[Security] Angeblich Backdoor im IPSEC-Stack von OpenBSD

[Joe User]

http://www.golem.de/1012/80129.html

Ich habe soetwas ja schon im letzten Jahrtausend behauptet und musste dafür hart einstecken. Nun trifft es ausgerechnet das vermeintlich sichere OpenBSD mitten im Core, schön...

[daemotron]

Erst mal abwarten, was da wirklich dran ist. Schon möglich, dass Leute versucht haben, Backdoors in quelloffene Betriebssysteme reinzubringen - OpenBSD ist da aber sicher nicht das einzige; Systeme mit einem höheren Verbreitungsgrad laden noch viel mehr dazu ein (SELinux, anyone?)

Wenn es ausgerechnet bei OpenBSD passiert sein sollte, dann ist es in jedem anderen OS wahrscheinlich auch passiert - immerhin gibt es bei OpenBSD ein recht striktes Peer Review, bevor Code committed werden kann.

[Joe User]

Vielleicht ist es auch nur ein ganz perverser PR-Gag um diesen ungeliebten Codebereich endlich mal auditen zu lassen? Theo ist ja einiges zuzutrauen...

Ernsthaft: Ja, ich glaube stark daran, dass es solche Hintertüren in allen Betriebsystemen gibt. Sei es in Kerneln, Crypto-Frameworks, Security-Frameworks, Firmware, Compiler oder gar in den BIOS oder Hardware. Welche Regierungsorganisationen auf wessen Anordnungen in welchen Formen mit welchen Mitteln jeweils dahinter stecken, ist mir letztendlich so gar egal. Open-Source schützt jedenfalls in keinster Form davor, sonst würden es ja erstrecht deutlich harmlosere Bugs nicht schaffen über Jahrzehnte hinweg unentdeckt zu bleiben...

[daemotron]

Vielleicht ist es auch nur ein ganz perverser PR-Gag um diesen ungeliebten Codebereich endlich mal auditen zu lassen? Theo ist ja einiges zuzutrauen...

da bin ich noch gar nicht drauf gekommen :lol: \:d/

Mal bei Licht betrachtet gibt es allerdings an der Geschichte durchaus Ungereimtheiten. So vermute ich, dass eine Organisation wie das FBI das Risiko scheut, bei den Bürgern der USA als Schnüffelorganisation dazustehen (vor 9/11 kam das in den Staaten nicht so gut an). Bei einem Open Source Produkt hätte zumindest das theoretische Risiko einer Entdeckung bestanden. Sodann glaube ich weiter, dass das FBI schlau genug wäre, ein NDA nicht nur über 10 Jahre laufen zu lassen - bei Dingen, die die nationale Sicherheit betreffen, gelten in den USA normalerweise 50 Jahre. Außerdem ist das FBI als Behörde nicht gerade plausibel - für's Code knacken und für den Schutz der Regierungs-Kommunikation ist da drüben die NSA zuständig, nicht das FBI.

Ernsthaft: Ja, ich glaube stark daran, dass es solche Hintertüren in allen Betriebsystemen gibt. Sei es in Kerneln, Crypto-Frameworks, Security-Frameworks, Firmware, Compiler oder gar in den BIOS oder Hardware.

Ich bin zumindest nicht abgeneigt, das bei Komponenten zu glauben, die blind zig-fach kopiert und ins eigene OS eingepflanzt werden (man denke da z. B. an den IPv6-Stack von FreeBSD, der es in nahezu jedes OS geschafft hat). Auch Software, die von regierungsnahen Organisationen bereitgestellt oder "gespendet" wird (ich verweise hier noch mal auf SELinux) sind IMHO per se verdächtig, genauso wie nicht quelloffene Software mit hohem Verbreitungsgrad (wie etwa Windows) - hier wäre durchaus denkbar, dass die Regierung Deals mit dem Hersteller schließt.

Andererseits installieren sich viele User ohne mit der Wimper zu zucken lustig Trojaner und bestätigen das sogar noch mit akzeptieren der EULA (Beispiel SecuRom).

Bei Hardware wiederum glaube ich das eher nicht - eine Implementierung wäre recht aufwändig, und bei der schnell fortschreitenden Entwicklung müsste da ständig nachgelegt werden (zumal Hardware-Komponenten eben nicht nur aus einem Staat, sondern mittlerweile aus vielen verschiedenen Ländern kommen). Nee, auf der Software-Seite geht das billiger und ist leichter zu verbergen.

Welche Regierungsorganisationen auf wessen Anordnungen in welchen Formen mit welchen Mitteln jeweils dahinter stecken, ist mir letztendlich so gar egal.

So weit würde ich jetzt nicht gehen - in einigen Produkten dürften die Backdoors gar nicht durch Regierungsorganisationen reingeraten sein, sondern eher durch den Marktforschungstrieb des Herstellers.

Open-Source schützt jedenfalls in keinster Form davor, sonst würden es ja erstrecht deutlich harmlosere Bugs nicht schaffen über Jahrzehnte hinweg unentdeckt zu bleiben...

Einerseits ja, andererseits gibt es bei Closed Source überhaupt keine Möglichkeit der Überprüfung. Bei Open Source sehe ich eher das Problem, dass ein Gutteil der heute produktiv genutzten FOSS-Software aus einer Spielerei oder Hobby-Bastelei entstanden ist, ohne Coding Guidelines, ohne Reviews und ohne Anspruch an gute Qualität.

Die wenigsten Projekte, die wirklich stark gewachsen sind, hatten den A... in der Hose, sich das Herz (sprich: die ursprüngliche Code Base) rauszureißen und alles richtig sauber aufzuziehen. Bei bestimmten Programmiersprachen (insbesondere C/C++) ist dann eben verbuggter Code die Strafe für die Bequemlichkeit.

Und dann wäre da noch das Problem, dass Hobby- und Freizeit-Programmierer (in vielen Projekten immer noch die treibenden Entwickler) sich eben lieber mit der Implementierung neuer Features beschäftigen, als sich mit Code Reviews, Unit Tests, Memory Profiling und ähnlich langweiligem Kram zu befassen.

Kurzum: Viele FOSS-Projekte haben kein ordentliches Qualitätsmanagement, teils, weil sie so gewachsen sind, teils, weil sich einfach wenig Freiwillige für solche Aufgaben finden lassen. Um wieder auf das ursprüngliche Thema zurück zu kommen: Gerade OpenBSD ist für mich eines der wenigen Projekte, die relativ viel in Sachen Code-Qualität tun (durchgängiger Style Guide, Peer Reviews sind Pflicht, Dokumentation ist Pflicht). Sollte denen tatsächlich was durchgerutscht sein, dann gilt das mit großer Wahrscheinlichkeit auch für alle anderen großen FOSS-Projekte.

[Joe User]

http://blogs.csoonline.com/1296/an_fbi_ ... in_openbsd

Ich halte weder Open-Source noch Closed-Source für die bessere Wahl. Open-Source hat zwar den Vorteil, das jeder nachsehen könnte, aber gleichzeitig den Nachteil, das es eben nicht genug Leute tun. Wie wir ja immer öfter erfahren müssen, verlassen sich offenbar über 99% der Anwender auf die extrem wenigen und völlig überlasteten Freizeit-Reviewer, statt selbst nachzusehen. Da sind insbesondere unoffensichtliche Bugs vorprogrammiert und Backdoors unauffällig zu platzieren. Und wenn sich dann auch noch eine Handvoll Hacker damit brüstet, sein OS (OpenBSD) unterliege einem permanent wiederholtem Code-Review, dann kann das rein von der Man-Power her schon gar nicht möglich sein.
Bei Closed-Source sieht es nur marginal besser aus, aber immerhin gibt es hier Leute vom Fach, welche damit ihre Brötchen verdienen und somit sorgfältiger Arbeiten, schliesslich wollen sie nicht ihren Job verlieren. Insofern sind für mich zum Beispiel Microsoft-Produkte vertrauenswürdiger als die meisten Open-Source-Produkte, dafür muss ich allerdings auch tiefer ins Portemonaie greifen und das ist mir mein Hobby nicht wert. Daher bleibe ich privat weitestgehend bei Open-Source und in sensibleren Bereichen muss ich es ohnehin von etlichen Faktoren abhängig machen und von Fall zu Fall entscheiden.
Ich werde jedenfalls weder Open-Source noch Closed-Source verteufeln, sondern möglichst alle relevanten Aspekte bei der Entscheidung berücksichtigen.

Back to topic:
Ich hoffe dennoch, dass es nur ein PR-Gag war und sich dadurch das QA in allen Projekten, Open wie Closed, erheblich verbessert.

[rudelgurke]

Wird die Zukunft zeigen. Zumindest hat Herr de Raadt einiges erreicht. Erstmal ist OpenBSD in aller Munde und der entsprechende Stack bekommt einiges an Beachtung.
Ist vielleicht am Ende nur positiv, wenn auch, sollte wirklich etwas gefunden werden, schlecht für's Image

[daemotron]

Telefonate "belauschen", Netzwerktraffik mit schneiden längst gängige Praxis. Und eine "Schäuble 2.0" Software ist dafür nicht zwangsläufig notwendig. Wozu eine Online Durchsuchung, wenn man eh schon am DSL Kabel abgreift, wer was übertragen hat.

Aus meiner Sicht hat das schon eine neue Qualität. Ja, natürlich kann man Telco-Signale problemlos mitschneiden. Quellen-TKÜ kam ja nur ins Spiel, weil man offenbar bei der klassischen TKÜ immer öfter zwar den Traffic mitschneiden, diesen dann aber nicht mehr interpretieren konnte (Stichwort VPN, SSL/TLS oder gleich End-to-End Verschlüsselung).

Unter dem Gesichtspunkt ist eine Backdoor im IPSEC-Stack natürlich ebenfalls besonders sensibel - das wäre quasi eine andere technische Lösung für das, was hierzulande unter dem Stichwort Quellen-TKÜ (vulgo "Bundestrojaner") grassiert.

[Joe User]

http://news.cnet.com/8301-31921_3-20025767-281.html

[Joe User]

OpenBSD-Gründer: Wahrscheinlich keine Hintertür im Open-Source-OS
http://www.zdnet.de/news/wirtschaft_sic ... 3102-1.htm


Wenn ich OpenBSDler wäre, würde mir ein "Wahrscheinlich" nicht genügen :-?

Mit dieser Aussage hat sich Theo zumindest für mich vorläufig disqualifiziert...

[Joe User]

Mir wäre lieber, er würde sagen, das der Audit noch nicht abgeschlossen ist und er deshalb noch gar nichts dazu sagen könne. Das wäre der IMHO richtige Weg und würde weniger zu weiteren Spekulationen einladen.

[Joe User]

Bei Heise sieht man es änlich wie ich, nur drückt man es nicht so deutlich aus:
http://www.heise.de/newsticker/meldung/ ... 58501.html