BSD Backdoor - OS X betroffen?

[rue]

Ich glaube, dass das das kleinste Problem ist. Wie die meisten amerikanischen Unternehmen haben auch Microsoft und Apple den USA Patriot Act unterzeichnet. Ich gehe einmal davon aus, dass Mac OS und Windows bereits werksmäßig mit einem amerikanischen "Bundestrojaner" ausgestattet sind, der US-Geheimdiensten mehr Möglichkeiten und Einblicke bietet, als wir ahnen können.

Apple selbst ist auch nicht ganz unneugierig, erst vor ein paar Monaten hat Apple sämtliche WLAN-tauglichen Computer, Notebooks und iPhones per Fernwartung dazu genutzt um die sich in deren Reichweite befindlichen WLAN-Netzwerke zu scannen.

Wer wirklich keine Backdoors usw. haben möchte darf nur Opensource-Software verwenden, bei der er den Code nicht nur durchgelesen hat, sondern anhand von Variablentabellen jede einzelne Variable nachvollzogen hat und außerdem sämtliche Registerzugriffe analysiert. Des weiteren muss der Code auch auf versteckte Möglichkeiten für Pufferüberläufe untersucht werden - selbst nach 10 Jahren wird man immer noch nicht fertig sein.

Es gab da mal einen Wettbewerb, bei dem es darum ging, versteckte Funktionen in ein Opensource-Programm einzubauen. Dabei ist es zig Fachleuten wie Softwaretestern und Sicherheitsexperten nicht gelungen die versteckten Funktionen des Wettbewerbssiegers vollständig aufzudecken oder überhaupt aufzufinden.

 

[Bananenbieger]

Apple selbst ist auch nicht ganz unneugierig, erst vor ein paar Monaten hat Apple sämtliche WLAN-tauglichen Computer, Notebooks und iPhones per Fernwartung dazu genutzt um die sich in deren Reichweite befindlichen WLAN-Netzwerke zu scannen.

Das halte ich dann doch sehr für ein Gerücht.
Erfassung von WLAN-SSIDs: Ja.
Fernwartung: Nein.

 

[Rastafari]

Wie die meisten amerikanischen Unternehmen haben auch Microsoft und Apple den USA Patriot Act unterzeichnet.

Kein einziges Unternehmen musste den unterzeichnen. Das machen Senat, Kongress und der Präsident.

Apple selbst ist auch nicht ganz unneugierig, erst vor ein paar Monaten hat Apple sämtliche WLAN-tauglichen Computer, Notebooks und iPhones per Fernwartung dazu genutzt um die sich in deren Reichweite befindlichen WLAN-Netzwerke zu scannen.

Klar doch. Und gestern sind am Hauptbahnhof Bielefeld ein paar Aliens gelandet.

 

[landplage]

Apple selbst ist auch nicht ganz unneugierig, erst vor ein paar Monaten hat Apple sämtliche WLAN-tauglichen Computer, Notebooks und iPhones per Fernwartung dazu genutzt um die sich in deren Reichweite befindlichen WLAN-Netzwerke zu scannen.

Deswegen hatte meine AEX neulich so einen silbernen Schein um sich herum. Und ich dachte, die fackelt gleich ab.

 

[ImperatoR]

Ich hülle mich mal vorsichtshalber in eine Alufolie…

 

[FritzS]

Das halte ich dann doch sehr für ein Gerücht.
Erfassung von WLAN-SSIDs: Ja.
Fernwartung: Nein.

... na dann ein nettes Hallo und WinkeWinke an
CIA, FBI, NSA, MI5, BND, HNaA & AbwA, KGB & FSB, ........

 

[landplage]

Sind dann meine Mails und Fotos demnächst auch auf Wikileaks zu finden?

 

[Bananenbieger]

... na dann ein nettes Hallo und WinkeWinke an
CIA, FBI, MI5, BND, HNaA & AbwA, KGB & FSB, ........

NSA wohl eher. Und die ersticken mittlerweile unter einem Berg von Informationen, die sie nicht mal ansatzweise verarbeiten können.

 

[FritzS]

Sind dann meine Mails und Fotos demnächst auch auf Wikileaks zu finden?

Wenn der US Heimatschutz mitliest, schon!

 

[Zenturio]

Aber nur, wenn sich Botschaftspersonal und/oder Militär darüber austauschen .

 

[FritzS]

Die Woche: Trau, schau, wem?

http://www.heise.de/open/artikel/Die-Woche-Trau-schau-wem-1154955.html

Mirko Dölle
Die Woche: Trau, schau, wem?
Die Diskussion über eine mögliche Backdoor in IPsec zeigt, dass Software durch Veröffentlichung der Quellen nicht automatisch sicherer wird. Anwender müssen nach wie vor darauf vertrauen, dass Programmierer nichts Böses im Schilde führen.

Wie gut sich Schadcode verstecken lässt, zeigt der Underhanded C Contest aus 2008 sehr anschaulich: Dort galt es, eine Bilddatei zu manipulieren, ohne dass dies auch bei genauer Betrachtung des Quellcodes zu entdecken ist. Der Code des Gewinners, Mr. Meacham, war so gut, dass nicht einmal die Veranstalter des Wettbewerbs schlüssig beschreiben konnten, wie er arbeitet – der Entwickler musste die Erklärung später selbst in seinem Blog liefern.

Es ist also schlicht unmöglich, mit Sicherheit zu verhindern, dass ein Programmierer absichtlich Schadcode einfügt. Dementsprechend werden die meisten Backdoors in Programmen, egal ob Open oder Closed Souce, nur durch Zufall gefunden oder weil sie jemand ausgenutzt und dabei Spuren hinterlassen hat.

Somit bleibt den Anwendern nur, sich die Firmen oder Entwickler anzusehen, deren Software sie einsetzen wollen – und zu entscheiden, ob sie ihnen vertrauen oder nicht.

Quintessenz ... »Wir« sind ausgeliefert :-c

 

[stoney1981]

So ist es, als normaler Nutzer hat man eh keine andere Wahl. Wie Heise beschreibt, im einfachsten Fall isses ein absichtlicher Fehler im Code der einen Pufferüberlauf verursacht. Der wird halt irgendwann durch Zufall gefixt und prompt der nächste eingebaut. So kann man faktisch nie jemandem etwas nachweisen.

 

[Irving]

Solche Infos beruhigen da ja fast schon wieder: NSA hilft Apple, Sun und Red Hat beim Härten ihrer Systeme
http://www.heise.de/security/meldun...ed-Hat-beim-Haerten-ihrer-Systeme-863550.html

Ist schon eine etwas ältere News. Passt aber irgendwie bzgl. des Backdoor-Themas. Interessant dann auch die Kommentare. Beispiel:

Die NSA ist ein Nachrichtendienst der USA und für die weltweite
Überwachung elektronischer Kommunikation zuständig.

Das Kerngeschäft der NSA ist also die Informationsbeschaffung.

Wie groß mag das Engagement dieser Organisation sein, Systeme zu sichern in die man vielleicht schon morgen in Erfüllung seiner ureigensten Aufgaben eindringen muß?

http://www.heise.de/security/news/f...igen-im-Forum/forum-169688/msg-17682078/read/

Aber fühlen wir uns einfach mal in sicheren Spezialisten-Händen aufgehoben. Auch wenn man den Bock zum Gärtner macht...

 

[FritzS]

Solche Infos beruhigen da ja fast schon wieder: NSA hilft Apple, Sun und Red Hat beim Härten ihrer Systeme
http://www.heise.de/security/meldun...ed-Hat-beim-Haerten-ihrer-Systeme-863550.html

Ist schon eine etwas ältere News. Passt aber irgendwie bzgl. des Backdoor-Themas. Interessant dann auch die Kommentare. Beispiel:



Aber fühlen wir uns einfach mal in sicheren Spezialisten-Händen aufgehoben. Auch wenn man den Bock zum Gärtner macht...

Habe mir die Mac NSA Dokus heruntergeladen und werde sie mal durchlesen .... [paranoid on] hoffentlich sind die NSA PDF's nicht »verseucht« :-c oder hat der Besuch von NSA mit dem Google Chrome keine Folgen [paranoid off]

 

[Retrax]

Die NSA-Regeln für sichere Systeme sind aber doch schon etwas älter, und wurden unabhängig von einer möglichen Zusammenarbeit mit den Herstellern entwickelt, oder?

 

[rc4370]

Die NSA Regeln besagen auf Seite 873, Kapitel 212, Absatz 3, Punkt 7 eindeutig, dass jeder Rechner auf der Großen weiten Welt einen gut getarnten NSA Zugang haben muss.

Schliesslich sind wir ja alle potentielle Terroristen.

 

[Retrax]

@rc4370

Dann bleibt nur noch Linux.... ach nein halt... da werden Backdoors ja nicht offensichtlich aber bspws. als Buffer Overflow getarnt eingebaut, dann zwar _irgendwann_ bei Entdeckung gefixt aber bei der Gelegenheit wieder neue "Fehler" integriert...

Fazit: Es ist ziemlich hoffnungslos wenn man online ist.

 

[rc4370]

Alle böse ausser Omi mit ihrem iPad. :-D

 

[Rastafari]

Die NSA-Regeln ... wurden unabhängig von einer möglichen Zusammenarbeit mit den Herstellern entwickelt, oder?

Nein, im Gegenteil. Die NSA konnte überhaupt nur mit der massiven Hilfe der Hersteller aufgebaut werden.

 

[Irving]

Ja, genau. Das ist der Umstand, den man sich wohl klarmachen muss. Die Verflochtenheit ist und war schon immer eng. Aus der Bredouille, die sich daraus ableiten lassen könnte, kommt man als bloßer Zaungast sowieso nicht raus.