BSD Backdoor - OS X betroffen?

[TaTonka]

Hallo zusammen...

Mein Newsreader präsentierte mir heute folgenden Eintrag: http://blog.fefe.de/?ts=b3f62440

Mich machte der Satz stutzig, dass auch andere BSD-Distributionen betroffen sein können, da der OpenBSD-Stack teilweise übernommen wurde. Da der Darwin-Kernel von Mac OS ja auch auf BSD basiert, mache ich mir gerade Sorgen, ob Mac OS davon auch betroffen sein könnte.

Weiß da jemand mehr?

 

[Loooki]

Mal eins enebenbei du kannst erwarten das soetwas in jeder weit verbreiteten Software eingebaut ist: Allerdings ist es eine Schande für die BSD Entwickler(!!)

Gibt es ne Anleitung zum ausprobieren?

 

[Rastafari]

OS X und FreeBSD verwenden einen komplett anderen VPN-Stack. Keine Schnittmengen zu OpenBSD.

 

[FritzS]

FBI-Backdoor in IPSec-Implementierung von OpenBSD? Auswirkungen auf Mac-OSX?

Über HeiseSec hereingekommen

FBI-Backdoor in IPSec-Implementierung von OpenBSD?
http://www.heise.de/security/meldung/FBI-Backdoor-in-IPSec-Implementierung-von-OpenBSD-1153180.html

Der OpenBSD-Gründer Theo de Raadt weist in einer Mail auf eine mögliche Hintertür in der Implementierung des IPSec-Stacks zum Aufbau von VPNs hin. Da weitere Open-Source-Projekte den Code übernommen haben, könnte die Hintertür dort ebenfalls enthalten sein. Die Hintertür soll in den Jahren 2000 bis 2001 Eingang in den Code gefunden haben, als OpenBSD-Entwickler im Auftrag der US-Regierung den Code manipuliert haben sollen.

In einer von de Raadt beigefügten Mail des Softwareentwicklers und nach eigenen Angaben ehemaligen OpenBSD-Contributors Gregory Perry wird namentlich der Entwickler Jason Wright als Beteiligter erwähnt. Wright ist beziehungsweise war einer der führenden Köpfe von OpenBSD.

Laut Perry sei dies auch der Grund für den urplötzlichen Förderstopp des US-Verteidigungsministeriums für das OpenBSD-Projekt Anfang 2003 gewesen. Die DARPA hätte Wind von den Backdoors bekommen und deshalb weitere Finanzierungen eingestellt. Perry holt aber noch weiter aus: Auch der Virtualisierungsspezialist Scott Lowe soll auf der Gehaltsliste des FBI stehen. Dieser propagiere derzeit die Implementierung von OpenBSD für VPN- und Firewall-Lösungen in virtuellen Umgebungen.

Ob IPSec in OpenBSD nun wirklich noch eine Hintertür enthält, müssen Code-Reviews zeigen. Auch andere Projekte, die OpenBSD-Code verwenden, müssen ihren Code kontrollieren. Andere IPSec-Implementierungen wie KAME, das seine Wurzeln in Japan hat, dürften vermutlich nicht betroffen sein – es sei denn, es hätte einen siginifikanten Codeaustausch zwischen den Projekten gegeben. KAME ist Bestandteil von Mac OS X, NetBSD und FreeBSD – aber ab Version 2.7 auch in OpenBSD zu finden. Daneben gibt es noch strongSwan; Linux enthält die eigene Netkey-Implementierung im Kernel, unterstützt aber auch andere Lösungen.

Enthält Mac OS-X auch Codeteile die möglicherweise getroffen sein können?

 

[Macbeatnik]

Hier steht eventl. bereits die Lösung:
http://www.apfeltalk.de/forum/bsd-backdoor-os-t343728.html

 

[FritzS]

Dann war TaTonka schneller als Heise ...

Aber Heises Text ist umfangreicher und beinhaltet zwei mögliche Schwachstellen.

 

[Ozelot]

Prüfen können wir es ohnehin nicht.

Wer sagt das es in OSX so etwas nicht gibt? Der US Regierung müssen sich alle amerikanischen Unternehmen beugen, ob sie wollen oder nicht.

Dazu gehört bestimmt Apple, als auch Microsoft.

Wie arbeiten solche Backdoors? Senden sie na draußen? Da helfen doch Netzwerkfilter, oder nicht?

