OpenBSD Stories
Πρώτη δημοσίευση: 2025-10-08
Στις αρχές του 2014, ο Bob Beck, τότε επικεφαλής του καναδικού μη κερδοσκοπικού OpenBSD Foundation, βρισκόταν μπροστά από ένα δυσθεώρητο εμπόδιο.
Επρόκειτο για άλλο ένα πρόβλημα, όμως όχι από εκείνα που ο Bod ήξερε να αντιμετωπίζει επιτυχώς, ως πολύπειρος developer του λειτουργικού συστήματος OpenBSD και άλλων συγγενικών πρότζεκτ.
Αυτή τη φορά, το πρόβλημα δεν ήταν τεχνικό αλλά οικονομικό: υπήρχε άμεση ανάγκη για χρηματοδότηση, ώστε να καλυφθούν οι ετήσιες δαπάνες ηλεκτρικού για τα εργαστήρια και την υλική υποδομή του OpenBSD.
Τα εν λόγω εργαστήρια ποτέ δεν ήταν ένας απλός χώρος, με λίγα μόνο μηχανήματα για τους ενδιαφερόμενους hackers. Αν μη τι άλλο, το OpenBSD ανέκαθεν προοριζόταν για πολλές διαφορετικές αρχιτεκτονικές, οπότε το βασικό σύστημα πρέπει να μεταγλωττίζεται διαρκώς για όλες τις υποστηριζόμενες πλατφόρμες: Alpha, IA-32, x86-64, ARM, PowerPC κ.ά. Από εκεί και πέρα υπάρχουν βέβαια το coding και το testing, η ανάλυση ευπαθειών, τα code audits, η ανάπτυξη οδηγών συσκευών, ο έλεγχος συμβατότητας με διάφορες κατηγορίες hardware, τα hackathons κ.ο.κ.
Ο Bob συνειδητοποίησε ότι ο καλύτερος τρόπος για την αντιμετώπιση του προβλήματος, ήταν να μιλήσει ανοικτά γι' αυτό.
Έτσι, στις 14 Ιανουαρίου του 2014, έστειλε ένα μήνυμα στη λίστα openbsd-misc.
Ήταν ένα σύντομο και περιεκτικό κείμενο, με το οποίο ο Bob απαντούσε σε προηγούμενο σχετικό μήνυμα του Theo de Raadt, ιδρυτή κι επικεφαλής του OpenBSD πρότζεκτ, επισημαίνοντας ότι το OpenBSD Foundation θα μπορούσε να μεσολαβήσει ώστε να βρεθεί αξιόπιστη πηγή χρηματοδότησης -- και μάλιστα σύντομα. Σε διαφορετική περίπτωση, η ανάπτυξη του OpenBSD ενδεχομένως και να σταματούσε.
Για καθαρά λογιστικούς λόγους, ο Theo θα προτιμούσε δωρεά από καναδική εταιρεία.
Τελικά όμως το κεφάλαιο για τις ανάγκες του εργαστηρίου, ύψους $20000 σε Bitcoin, προήλθε από τον Mircea Popescu, τον Ρουμάνο δημιουργό του MPEx Bitcoin securities και futures exchange.
Συνολικά, μετά το email του Bod στη λίστα openbsd-misc, συγκεντρώθηκαν περί τα $150000, διασφαλίζοντας έτσι το βραχυπρόθεσμο μέλλον του πρότζεκτ.
Backdoors φαντάσματα
Το θέμα με τη χρηματοδότηση των εργαστηρίων δεν είναι το μοναδικό --ούτε το πιο σοβαρό-- επεισόδιο στην ιστορία του OpenBSD. Τέσσερα χρόνια πριν, στις 11 Δεκεμβρίου του 2010, ο Theo de Raadt θα έβρισκε στο inbox του ένα πολύ παράξενο email.
Σε αυτό, ο Gregory Perry, πρώην τεχνικός σύμβουλος για το FBI, ενημέρωνε τον Theo ότι, δέκα χρόνια πριν, το FBI είχε πληρώσει developers προκειμένου να εισάγουν backdoors στο OpenBSD Cryptographic Framework.
Ο Theo είχε περίπου δέκα χρόνια να επικοινωνήσει με τον Perry, οι ισχυρισμοί του οποίου τώρα φάνταζαν κάπως εξωφρενικοί. Ωστόσο δεν θα ήταν φρόνιμο να τους αγνοήσει, αλλά ούτε και να εμπλακεί ο ίδιος σε κάποια πιθανή θεωρία συνωμοσίας. Επέλεξε λοιπόν να μην απαντήσει στον Perry, αλλά σίγουρα θα γνωστοποιούσε το περιεχόμενο του email του.
Στις 14 Δεκεμβρίου, το εν λόγω email ήταν δημοσιευμένο στη λίστα openbsd-tech.
Ο Theo εξηγούσε ότι τα backdoors προορίζονταν για το IPsec, το οποίο αποτελούσε μέρος του OpenBSD πρότζεκτ από πολύ νωρίς -- ήταν μάλιστα η πρώτη δωρεάν υλοποίηση του σχετικού stack.
Δέκα χρόνια είχαν περάσει από τότε που backdoors υποτίθεται ότι προσπάθησαν να βρουν το δρόμο τους προς τον κώδικα του IPsec stack, και σ' όλο αυτό το διάστημα ο σχετικός κώδικας είχε δεχθεί πολλές διορθώσεις και βελτιώσεις.
Από τη στιγμή όμως που καμία πιθανότητα δεν θα μπορούσε να αποκλειστεί, και με δεδομένο ότι ο κώδικας του IPsec είχε ήδη υιοθετηθεί από πολλά άλλα πρότζεκτ και προϊόντα, ο Theo δημοσίευε τώρα το email που έλαβε ώστε, όπως σημείωνε...
- όσοι χρησιμοποιούν το IPsec να ελέγξουν τον κώδικα για προβλήματα,
- όσοι έχουν θορυβηθεί μ' αυτή την ιστορία να προχωρήσουν στις ανάλογες ενέργειες,
- αν ο ισχυρισμός περί backdoors δεν είναι τελικά αληθής, οι θιγόμενοι να υπερασπιστούν τους εαυτούς τους.
Στις εβδομάδες που ακολούθησαν, bugs βρέθηκαν στο IPsec stack και εξαλείφθηκαν. Ίχνη για backdoors, ωστόσο, δεν εντοπίστηκαν πουθενά.
Σε συνέντευξή του, ο Theo De Raadt θα δήλωνε ότι κάποια στιγμή ίσως είχε ζητηθεί από τη NetSec, εταιρεία στην οποία ο Gregory Perry είχε επιτελέσει τεχνικός διευθυντής, ν' αναπτύξει backdoor για το IPsec stack του OpenBSD. Αν όντως αναπτύχθηκε σχετικό backdoor, ίσως χρησιμοποιήθηκε σε προϊόν της εταιρείας. Κατά πάσα πιθανότητα, όμως, ποτέ δεν έφτασε στο source tree του OpenBSD.
Έμφαση στην ασφάλεια
Ήδη από το μακρινό 1995, όταν το OpenBSD ξεκίνησε ως fork του NetBSD 1.0, τα θέματα ασφάλειας είχαν πρωταρχικό ρόλο στην ανάπτυξη του λειτουργικού.
Στο πλαίσιο του OpenBSD πρότζεκτ, ένα πλήθος υποσυστημάτων συντηρούνται ως φορητά πακέτα. Αυτά, χάρη στην άδεια χρήσης BSD, υιοθετούνται από ένα πλήθος άλλων λειτουργικών συστημάτων.
Το firewall του macOS, για παράδειγμα, βασίζεται στο PF firewall του OpenBSD, το οποίο επίσης χρησιμοποιείται από τα FreeBSD, NetBSD, DragonFly BSD, pfSense και άλλα λειτουργικά.
Το δε OpenSSH (OpenBSD Secure Shell) είναι ίσως το πλέον δημοφιλές υποσύστημα του OpenBSD, το οποίο χρησιμοποιείται σχεδόν από κάθε άλλο λειτουργικό σύστημα.
Στον επίσημο δικτυακό τόπο του OpenBSD, έως τον Ιούνιο του 2002 ο επισκέπτης διάβαζε το ακόλουθο σλόγκαν:
Πέντε χρόνια χωρίς ούτε ένα remote hole στη βασική εγκατάσταση!
Όπως φάνηκε, όμως, είχε φτάσει η ώρα για ν' αλλάξει.
Πράγματι, τον ίδιο μήνα αποκαλύφθηκε μια σοβαρή αδυναμία στο μηχανισμό challenge-response authentication του OpenSSH, η οποία καθιστούσε δυνατή την απομακρυσμένη πρόσβαση στο λογαριασμό root της βασικής εγκατάστασης του OpenBSD.
Πολύ χειρότερα, η αδυναμία δεν αφορούσε μόνο στο OpenBSD, αλλά και σε όλα τα άλλα λειτουργικά συστήματα που εκείνη την εποχή χρησιμοποιούσαν τη συγκεκριμένη ευάλωτη έκδοση του OpenSSH.
Το πρόβλημα αντιμετωπίστηκε, το σλόγκαν άλλαξε:
Ένα remote hole στη βασική εγκατάσταση, σε σχεδόν 6 χρόνια!
Το σλόγκαν έμεινε απαράλλαχτο έως τον Μάρτιο του 2007, όταν μια νέα αδυναμία ανακαλύφθηκε στον κώδικα διαχείρισης πακέτων IPv6.
Η συγκεκριμένη αδυναμία αφορούσε στη βασική εγκατάσταση του OpenBSD, επιτρέποντας είτε την απομακρυσμένη εκτέλεση κώδικα στο επίπεδο του πυρήνα, είτε τις απομακρυσμένες επιθέσεις denial of service.
Για δεύτερη φορά το πρόβλημα αντιμετωπίστηκε -- και βεβαίως το σλόγκαν άλλαξε:
Μόνο δύο remote holes στη βασική εγκατάσταση, σε πάρα πολύ καιρό!
Από τότε έως σήμερα, οι διαρκείς προσπάθειες των ερευνητών ασφαλείας δεν έχουν οδηγήσει σε αλλαγή του σλόγκαν.