Backdoors in Betriebssystemen und OSS-Projekten

Rund um die Sicherheit des Systems und die Applikationen
fulltilt
Posts: 363
Joined: 2006-08-27 02:06

Backdoors in Betriebssystemen und OSS-Projekten

Post by fulltilt » 2008-05-19 00:17

Joe User wrote:Noch ein Grund mehr Debian und seine Derivate nicht mehr einzusetzen...


das wird wohl nicht nur ein Problem mit Debian bleiben ...
Ich frage mich, ob sich möglicherweise auch ab und an Institutionen in ein os System Projekt einschleusen um daran mitzuwirken ... dazu findet man einige Berichte und Spekulationen im www.
Mit den Rdmond Nutzern bzg. "Spionage" war dies bisher sicherlich leichter zu bewältigen als mit Unix Nutzern ...
Nun ist es aber so das Unix in letzter Zeit wohl doch an Popularität gewinnt und natürlich auch von Institutionen compromised werden könnte ...
Allerdings denke ich wenn solche Aktionen gestartet werden wie Manipulationen an Scripts oder Trojaner auf RD Systemen, dann müssten diese Institution auch für den Schaden aufkommen, da diese Anwendungen auch in die Hände von Hackern gelangen und ausgenutzt werden könnten.

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: [FYI] OpenSSL-Schlüssel in Debian/Ubuntu sind unsicher

Post by Roger Wilco » 2008-05-19 16:45

fulltilt wrote:Ich frage mich, ob sich möglicherweise auch ab und an Institutionen in ein os System Projekt einschleusen um daran mitzuwirken ... dazu findet man einige Berichte und Spekulationen im www.

Du meinst so in dieser Art? -> http://kerneltrap.org/node/1584 ;)

fulltilt
Posts: 363
Joined: 2006-08-27 02:06

Re: [FYI] OpenSSL-Schlüssel in Debian/Ubuntu sind unsicher

Post by fulltilt » 2008-05-19 16:56

na ja :-)
ist wahrscheinlich nicht auszuschliessen das BigBrother seine Programierer in OS Projekten einsetzt ...
Könnte natürlich auch ein Programmierfehler sein - seltsam ist nur das dieser jetzt erst entdeckt wurde.
nerv :twisted:

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: [FYI] OpenSSL-Schlüssel in Debian/Ubuntu sind unsicher

Post by Joe User » 2008-05-19 17:05

Wozu sich mit den diversen OS rumplagen? Wieviele verschiedene BIOS-Hersteller gibt es ausserhalb des Embedded-Bereichs? Und wer kontrolliert deren Source? Spionage kann so einfach sein und ist es auch... ;)


PS: Von http://www.rootforum.org/forum/view ... hp?t=48897 abgetrennt.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

terx`
Posts: 23
Joined: 2008-04-10 18:58
Location: Südoldenburger Land

Re: Backdoors in Betriebssystemen und OSS-Projekten

Post by terx` » 2008-05-19 18:44

Mir gefällt dagegen das regelmäßige Audit von OpenBSD besser. Ich vermute, hätte Debian trotz seiner Größe auch Audits durchgeführt, wäre die Lücke mit Sicherheit früher entdeckt worden oder die betroffene Version erst gar nicht veröffentlicht.
Der OpenSSL-Bug bei Debian ist aber nicht durch "Open Source" begünstigt - im Gegenteil: Open Source hat das Entdecken erst möglich gemacht. BigBrother kann überall mitwirken. Beispiel: Vista und die NSA - ob dort allerdings ebenfalls eine Lücke ähnlich wie der jüngste Fall entdeckt wird wage ich zu bezweifeln.

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: Backdoors in Betriebssystemen und OSS-Projekten

Post by daemotron » 2008-05-19 19:20

Die Source Code Audits bei OpenBSD sind schon eine feine Sache - aber auch die übersehen mal den einen oder anderen Bug (siehe z. B. OpenSSH). Aber man darf nicht vergessen, dass diese Gründlichkeit sich weitgehend auf den Kernel und ein paar Userland-Tools beschränkt, ja noch nicht mal alle Zweige des Quellcode-Baums (also /usr/src) profitieren davon. Von den Anwendungspaketen und Ports mal ganz zu schweigen. Daher spielt OpenBSD seinen Sicherheitsvorteil eigentlich nur aus, wenn man außer dem Kernel nur Software "made by OpenBSD" drauf laufen lässt, also z. B. OpenSSH oder pf (was den Verwendungszweck allerdings ungemein einschränkt 8) )