OpenBSD, das nach den eigenen Zielen sicherste Betriebssystem der Welt, hat ein massives Problem. OpenBSD-Gründer Theo de Raadt fand in seinem privaten Mail-Account die Nachricht, dass ein ehemaliger Mitwirkender (zusammen mit anderen Entwicklern) im Auftrag der US-Bundespolizei FBI Backdoors zur VPN-Infrastruktur von OpenBSD eingebaut hätte. Noch hat niemand den Wahrheitsgehalt dieser Nachricht bestätigt und bislang hat nur einer der angesprochenen Entwickler diesen Anschuldigungen widersprochen. Auch ist fraglich was von diesen Backdoors noch funktionieren könnte, da der Code innerhalb der letzten zehn Jahre durch Updates deutliche Änderungen erfahren hat. Stutzig machen sollte jedoch die Tatsache, dass selbst das FBI den Einsatz von OpenBSD wohl als VPN-Lösung empfohlen hat. Ein Schelm, wer dabei etwas Böses denkt… Ich frage mich jedoch, hat dies auch Auswirkungen auf Linux?

Da der Quellcode von OpenBSD unter der BSD-Lizenz frei verfügbar ist, wäre es denkbar, dass im Rahmen von Code-Sharing solch eine Backdoor auch in Linux hätte einziehen können. Laut Paul Wouters (aka @letoams), Entwickler der IPSec Implemenation Openswan für Linux, ist dies jedoch nicht der Fall. Openswan wie auch FreeS/WAN bauen nicht auf dem OpenBSD-Stack auf und sind komplette Eigenentwicklungen. Somit können diese Schwachstellen von OpenBSD auch nicht in Linux enthalten sein.

FreeS/WAN-Entwickler John Gilmore hat auch wohl in weiser Voraussicht keinen Code aus amerikanischen Quellen akzeptiert. Nicht nur weil der Export von kryptographischen Know-How aus den Staaten teils illegal war/ist, sondern weil er wohl auch diesen Quellen misstraute. Nichts desto trotz zeigt dieses Beispiel mal wieder, dass auch Open-Source keine 100%-tige Sicherheit von versteckten Backdoors bietet.

Ich sehe jetzt schon wieder viele Flamewars zum Thema „Hab ich doch gesagt, Linux/Open-Source ist ja soooo sicher und solche Dinge wie staatliche Backdoors gibts bei euch nicht“ auflodern. Dagegen möchte ich einfach nur Kontern: Immerhin KANN man den Code einsehen. Ob jeder Fehler, jede Schwachstelle, jede Backdoor gefunden werden kann, das steht auf einem anderen Blatt. Aber immerhin gibt es die Möglichkeit den Code komplett zu zerlegen, was jetzt mit Sicherheit geschehen wird.

11 Kommentare

  1. Setze doch bitte in der Überschrift noch ein Fragezeichen an den Schluß oder formuliere sie so um, dass man sieht, dass es hier nicht um bewiesene Dinge, sondern um Vermutungen geht. So eine Marke in der Überschrift zu setzen und das ganze dann im Beitrag zu relativieren bzw. korrekt wiederzugeben ist irgendwie Bildzeitungs-Niveau 😉

  2. Autor schrieb: „Aber immerhin gibt es die Möglichkeit den Code komplett zu zerlegen, was jetzt mit Sicherheit geschehen wird.“

    Hallo
    Das war auch immer mein Argument…
    Leider sieht die realität anders aus. Wer kann den wirklich Code Lesen und entsprechend Interpretieren? Da gibt es viel zu wenig Menschen die das können und von denen paar haben die wenigsten Zeit und Lust diese aufwendige Arbeit zu übernehmen. Nur das schon Organisieren zu wollen wird fast unmöglich, weil die „Community“ in dieser Hinsicht zu Fragmentiert ist.
    Oberste Aufgabe der FreeSoftware/Opensource Gesellschaft sollte es sein, die Peer/User mehr in diese Richtung auszubilden, das sie Code auch wirklich lesen und diesen dann auch Interpretieren können. Statt immer nur vorne auf der Bühne neue Projekte vorzustellen, sollte der Fokus besser darauf ausgerichtet sein, die Wurzel zu verstehen und zu pflegen.
    Ich selbst kann keinen Code Interpretieren und bin somit auf den „reinen Glauben“ angewiesen. Und die die es könnten, wollen nicht so recht, es ist ja 1. Ihre Macht und 2. sind die meisten so Induviduell, das sie nicht Gesellschaftsfähig für so ein vorhaben sind. Ich habe lange genug in diesen Kreisen verkehrt und meine Erfahrungen damit gemacht.
    Das ist jetzt nicht nur negativ gemeint. Denn wenn es z.B. gesellige Gesellschaftstypen wären, hätten Sie niemals die Zeit für ihre Fähigkeit entwickeln können und als Aussenseiter in einer Gesellschaft wie dieser ist Ihre Fähigkeit der einziege wirkliche Trumph „Macht“ in Ihrem Leben, der bleibt.
    Der Glauben existiert also auch auf dem Basar…

    MfG Herr Schmidt

    • Hallo Herr Schmidt, da bin ich ja ganz deiner Meinung. Ein komplettes Peer-Review sämtlichen Codes wirst du nur bei den wenigsten Projekten finden. Dazu sind schlichtweg die Ressourcen zu knapp. Keine Frage, wir müssen den Herstellern unserer Software – vom Distributor bis hin zu den Upstream-Quellen – trauen. Doch wir können jetzt davon ausgehen, dass die betroffenen Projekte mit Sicherheit ihren Code auf eventuelle Backdoors abklopfen werden. Wir müssen nicht drauf vertrauen, dass uns der Hersteller beschwichtigt, dass alle Vorwürfe haltlos sind und dass wir weiterhin auf sein Produkt vertrauen können.

  3. Die Überschrift ist wirklich *sehr* unklug gewählt. Es gibt bisher nicht mehr als den Vorwurf von jemandem, der behauptet, damals mit dem FBI zusammengearbeitet zu haben. Das ist in etwa so verlässlich wie eine Behauptung von Microsoft, der IE8 sei sicherer als alle anderen Browser.

  4. Ich bin mehr als bereit, dies zu glauben!

    Duplizität der Ereignisse – letzte Woche noch kamen wir im Kontext der Terrorwarnungen auf das Thema “Backdoor” und der Frage, ob man/frau in dieser Hinsicht mit Windows “sicher fühlen” kann.

    Hintergrund: Backdoors in MS-Produkten war bekanntlich gegen Ende der Clinton-Administration, zu der Zeit, als gegen MS ein Kartell-Verfahren zur möglichen “Zerschlagung” wegen marktbeherschender Stellung lief, ein “großes” Thema. Auch hier gab es entsprechende Informationen, die, in der Natur der Sache ( ähm, Programme)liegend, nie konkretisiert werden konnten. Nach dem Bush an der Regierung war, wurde das Verfahren eingestellt und auch die Backdoor_Diskussion verlief sich.

    Auf die Idee, das dies auch für “freie” Software zutreffen könnte, ist uns, zumindest damals, nicht in den Sinn gekommnen – im Gegenteil, wenn noch etwas sicher ist, dann …

    Konfrontiert (und auch wieder aufgeschreckt) von dieser Meldung und den gemachten Erfahrungen mit den USA der letzten 10 Jahre komme ich für mich zu dem Ergebnis, dass es keinen Grund gibt daran zu Zweifeln, das die amerikanische Administration zwischenzeitlich dafür gesorgt hat, die Impfung der relevanten Software veranlasst zu haben. Im Zweifel gibt es immer mindestens Einen, der am falschen Ort war.., zu viel ausgegeben hat oder was auch immer.

    Dies ist mit Sicherheit für die USA ein “strategisches Ziel” im Rahmen ihrer “Sicherheitspolitik”, und unser Herr Schäuble, der den Chef-Umsetzer des amerikanischen Patriot Act gerne auch privat in seinem Haus beköstigt, braucht schließlich auch eine Möglichkeit, den Bundestrojaner möglichst einfach zu implementieren.

    In Anbetracht der weiter zunehmenden, überragenden Stellung des PC für jeden Bürger scheint es mir mehr als geboten, eine für den Bürger sichere Software anbieten kzu können.

    Wie und wer, darüber sollte diskutiert werden.

    Darüber hinaus wünsche ich mir schon lange eine unabhängige Bundesdatenschutz-Behörde, die nicht nur nicht dem Innenministerium (!) unterstellt ist, sondern darüber hinaus auch mit und von gewählten Bürger-Vertretern, jenseits von Parteien, geführt wird.

    Es geht um nichts weniger als um ein selbstbestimmtes Leben!

  5. Ja, dass wäre wirklich ein Hammer, sollte es stimmen. Aber immerhin hat man bei Open Source Software die Möglichkeit, so etwas aufzudecken, während man bei Closed Source allein auf den Hersteller vertrauen muss. Wobei es selbst für Entwickler schwer sein kann, Code von anderen zu lesen, vor allem, wenn die Dokumentation schlecht ist oder ganz fehlt.

  6. Hmm – also ich glaube, wenn das FBI das Ziel hat da reinzukommen schaffen die es auch. Dass der Code auch über andere Länder eingeschleusst werden kann ist doch klar – das FBI ist zwar amerikanisch aber nicht hohl 😉

    Ist eine interessante Diskussion hier.
    Viele Grüße aus der Tuxfarm,

    Ulf Tramsen

  7. Das Problem hier ist, dass der Code nur dann fehlerhaft sein wird, wenn bestimmte Umstände gleichzeitig oder in einer bestimmten Abfolge eintreffen. Deswegen findet man solche „Bugs“ nicht einfach mal eben so., im Code steht also nicht dass irgendwem die Tür aufgemacht wird, sondern ein bestimmtes Modul arbeitet unter bestimmten Umständen plötzlich abnormal und lässt bestimmte Dinge zu, die so im Code nicht zu sehen sind. Das ist ein alter Trick, begonnen hat dies damals mit den Buffer-Overflows, später kamen die TCP/IP Stacks dazu, dann die Services, ect. Theoretisch muss man alle Zusammenhänge der Software und deren Wechselwirkungen grafisch aufarbeiten und dann Stück für Stück das Sicherheitsloch finden. Leicht wird das nicht, aber ich wette man findet dabei noch weitere.

    • Hallo Boris, so ein Code Review ist sicherlich nicht so schlecht. Ich denke man wird sicherlich das eine oder andere Problem entdecken. Das muss nichteinmal eine extra eingebaute Hintertür sein, letztendlich profitiert die gesamte Code-Basis davon 🙂

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein