Jupp, mich hat ebenfalls vor allem überrascht, dass es plötzlich durch die Medien geht. Könnte daran liegen, dass "Leaken" groß im Trend liegt.
Ich möchte euch dazu auf einen Thread ("NSA hört Internet ab") aus dem Jahr 2006 aufmerksam machen.
http://www.bsdforen.de/showthread.php?t=14983
Also besonders neu ist es wirklich nicht.
Leider ist der Link da drin nicht mehr aufrufbar (bsdforen.de ist eben was langfristigeres.
) Also hier der Link zum Internet Archive:
http://web.archive.org/web/20060604160815/http://futurezone.orf.at/hardcore/stories/112618/
Ich Frage mich wie sehr die
P-Serie mit
PRISM zusammenhängt. Die Amis stehen ja auf ausgeklügelte Abkürzungen.
Bemerkenswert dabei ist, dass das 2006 war und angekündigt wurde, scheinbar als Werbung für Force10 und das dann vielleicht ein Jahr später fertig war. Vielleicht ist es aber auch ganz anders.
Zu der Sache mit Code einschleusen: Ich glaube es ist vielleicht ein wenig naiv zu glauben, dass viele Augen gezielt eingeschleuste Sicherheitslücken erkennen. Man muss nämlich einige Dinge unterscheiden. Zum einen gibt es da den unabsichtlichen Bug, der wie wir wissen Jahre bestehen kann, weil meistens alles funktioniert. Sicherheitslücken sind dann noch ein wenig schwerer, weil _alles_ funktioniert. Versteckte Sicherheitslücken sind schon extrem schwer zu finden, selbst wenn man sie in einer einzigen Funktion hat und weiß, dass sie da drin ist. Dazu gibt es sogar Wettbewerbe und da gibt es Codes die kann man zig mal lesen, wissend, dass da eine Lücke ist, aber man findet sie trotzdem nicht. Noch mal einen Schritt schwerer, wird es wenn man ein anständiges Real Life Programm hat und die Lücke darüber verteilen kann. Das kann man noch weiter treiben und auf typische Umgebungen, oder Betriebssysteme verteilen, vielleicht auch Standardkonfigurationen. Dann wird es wirklich schwer. Noch interessanter wird es, wenn man wirklich schöne Umgebungen betrachtet, einfach weil sie doch sehr ähnlich sind. Oder man geht die ganze Sache gleich von Standards an. Es gibt Zahlreiche Beispiele, wie das Verhalten von vollkommen sicheren Teilsystemen und vollkommen korrekt verhaltenden, standardkonformen Systemen (es geht vor allem um letzteres, weil gerne von großen Unternehmen, die einen Wert auf Sicherheit legen eingesetzt) dazu genutzt werden können um in ein System einzudringen.
Jetzt muss man Bedenken, dass die NSA schon offiziell ein großer Open Source Software Contributor ist. Auch an zahlreichen Standards wurde mitgewirkt. Außerdem hat die NSA, ausgezeichnete Informatiker und Mathematiker, Leute die echt was auf dem Kasten haben und zwar nicht nur ein paar, sondern echt viele.
Wenn es also darum geht, ob die NSA gezielt Sicherheitslücken einschleusen könnte, die auch bei anständigem (menschenmöglichen) Code Reviews mit einer sehr hohen Wahrscheinlichkeit nicht entdeckt werden, muss man sich wohl eingestehen, dass das durchaus möglich ist. Ob sie es deshalb machen? Keine Ahnung. Vielleicht bevorzugen sie einfachere Methoden, vielleicht ist das gerade ein Angriffsvektor, der aus gutem Grund, vielleicht neben anderen Dingen genutzt wird. Es würde eindeutig in ihre Kernkompetenz fallen.
Klar kann man dem auf diverseste Arten entgegenwirken und Code Reviews erschweren es einem Angreifer. Ich würde allerdings nicht darauf vertrauen, dass eine von den USA geförderte Institution, die im Vergleich mit Open Source Communities und den Regeln der Marktwirtschaft unterworfenen Institution quasi unendlich Ressourcen (Manpower und Geld), einen Weg nicht geht, weil er vielleicht aufwendiger ist. Schaut euch mal an, was aus DARPA so für Projekte entstehen. Es gab echt Waffen, um den Gegner/Feind zur Masturbation zu bringen und dadurch zu besiegen. Da ist sogar ordentlich Geld reingebuttert worden, hat scheinbar sogar funktioniert, aber gutes Image gibt das keines, also haben sie es gelassen.
So ein Geheimdienst bzw. so eine staatliche Institution (einer sogenannten Supermacht) ist einfach anders, als Angreifer von denen man sonst ausgehen kann. Der sterbt auch eher danach einfach jede Information zu haben und nicht nur der Konkurrenz in die Karten zu schauen oder ihr Image zu schädigen.
Hoffe das klingt nicht zu sehr nach Paranoia. Nur denke ich, dass viele der üblichen Annahmen über ein hier einfach nicht zutreffend sind.
Die bösen britischen Bärlis ham`s da schöne Saugbären direkt an de Glasfaserverbindungen wo se des brav alles abschöpfen und schön zwischenspeichern und analysieren.
