מייל שפורסם לאחרונה בבלוג של Theo de Raadt, מתכנת בכיר שהיה ממייסדי פרויקט ה-"OpenBSD", מעורר סערה לא קטנה ומעלה שוב את הטענה כי גם תוכנות המבוססות על קוד פתוח (כדוגמת OpenBSD) עלולות להכיל קטעי קוד זדוני שנשתלו על-ידי מפתחי הקוד עצמם.

אחד הטיעונים המרכזיים אצל תומכי הקוד הפתוח בנוגע לרמת האבטחה העדיפה שלו, היה שכל אדם המעוניין בכך יכול לבצע "Code Review" ולוודא בעצמו מה מבצע הקוד בפועל. אולם במידה והפרסום שנחשף בבלוג נכון, נראה שהטענה הזו מחוסרת אחיזה במציאות.

לטענתו של ת'יאו, נישלח אליו מייל מאדם שאיתו עבד בשנת 2000 על פיתוח פרויקט ה-OCF (הקוד המטפל בהצפנות ב-OpenBSD), שבו הוא מספר שלמעשה עבד בשירות ה-FBI באותו זמן.

אותו אדם, Gregory Perry, מספר כי הסכם הסודיות (NDA) שלו עם ה-FBI פג לאחרונה לאחר 10 שנים. בעקבות זאת הוא מעוניין לחשוף את העובדה שבין השנים 2000-2001 שתל ה-FBI מספר מנגנוני "Backdoor" בקטעי קוד שונים המטפלים בקישורי IPSEC, זאת כדי לנטר תעבורת VPN בארגונים שיטמיעו את הטכנולוגיה.

הדבר שמבדיל את הפרסום הנ"ל מפרסומים קודמים דומים, שסווגו לבסוף כ"אגדות אורבניות" ללא יכולת הוכחה, היא יכולתו של גרגורי לנקוב בשמות האנשים הספציפיים שהיו מעורבים בתהליך.

האם הטענות נכונות? ימים יגידו, אולם חוסר היכולת של קהילת מפתחי הקוד הפתוח לאשש או להפריך את הטענות יותר מעשור לאחר שהקוד המדובר נכתב, מדאיגה לא פחות.

יש לזכור, קוד המטפל בהצפנת תעבורה ופענוחה הוא קוד מורכב ביותר שמעטים מתמצאים בו. עצם כתיבתו בקוד פתוח אינה מבטיחה את אמינותו ורמת בטיחותו, ולכן כאשר מטמיעים אותו במערכת קניינית (proprietary) הצורך בביצוע "Code Review" ובדיקות אבטחה אחרות עדיין שריר וקיים.

למידע נוסף: http://permalink.gmane.org/gmane.os.openbsd.tech/22557

קרדיט: http://www.guym.co.il/ (ZuLL)