Backdoors in Betriebssystemen und OSS-Projekten

[fulltilt]

Noch ein Grund mehr Debian und seine Derivate nicht mehr einzusetzen...

das wird wohl nicht nur ein Problem mit Debian bleiben ...
Ich frage mich, ob sich möglicherweise auch ab und an Institutionen in ein os System Projekt einschleusen um daran mitzuwirken ... dazu findet man einige Berichte und Spekulationen im www.
Mit den Rdmond Nutzern bzg. "Spionage" war dies bisher sicherlich leichter zu bewältigen als mit Unix Nutzern ...
Nun ist es aber so das Unix in letzter Zeit wohl doch an Popularität gewinnt und natürlich auch von Institutionen compromised werden könnte ...
Allerdings denke ich wenn solche Aktionen gestartet werden wie Manipulationen an Scripts oder Trojaner auf RD Systemen, dann müssten diese Institution auch für den Schaden aufkommen, da diese Anwendungen auch in die Hände von Hackern gelangen und ausgenutzt werden könnten.

[Roger Wilco]

Ich frage mich, ob sich möglicherweise auch ab und an Institutionen in ein os System Projekt einschleusen um daran mitzuwirken ... dazu findet man einige Berichte und Spekulationen im www.

Du meinst so in dieser Art? -> http://kerneltrap.org/node/1584 ;)

[fulltilt]

na ja :-)
ist wahrscheinlich nicht auszuschliessen das BigBrother seine Programierer in OS Projekten einsetzt ...
Könnte natürlich auch ein Programmierfehler sein - seltsam ist nur das dieser jetzt erst entdeckt wurde.
nerv :twisted:

[Joe User]

Wozu sich mit den diversen OS rumplagen? Wieviele verschiedene BIOS-Hersteller gibt es ausserhalb des Embedded-Bereichs? Und wer kontrolliert deren Source? Spionage kann so einfach sein und ist es auch... ;)


PS: Von http://www.rootforum.org/forum/viewtopic.php?t=48897 abgetrennt.

[terx`]

Mir gefällt dagegen das regelmäßige Audit von OpenBSD besser. Ich vermute, hätte Debian trotz seiner Größe auch Audits durchgeführt, wäre die Lücke mit Sicherheit früher entdeckt worden oder die betroffene Version erst gar nicht veröffentlicht.
Der OpenSSL-Bug bei Debian ist aber nicht durch "Open Source" begünstigt - im Gegenteil: Open Source hat das Entdecken erst möglich gemacht. BigBrother kann überall mitwirken. Beispiel: Vista und die NSA - ob dort allerdings ebenfalls eine Lücke ähnlich wie der jüngste Fall entdeckt wird wage ich zu bezweifeln.

[daemotron]

Die Source Code Audits bei OpenBSD sind schon eine feine Sache - aber auch die übersehen mal den einen oder anderen Bug (siehe z. B. OpenSSH). Aber man darf nicht vergessen, dass diese Gründlichkeit sich weitgehend auf den Kernel und ein paar Userland-Tools beschränkt, ja noch nicht mal alle Zweige des Quellcode-Baums (also /usr/src) profitieren davon. Von den Anwendungspaketen und Ports mal ganz zu schweigen. Daher spielt OpenBSD seinen Sicherheitsvorteil eigentlich nur aus, wenn man außer dem Kernel nur Software "made by OpenBSD" drauf laufen lässt, also z. B. OpenSSH oder pf (was den Verwendungszweck allerdings ungemein einschränkt 8) )