 

[MacAlzenau]

Ohne große Kompetenz: Backdoors, soweit ich das mitbekommen habe, senden keineswegs aktiv - damit wäre ja der Empfänger völlig überfordert, wenn weltweit alle betroffenen System regelmäßig alles senden würden, was interessant sein könnte. Sie bieten lediglich eine Hintertür an, über die man bequem in ein ansonsten gut geschütztes System eindringen kann.
Dabei könnte es sich um Viren (oder ähnliches) handeln, um z.B. alle betroffenen Rechner lahmzulegen, oder um eine Möglichkeit, den einzelnen Rechner auszuspähen.
Oft wird das im Zusammenhang mit Verschlüsselungs-Software genannt - da geht es dann darum, daß eine Methode eingebaut ist, unabhängig vom benutzten individuellen Schlüssel mit einem zentralen Code die Verschlüsselung zu knacken. Weswegen man nur OpenSource-Verschlüsselungssoftware benutzen sollte, denn da lässt sich sowas nicht verheimlichen.

 

[Dinofelis]

Oft wird das im Zusammenhang mit Verschlüsselungs-Software genannt - da geht es dann darum, daß eine Methode eingebaut ist, unabhängig vom benutzten individuellen Schlüssel mit einem zentralen Code die Verschlüsselung zu knacken. Weswegen man nur OpenSource-Verschlüsselungssoftware benutzen sollte, denn da lässt sich sowas nicht verheimlichen.

Ich kann das Argument hinsichtlich OpenSource nicht ganz nachvollziehen.

Eine kommerzielle Verschlüsselungs-Software kann genau so wenig eine Hintertür einbauen wie OpenSource. Das Prinzip der Public/Private-Schlüssel ist grundsätzlich sicher, und eine Identifikation kann nur 1:1 stattfinden. Da kann sich kein "zentraler" Code einschleichen.

 

[MacAlzenau]

Das bezweifle ich (wenn auch ohne jede Kompetenz). Bei einer Closed-Source-Lösung kannst du nie sicher sein, daß nur der genannte Algorithmus verwendet wird, daß nicht im Verschlüsselungsprogramm bereits ein Hintertürchen eingebaut ist, das den Code umgeht.

 

[Rastafari]

Da der Darwin-Kernel von Mac OS ja auch auf BSD basiert

An Darwin basiert so einiges auf der Berkeley Distribution - der Kernel aber nicht.
Das ist Mach == Carnegie Mellon. Falsche Uni.
Da liegen schon ein paar Meilen zwischen Kalifornien und Pennsylvania. Nicht nur räumlich.

 

[Bananenbieger]

...aber nicht für OSX.

 

[Bananenbieger]

Das bezweifle ich (wenn auch ohne jede Kompetenz). Bei einer Closed-Source-Lösung kannst du nie sicher sein, daß nur der genannte Algorithmus verwendet wird, daß nicht im Verschlüsselungsprogramm bereits ein Hintertürchen eingebaut ist, das den Code umgeht.

Daher verwendet auch praktisch niemand "Security by obscurity". Die heute verwendeten Verschlüsselungen sind sicher und nur mit einem sehr großen Aufwand überhaupt angreifbar. Wie Dinofelis schon sagte, sind dort Backdoors in der Verschlüsselung prinzipbedingt nicht möglich (das geht nur in Kinofilmen...).

Angriffe finden eher dort statt, wo man mit nicht verschlüsselten Daten zu tun hat (also vor/nach der Verschlüsselung) oder man versucht, den Schlüssel zu ergattern.

 

[landplage]

Mod-Info

Ich habe beide Diskussionen zusammengelegt.

 

[FritzS]

Angriffe finden eher dort statt, wo man mit nicht verschlüsselten Daten zu tun hat (also vor/nach der Verschlüsselung) oder man versucht, den Schlüssel zu ergattern.

Spionage per Putzfrau (hat die meist die größte Schlüsselgewalt) und Mistkübel (was dort so alles landet ....tzz, tzz ...) ist meist wesentlich einfacher und wirkungsvoller .... und auch preislich günstiger

 

[ImperatoR]

Vermutlich sind viele Putzfrauen auf der Gehaltsliste des FBI.

 

[FritzS]

Vermutlich sind viele Putzfrauen auf der Gehaltsliste des FBI.

Das Gegenteil würd' ich nicht unterschreiben ...

 

[Bananenbieger]

Vermutlich sind viele Putzfrauen auf der Gehaltsliste des FBI.

Solange es nur das FBI ist, haben wir in Deutschland ja nichts zu befürchten.

Aber wer braucht schon Putzfrauen, wenn es doch Wikileaks gibt.

 

[ImperatoR]

Vermutlich veröffentlichen Putzfrauen gerade alles mögliche bei Wikileaks, um sich für die schlechte Bezahlung der harten Arbeit zu rächen -- denn sie putzen überall. Welch Verschwörung!

 

[Bananenbieger]

Dann würden die Putzfrauen doch eher das Material an, sagen wir mal "Dienststellen anderer Staaten" verkaufen.