Backdoor in OpenBSD?

Nun, irgendwo muss man halt schlicht der Sache vertrauen. Selbst wenn man keinem Softwarekonstrukt vertrauen schenkt, bleibt da am Ende immer noch die Hardware als großer schwarzer Kasten. Und leider Gottes sind alle relevanten Hardware-Hersteller amerikanisch, außer man setzt auf exotische Dinge wie Longson (wobei China nun sicher nicht anders als die USA zu bewerten ist).
 
Yamagi schrieb:
Nun, irgendwo muss man halt schlicht der Sache vertrauen. Selbst wenn man keinem Softwarekonstrukt vertrauen schenkt, bleibt da am Ende immer noch die Hardware als großer schwarzer Kasten. Und leider Gottes sind alle relevanten Hardware-Hersteller amerikanisch, außer man setzt auf exotische Dinge wie Longson (wobei China nun sicher nicht anders als die USA zu bewerten ist).
Zum Vergrößern anklicken....

Ja. Und selbst wenn man das alles unter Kontrolle bekommen könnte bleibt die Schwachstelle, die am meisten von motivierten Angreifern genutzt wird - die Menschen.
Wenn sich herrausstellen sollte, dass an der ganzen Geschichte hier was dran ist, dann ist es übrigens auch ein Mensch, der versagt hat.
 
Sagen wir mal so, "erste Audits". Innerhalb der kurzen Zeit wird wohl niemand in der Lage sein alles zu durchschauen und mit einer trivialen Backdoor, wenn überhaupt eine existiert, wird man wohl im Fall der Fälle kaum rechnen können.
 
Bei solchen Sachen sollte man auch beachten wie sich die Betroffenen verhalten. Erfreulich ist, dass das Dementi und ein Versuch es aufzuklären (falsche gleichnamige Person beschuldigt?) von einem der Beschuldigten sehr schnell und sehr offen kam. Das geht in Fällen wo Verwicklungen existieren viel schleppender und insgesamt knapper formuliert, damit man sich nicht einfach in Lügen verstrickt.

Ich glaube, dass da schon ein Ärgernis beim CIA war... weswegen ist wohl das Hauptquartier von OpenBSD außerhalb der USA? Das hat schon seine Gründe. Was meint ihr wie so eine Unerreichbarkeit die USA nerven mag? USA sind Kontrollfreaks. Sie wollen immer überall mitmischen und sie kriegen meistens auch das was sie wollen (guckt euch unsere dummen EU-Abgeordneten an!).

Es ist auch aber immer wieder lustig zu sehen wo die Macht von USA ihre Grenzen erfährt. Ich schaue mir ganz ruhig das WikiLeaks-Fiasko an, was sie da veranstalten. Die Nation, die mit Freiheit am meisten prahlt. Ich lache mich einfach nur tot, welche heuchlerische Einstellung da offenbart wird.

Es stimmt schon, dass man Code gut verstecken kann. Aber eine Sache vergesst ihr. Jemand der sichere Systeme einsetzt, verlässt sich nicht nur auf den Code, den er erhält. Er hat meistens auch einige Joker in der Hand. Meistens bedeutet das, dass wenn Information, die nicht entfleuchen sollte, doch irgendwo auftaucht, ist das Szenario meistens einmalig (dann fliegt es nämlich schnell auf!). Insgesamt ist es also doch relativ teuer, so eine Hintertür in den Code einzupflanzen. Und diesen bezahlten Preis möchte man nicht für Nichtigkeiten verschwenden.

Und außerdem, uns schützt das Internet eigentlich ganz gut. Es ist einfach die Masse der Daten. Man kann das nirgendwo komplett in Echtzeit analysieren. Es ist eine Art natürlicher Schutz.

Regt euch also ab.
 
>Und außerdem, uns schützt das Internet eigentlich ganz gut. Es ist einfach die Masse der Daten.

Das ist ein trügerischer Schutz und dies kann mit zahllosen Beispielen belegt werden. Eine gewaltige Datenmenge schreckt keineswegs, denn man geht mit System bei der Analyse vor. Wie in der Archäologie erstellt man eine Art von Typologie, splittert gewaltige Befunde in einzelne Areale, unterteilt diese wieder, erkennt Muster und letztendlich führen diese Regelmäßigkeiten zu allerhand Schlußfolgerungen. Mitunter kann ich als Archäologe damit falsch liegen, dies schadet jedoch keinem Lebenden mehr. Anders sieht dies z.B. bei der Vorratsdatenspeicherung aus, gleiche Praxis, jedoch mit einem potentiell gewaltigen Kollateralschaden.

Die Befunde beispielsweise, die auf einer in einem recht großen Zeitfenster belegten Nekropole anfallen, sind durchaus vergleichbar mit den anfallenden Daten einer durchschnittlichen kleinen Gemeinde. Man vermochte diese zuvor ohne Hilfe des Computers zu analysieren, man kann heute mit Hilfe des Computers weitaus feinere Raster anlegen.

Bewegungsdaten im Netz besitzen Gemeinsamkeiten und diese Gemeinsamkeiten lassen eben auch Rückschlüsse auf den Einzelnen zu. Erst hat man einen Anfangsverdacht, dann versucht man diesen zu belegen.

Ich weiß nicht woher der Glaube an diese Unmöglichkeit ob einer vermeintlich unüberschaubaren Masse stammt? Wäre dem so, so würde meine Disziplin ad absurdum geführt werden innerhalb eines Augenblicks. Das dem nicht so ist, zeigt die Praxis über Jahrzehnte. Der einzige Unterschied: eine Vorratsdatenspeicherung würde zukünftigen Archäologen das Leben immens erleichtern.
 
Dieser "trügerische Schutz" klappt schon länger als es das Internet gibt und das hat schon "vor Christus" funktioniert (um das mal weihnachtlich auszudrücken). Und ist sogar das Kernprinzip von Steganographie.
 
Im Grunde stimmt doch beides. Es ist ein Werkzeug, das sowohl von den einen, als auch von den anderen für die unterschiedlichsten Dinge verwendet werden kann. Die Tools zur Analyse (Hardware, wie Software) werden besser und schneller, aber auch die Datenmengen und etwaige Tools um sich vor dieser Analyse zu sichern entwickeln sich ebenfalls.

Zumindest derzeit scheint aber keiner die absolute Oberhand zu haben.
 
nakal schrieb:
Dieser "trügerische Schutz" klappt schon länger als es das Internet gibt und das hat schon "vor Christus" funktioniert (um das mal weihnachtlich auszudrücken). Und ist sogar das Kernprinzip von Steganographie.
Zum Vergrößern anklicken....

Es schafft einen trügerischen Schutz, denn die einen findet man gezielt, die anderen erliegen zufällig dem Kollateralschaden. Einen Schutz dahinter zu vermuten ist schlichtweg absurd. Ja man kennt von der Antike her diverse Verfahren, um jetzt einmal auf die Steganographie zurückzukommen, sicher aber waren diese keineswegs. Steganographie baut auf größtmögliche Dummheit des Gegenübers, entlarvt wurden diverse Systeme oftmals ob Auffälligkeiten anderer Natur. Heute ist es nicht anders ...

Du kannst dich in der Menge für eine Weile "verstecken", irgendwann fällst du auf. Es ist ähnlich dem Schutz eines Servers vor "Hack-Angriffen", im Grunde genommen ist es ein Wettlauf, ein Wettrüsten, man wahrt allenfalls einen status quo. Lehnt man sich jedoch zurück, ist es um die temporäre "Sicherheit" geschehen.

Ich stelle hier mal einen Teil eines Text hinein, welchen ich vor einigen Jahren schrieb:

Wir haben etwas zu verbergen. Was denn genau? Nun unsere Privatsphäre, diese ist uns heilig. Kurzum wir möchten nicht, daß der Staat oder auch irgendein multinationaler Konzern lustig munter Daten über uns sammelt.

Der Punkt, der viele Zeitgenossen zum Zucken der Schulter animiert: die vermeintliche Belanglosigkeit. Dem ist aber nicht so, grundlegend ist und bleibt in jedem Fall die Rasterfahndung. Dieses Mittel findet in der offensichtlichen Form oder Variationen zu genüge Anwendung beim Staat und in der Industrie — Daten sind heutzutage ein unschätzbares Gut.


Wie kann man sich das nun vorstellen? Grundprinzip der Rasterfahndung ist Paranoia: man weiß nichts, aber dem «Bauchgefühl» nach wirkt irgendein Zeitgenosse nicht wirklich koscher. Ergo vermeint man durch eine genügend große Ansammlung von Daten Muster ausmachen zu können, welche u.U. den «Verdacht» bestätigen. Wenn man diese nur lange genug aus allen möglichen Blickwinkeln betrachtet, wird man sicherlich auch «etwas» erkennen können. Also wird stetig fleißig gesammelt, es könnte ja von Belang sein, heute oder morgen oder auch übermorgen. Dies ist auch korrekt, ebenso wird z.B. in der Vor– u. Frühgeschichte verfahren, nur dort sind es einzig längst Verstorbene, die ob einer Fehlinterpretation nicht wirklich Schaden nehmen.

Nehmen wir z.B. Ötzi, die bekannte Gletschermumie, als Einzelfall recht belanglos für die Archäologie, es interessiert mehr die Masse, diese nur ist statistisch relevant, um Gemeinsamkeiten ausmachen zu können. Daß sich nun einige Wissenschaftler, um diese Mumie herum profilieren und ihre waghalsigen Vermutungen zum Besten geben, mag interessant wirken, ist aber für die Erschließung der Kultur dahinter relativ belanglos. Es fehlt die Verbindung im Puzzle, sprich ein Puzzle-Teil ergibt längst noch kein Bild.

Was wäre aber nun, fände man auf diversen anderen Gipfeln in dieser Gegend noch ein bis zwei andere Gletschermumien, ähnlicher Natur aus der gleichen Epoche? Nun das wäre in der Tat zwar kein großes Muster, dennoch bemerkenswert, könnte man doch hier schon von Anhaltspunkten sprechen, welche man mittels der Erschließung weiterer Daten ergründen könnte. Als Beispiel: Wachposten wären eine Möglichkeit, quasi eine Art Frühwarnsystem für die Bewohner des Tals. Last not least wäre es immer noch eine Vermutung, wenn auch eine stichhaltiger Natur.

Gleichermaßen nun geschieht dies bei der Rasterfahndung und des damit einhergehenden Dataminigs. Mit Hilfe statistischer Verfahren werden Muster in genügend hohen Datenaufkommen analysiert, die letztendliche Schlüsse daraus obliegen sogenannten «Experten» — die Interpretation der Daten ist letztendlich erst das Haar in der Suppe. Archäologen z.B. beschäftigen sich schon lange mit derartigen Methoden, bevor die moderne Kriminalistik überhaupt ihre Geburtsstunde feierte, dennoch sind Archäologen weitaus vorsichtiger mit absoluten Aussagen. Anders jedoch die Experten im Bereich der Rasterfahndung, dort langen relative Aussagen völlig, unter völliger Mißachtung der initialen Unschuldsvermutung werden die Leute quasi aufgrund des eingangs erwähnten «Bauchgefühls» hin observiert. Spuckt der Computer also eine Gemeinsamkeit aus, die theoretisch x-fach vorkommen kann, die innerhalb des vorgegeben Rasters liegt, markiert diejenige Person in Zukunft ein Marker: «den müssen wir mal näher beobachten». Auch hier liegen Fehlinterpretationen im Bereich des Möglichen, mit sehr hoher Wahrscheinlichkeit sogar, dies weiß jeder Archäologe oder andere professionale Datensammler.

Stochert man also irgendwo herum, sucht, sammelt, interpretiert, so ist dies die übliche Vorgehensweise von Archäologen. Aber, wir reden hier von lebenden Menschen, das demokratische System, welches es angeblich zu verteidigen gilt, wird hier Schritt für Schritt im Namen der Sicherheit demontiert. Und man kann es eben nicht oft genug wiederholen, Freiheit und Demokratie müssen stetig verteidigt werden, aber nicht indem man immer größere Kompromisse eingeht und letztendlich eine Parodie eben dieser Freiheit und Demokratie forciert.

Im Moment bewegen wir uns mit Siebenmeilenstiefeln auf die Grundprinzipien eines totalitären Systems zu. Kurzum, hat man nichts zu verbergen, dann fehlt einem schlicht die Fantasie bestimmte Vorgänge zu erfassen. Das hat überhaupts nichts mit Verschwörungstheorien oder krankhafter Paranoia zu tun, sondern schlicht mit gesundem Menschenverstand.

Ein Teil eines Puzzles läßt keine Rückschlüsse auf das Gesamtbild zu, ein Viertel des Gesamtbilds kann helfen das Gesamtbild zu erkennen, aber man befindet sich eventuell in einem schlecht erkenntlichen Bereich des Gesamtbilds, letztendlich aber nur alle Teile vermögen das ganze Bild korrekt darzustellen!

Ich hoffe diese grobe, mit Beispielen durchpflügte Darstellung war recht eingängig und macht das Ausmaß der Datensammelwut gewahr im Kopf der Leser. Gleichermaßen läßt sich das alles auch umsetzen auf Google, Yahoo, Microsoft usw., sprich all jene, die omnipotenten Zugriff auf große systemübergreifende Datenbestände besitzen. Und mal ehrlich, mit den heutigen «sozialen Diensten«2, liefert man Daten und Verknüpfungen frei Haus. Da braucht es noch nicht einmal einen richterlichen Beschluß, man schaut einfach hin und erstellt ein Mashup. Die vordergründig «belanglosen» Daten stehen dort, Ermittler oder besser der Computer braucht diese nur noch statistisch auszuwerten, sprich systemübergreifend in Relation mit Daten aus anderen Quellen zu stellen.

Erschreckend und zugleich erschreckend einfach. Dennoch erhält man nur ein Schulterzucken als Antwort und den allseits bekannten Spruch «ja du, aber so wirklich wichtige Dinge mache ich da nicht». Nun dem kann man dann nur noch entgegnen, daß Ignoranz eben kein Argument ist. Gewonnene Verhaltensmuster triggern eventuell eine Aktion, welche letztendlich zu Interpretationen führt, die keinesfalls korrekt sein müssen und mitunter einen massiven Kolateralschaden nach sich ziehen.
Zum Vergrößern anklicken....


Nach Rücksprache mit einem Kollegen stelle ich auch gerne einmal ein Vorlesungsskript zur Geschichte der Übermittlung diverser Nachrichten online. Es ist erhellend, weil es die Folklore in puncto Steganographie ein wenig ins Wanken bringt.

Aber im Grunde will ich dir gar nicht widersprechen, nur schränke ich deine Aussage ein. Der Schutz ist temporär und von fragwürdiger Qualität.
 
Die deutsche Firma GENUA, welche (vom BSI zertifizierte) Netzwerk-Security-Produkte auf Basis von OpenBSD entwickelt und vertreibt, hat eine Stellungsnahme veroeffentlich.

Demnach haben sich nach intensivem Code-Audit, keine Hinweise auf eine Backdoor ergeben.

http://www.genua.de/news/stellungnahme.html

Bei GENUA arbeiten viele der deutschen OpenBSD-Entwickler.
 
Zuletzt bearbeitet von einem Moderator:
Also kann man das Thema in die Schublade für Gerüchte ablegen... Dachte mir eigentlich von anfang an das es nur mal eine Meldung von jemanden war der was wichtiges sagen wollte ohne etwas wichtiges zu wissen :)

Aber zumindest sind die BSD's mal eine Zeit lang in aller Munde gewesen... Ziel erreicht?

Aber wir können ja mal gespannt sein, ich wette das trotz aller Kontrollen des Codes irgendwo in den Tiefen unendeckte Fehler nur darauf warten von bösen Buben gefunden zu werden :)

Grüße
 
Naja nachdem viele tote Vögel vom Himmel fallen steht der Weltuntergang eh unmittelbar bevor und wir die Beastie vergöttern kommen eh in die Hölle und da nutzt eine "Backdoor" doch viel mehr :)

Grüße
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben