Wie steht *BSD und Linux zum NSA-Skandal?

A

Amin

Well-Known Member
Man liest die letzten Wochen von PRISM und NSA, und wie die Betriebssysteme und Anwendungen anscheinend komprimitiert werden. MS, Apple, Google (Android) u.a. wurden bezahlt um mitzuspielen.

Ich frage mich aber, wie es da bei den BSDs und Linux aussieht? Gut, sie sind verschwindend gering in der Verbreitung. Und sie sind offen einsehbar. Aber einsehbar heißt ja nicht, das sie keine Backdoors haben? Denn diese muss man ja auch erstmal entdecken. Denn einen Maulwurf kann man ja immer einschleusen.

Nicht das ich den BSDs und Linux etwas nachsagen will. Aber eines wundert mich: warum hört man von den Verantwortlichen nichts? :confused: Ein Beispiel ist z.B. OpenBSD, das sich selbst als sehr sicher bezeichnet. Und es gab doch mal einen Fall, wo angeblich ein Comitter ein NSA-Maulwurf sein sollte. Die OpenBSD-Verantwortlichen gerieten auch in Panik. Nach einer Prüfung stellte sich (zum Glück) dieses als falsch heraus. Aber man sieht doch hier sehr schön, das man nichts blind ausschließen kann?

Wie gesagt, gibt es von irgendjemanden eine Statement? (z.B. "Wir können versichern, das bei uns die Implementierung sicher ist.")
 
Amin schrieb:
Man liest die letzten Wochen von PRISM und NSA, und wie die Betriebssysteme und Anwendungen anscheinend komprimitiert werden. MS, Apple, Google (Android) u.a. wurden bezahlt um mitzuspielen.

Ich frage mich aber, wie es da bei den BSDs und Linux aussieht? Gut, sie sind verschwindend gering in der Verbreitung. Und sie sind offen einsehbar. Aber einsehbar heißt ja nicht, das sie keine Backdoors haben? Denn diese muss man ja auch erstmal entdecken. Denn einen Maulwurf kann man ja immer einschleusen.

Nicht das ich den BSDs und Linux etwas nachsagen will. Aber eines wundert mich: warum hört man von den Verantwortlichen nichts? :confused: Ein Beispiel ist z.B. OpenBSD, das sich selbst als sehr sicher bezeichnet. Und es gab doch mal einen Fall, wo angeblich ein Comitter ein NSA-Maulwurf sein sollte. Die OpenBSD-Verantwortlichen gerieten auch in Panik. Nach einer Prüfung stellte sich (zum Glück) dieses als falsch heraus. Aber man sieht doch hier sehr schön, das man nichts blind ausschließen kann?

Wie gesagt, gibt es von irgendjemanden eine Statement? (z.B. "Wir können versichern, das bei uns die Implementierung sicher ist.")
Zum Vergrößern anklicken....

Eines ist sicher Gar nichts ist sicher, es ist eine absolute Illusion absolute Sicherheit zu erwarten

so erst mal Lesestoff und zwar reichlich:

http://techrights.org/2013/07/16/another-nsa-scandal/

Mit Verantwortlichen meinst Du genau jetzt wen? :) Das ist etwas schwierig bei OpenSource und das bezieht sich nicht nur auf Betriebssysteme.
Zu dem kommt auch noch die Hardware ins Spiel sach mal da war doch was mit Druckern ;) und dann gibt es ja noch Boxen und sonstigen netten Kram mit denen Du Dich in das World Wide Web begibst...Auch wollen viele immer den neuesten Schick Schnack nur ist der auch anfällig und haste ein System unter Kontrolle dann war es das da kannste verschlüssseln bis das die Schwarte kracht auch kann man tolle Dinge mit dem Arbeitsspeicher anstellen nicht nur beim Hochfahren auch beim Herunterfahren power ist immer noch bisschen da ;)

Dann den Theo den kann man auch anmailen und da kannste Ihn direkt befragen und wenn der nen guten Tach hat schreibt er Dir sogar zurück gar nicht mal so selten man muss sich auch mal trauen.
Genau so ist das auch mit den "Verantwortlichen" von FreeBSD ne freundliche Mail etwas Geduld und dann kommt schon die Antwort.

Soderle ich begebe mich zur Nachtruhe und wünsch Dir nen angenehmen Tach

bis denne der rudy
 
Da muss ich rudy Recht geben. Du wirst NIEMALS zu hundert Prozent sagen können, dass irgendwas sicher ist.
Seiteneffekte oder übersehene Bugs oder einfach nur ein Maulwurf kann überall sein (Ob OpenBSD jetzt ihren IPSEC-Stack vom FBI gesponsert kriegen oder ob du in deinem Router mal eine bescheidene Implementierung einer random-funktionl hast).

Sieh es einfach so wie fefe: http://blog.fefe.de/?ts=af2f7c15

PS: Wenn dir jemand erzählt, dass sein Produkt zu 100 Prozent sicher sei, misstraue dieser Person. Es ist bei jeder Technik nur eine Frage der Zeit und des Aufwands, bis es geknackt ist. Wer sich also hinstellt und behauptet, dass sein Produkt sicher ist, hat also entweder nur unwissende Manager vor sich, denen er etwas verkaufen will oder einfach keine Ahnung wovon er spricht.
 
Seit EFI kann jedes "BIOS" einen IP Stack haben. In meinem kann ich sagen "IP Stack: disabled". Aber macht er das dann auch? Weiß ich nicht und habe gerade auch kein KnowHow das zu überprüfen.

Die Möglichkeiten? Vielseitig. Theoretisch könnte man dir dein System heimlich virtualisieren und du arbeitest in einer VM ohne es zu merken. Da kann das eingesetzte Betriebssystem noch so sicher sein.

Je sicherer du sein willst, desto mehr Komfort musst du abgeben. Neuste Hardware geht nicht. Die Auswahl sinkt auf 1-2 Computer mit OpenSource BIOS/Firmwares. Selbst der ach so tolle "OpenSource" Raspberry Pi hat ein fettes ClosedSource Firmware BLOB.

Man sollte halt ein gesundes Maß an Misstrauen an allem haben. Und wenn du nicht willst, dass die USA dich bei einem geplanten Urlaub besser kennt als du dich selbst, dann lade nicht allen scheiß bei Facebook/Cloud/Dropbox hoch und zahle Bar im lokalen Geschäft vor Ort und kaufe nicht bei Amazon und Co. ;)

Ansonsten kann man nur sagen:
authorization.png
 
Zuletzt bearbeitet:
OK, das Beispiel mit dem Sicher ist jetzt falsch gewählt. Mir ging es eigentlich nur überhaupt um ein Statement. Aber vielleicht ist das auch zu viel erwartet.

Ich bin auch nicht jemand der Paranoid ist. trotzdem Danke für die Infos.
 
Ja, wie gesagt, Sicherheit gibt es nicht. Uns selbst wenn z.B. OpenSSL von sich behaupten würde 100%ig sicher zu sein, dann kommt wieder irgend ein Debian Maintainer und modifiziert den Code um "unnütze Anweisungen" zu entfernen.
 
TrustedBSD und SELinux sind auch nicht deshalb ungefährliche NSA-Beiträge, weil sie offen sind.
 
So dem gibt es eigentlich nicht mehr viel hinzu zufügen....

http://www.heise.de/security/meldun...ierung-hat-das-Internet-verraten-1951318.html

auch gefällt mir das Bruce so selbst kritisch ist und auch mal zugibt das er Windows noch einsetzt machen auch nicht viele.
So gibt es auch gerade bei Email-Clients noch sog.Hase_Igel Probleme besonders beim Thunderbird unter Windows unter *BSD - Unix - GnuLinux - Apple haste das nicht das wenn Du ein Problem löst damit ein weiteres Problem generierst.

Gut wäre es wenn sich viele einbringen mehr einbringen würden um die Latte noch höher zu legen für den NSA gibt ne Vielzahl von Projekten

schönen Tach zusammen und bis denne der rudy :)

noch angehängt : ( hatte ich vergessen sry all )

http://www.heise.de/newsticker/meld...en-sich-dem-Ueberwachungsskandal-1953111.html

meine 2cent so bricht also der alte streit wieder auf stichwort < outcast's >
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben