verificare se quest'accusa è vera o no. Gli altri sistemi operativi, quelli che non divulgano il proprio codice, non consentono di sapere cosa c'è dentro.