Так или иначе, но Тео Де Раадт говорит, что все актуальные на сегодня версии OpenBSD сейчас проходят процедуру аудита со стороны создателей системы и ничего подозрительного и напоминающего потайной ход в ОС пока не найдено. Зато были найдены некоторые уязвимости о которых прежде не сообщалось, но теперь они будут исправлены. "Характер этих уязвимостей говорит о том, что они появились в системе непреднамеренно и они не могут претендовать на роль бэкдора", - сказал Де Раадт.

Тем временем CNews сообщает: Информацию о наличии закладок ФБР в исходном коде OpenBSD не удалось подтвердить. Лидер проекта Тео де Раадт считает вероятным, что ФБР действительно оплатила такую работу, но по какой-то причине закладки не попали в основное дерево проекта.

Однако часть сведений в письме Грегори Перри все-таки подтвердилась, что не позволило разработчикам OpenBSD полностью оставить его сообщение без внимания: “Мы выяснили, что Ангелос [Керомитис – Angelos Keromytis] (наш разработчик ipsec) также в определенный момент времени выполнял работу по контракту с этой организацией. В письме сообщалось, что это был не только Джейсон”, – пишет Тео де Раадт.

Разработчик OpenBSD Дэмиэн Миллер (Damien Miller) предположил, что проблемный код, если он существовал, должен был быть внесен не в саму реализацию протокола IPSEC, а в сетевой стэк. В то время разработка криптографического кода, в силу действовавших в США экспортных ограничений, вообще была затруднительна: “Мы никогда не позволяли гражданам США или работающим в США иностранным гражданам участвовать в написании криптографического кода (Нильсу Провосу [Niels Provos] приходилось по этой причине ездить в Канаду для разработки OpenSSH), поэтому прямые интерференции с криптографическим кодом маловероятны”. Далее Дэмиэн Миллер предлагает четыре вероятных пути реализации утечки информации в коде сетевого стэка, с анализа которых он предлагает начать аудит.

Подводя промежуточные итоги, Тео де Раадт указал, что компания Netsec действительно занималась работой по государственным контрактам. В то же время, в период с 1999 по 2001 год контроль над криптографией передавался от Министерства обороны в Министерство торговли, в связи с чем криптографические средства теперь можно было экспортировать “в ограниченных пределах”. В связи с этим правительство США предпринимало меры по изобретению новых технологий, которые позволяли бы ему контролировать коммуникации в условиях распространения криптографических средств в частном секторе. Тео де Раадт сообщает, что Ангелос Керомитис, будучи активным разработчиком OpenBSD, поступил на работу в Netsec после ухода Джейсона Райта. Он занимался разработкой криптографического слоя в OpenBSD, путешествуя по другим странам. Благодаря проведенному аудиту, в этом коде удалось выявить две ошибки, однако вероятность того, что эти ошибки были внесены сознательно, лидер OpenBSD оценивает как невысокую: “Я не верю, что какая-либо из этих двух проблем, или из других обнаруженных на сегодня проблем, является результатом непосредственного злого умысла”.

Вместе с тем, Тео де Раадт считает, что обвинения Грегори Перри имеют под собой почву: “Я верю, что Netsec могла быть нанята для написания тех закладок, о которых идет речь”. Однако это намерение по каким-то причинам не удалось реализовать: “Если они и были написаны, то я не верю, что они попали в основное дерево. Вероятно, они были реализованы в их собственном продукте”, – пишет лидер OpenBSD.

Отвечая на вопрос CNews о том, сможет ли аудит исходного кода дать однозначные подтверждения или опровержения обвинений Грегори Перри, лидер проекта Openwall Александр Песляк ответил, что это очень сложная задача: “IPSec столь сложная вещь, что в реализации найдут уязвимости и не будут знать наверняка, были ли они привнесены сознательно или нет”. Что же касается вероятности участия ФБР в составлении закладок в коде OpenBSD, то такую меру Александр Песляк считает технически возможной, но неразумной: “Другое дело, что неразумные вещи иногда все равно заказывают и делают – или делают вид что делают”, – замечает лидер Openwall.