De beschuldigde ontwikkelaar doet de beschuldigingen van voormalig OpenBSD-ontwikkelaar Gregory Perry af als verzinsels. “Elke ‘urban legend’ lijkt echter door echte namen, datums en tijdstippen erin mee te nemen. Gregory Perry’s e-mail valt in deze categorie”, reageert Wright op vragen van Webwereld. Dit naar aanleiding van de mail die OpenBSD-grondlegger Theo de Raadt heeft geopenbaard.

'FBI, tien jaar geleden'

In die mail stelt Perry, die ruim tien jaar geleden betrokken was bij OpenBSD, dat er toentertijd backdoors zijn ingebouwd in dat besturingssysteem. Dit is volgens hem gebeurd in opdracht van de FBI, die versleutelde VPN-verbindingen van de eigen moederorganisatie (EOUSA) wou afluisteren. Backdoors zouden in ieder geval zijn geïnstalleerd in de IPSEC-stack voor beveiligde verbindingen en in encryptieraamwerk OCF (OpenBSD Cryptographic Framework).

Perry, die zelf betrokken was, noemt Wright als één van de rotte appels. OpenBSD-hoofdontwikkelaar De Raadt heeft die mail afgelopen zaterdag ontvangen en op dinsdag openbaar gemaakt. Wright neemt hem dat niet in dank af. “Theo, een beetje waarschuwing vooraf was fijn geweest (al was het maar een uurtje, zeker gezien het feit dat je de beschuldigingen op 11 december had en ze niet hebt gepost tot 14 december)”, schrijft Wright in zijn mail aan Webwereld die hij cc ook stuurt aan Theo de Raadt.

De BSD-grondlegger staat bekend als eigengereid. Hij verklaarde de mail te openbaren om drie redenen. Dat gebruikers en ontwikkelaars nu de mogelijk besmette code kunnen doornemen (auditen). Dat mensen die verontwaardigd zijn over deze kwestie “andere acties kunnen ondernemen”, wat De Raadt niet specificeert. En dat de beschuldigde mensen, waaronder Wright, zich kunnen verdedigen.

‘Tijdslijn klopt niet’

Die voormalige kernelontwikkelaar doet dat nu ook. Hij wijst erop dat Perry niet eens in dienst was bij het securitybedrijf NETSEC toen daar de ontwikkeling van OCF plaatsvond. “Voor januari 2000 had Greg NETSEC al verlaten. De tijdslijn voor mijn betrokkenheid bij IPSEC valt duidelijk aan te tonen, door te kijken naar de revisiegeschiedenis van de code.”

Wright haalt twee specifieke broncodedelen (src/sys/dev/pci/hifn7751.c en src/sys/crypto/cryptosoft.c) aan, die zijn gedateerd december 1999 en maart 2000. “Het echte werk aan OCF is pas echt begonnen in februari 2000”, voegt hij daaraan toe.

Waarom?

De vermeende backdoor-’installateur’ snapt niet waarom dit verhaal door Perry de wereld in is geholpen. “Ik kan zijn motivaties om dit soort leugens op te schrijven niet peilen. Misschien ‘delusions of grandeur’ of een poging om zichzelf onder de aandacht te brengen?” Het is volgens Wright hoe dan ook een volledig ongegronde beschuldiging.

“Ik eis een verontschuldiging van Greg Perry”, die ook is ge-cc’d in de mail aan Webwereld. “Gebruik mijn naam niet om geloofwaardigheid te geven aan jouw spionage-sprookjesverhalen.” Wrights verklaring is natuurlijk ook gepost naar de BSD-mailinglijsten waar De Raadt de oorspronkelijke onthulling heeft gedaan.

Wright wil ook dat zijn naam niet wordt meegenomen in de geruchtenmolen, en doet dat verzoek aan De Raadt die de mail van Perry - weliswaar met zijn eigen bedenkingen erbij - heeft geopenbaard. “De eerste melding die ik kreeg van deze kwestie was een e-mail van vriend op 14 december, met een link naar het reeds online gezette bericht.”