Gerücht um FBI-Backdoor in freier IPsec-Implementierung

[sterin]

In der OSS-Gemeinde herrscht ja selten ein Mangel an Verschwörungstheorien, aber gleich mehrere Backdoors hätten schon das Zeug zur Story des Monats.

In Kürze, ein ehemaliger leitender Mitarbeiter von NETSEC ist an den Open-BSD-Gründer Theo de Raadt herangetreten und hat ihm mitgeteilt, dass er vor etwa 10 Jahren zusammen mit weiteren Angestellten im Auftrag des FBI mehrere Schwächen im von Open-BSD und weiteren OSS-Projekten genutzten IPsec-Stack plaziert habe, die seinerzeit unterschiedliche Angriffe ermöglicht hätten. Außerdem enthält die von Theo de Raadt veröffentlichte Mail noch eine Reihe weiterer Pikanterien, was sie einerseits zu einem guten Kandidaten für eine FUD-Aktion macht, ihr aber sicher einiges an kurzfristiger Aufmerksamkeit in der OSS-Community sichert.

Die Story auf heise.de und golem.

[Tank]

Heute vormittag im Web schon gelesen...da wird OpenBSD zweideutig.

[annelie]

ich schiebe es mal zeitlich in das News, weil es dort einen grösseren Leserkreis erreichen wird !

[DrSnuggles]

Spielt keine Rolle. Ist sehr theoretisch.
Der Source wurde in 10 Jahren viel verändert.

[sterin]

Zitat:

Zitat von DrSnuggles

Spielt keine Rolle. Ist sehr theoretisch.
Der Source wurde in 10 Jahren viel verändert.

Vorbehaltlich der Richtigkeit der veröffentlichten E-Mailnachricht wäre ich da nicht 100%ig sicher. Das scheinen ja laut Aussage weniger Backdoors gewesen zu sein, die jedes Skriptkiddie ausnutzen kann, als absichtliche Designschwächen, die die grundsätzliche Angreifbarkeit gewährleisten und vom CTO und Mitarbeitern des Herstellers im Auftrag des FBI angeblich schon bei der Erstellung berücksichtigt worden sind. Also in dem Sinne schon "theoretisch" aber eben nicht sicher bedeutungslos.;

Wäre daher die Frage, ob der Netzwerkstack in den letzten Jahren wirkliche Reimplementierungen erfahren hat oder nur mehr oder weniger viel dran rumgepatcht wurde.

[Tank]

OpenBSD IPSEC-Stack
Erste Prüfungen entkräften Backdoor-Verdacht

Nach einer ersten Prüfung des Codes des IPSEC-Stacks in OpenBSD
geben die Entwickler Entwarnung: Es gebe keine Hinweise dafür,
dass Backdoor-Programme in den Code eingeschleust wurden.

http://www.golem.de/1012/80321.html

[Antitrack]

Ein Immigrant behauptet, etliche OpenBSD-Leute hätten die Aufmerksamkeit und auch das Geld vom Militär an sich gezogen:
http://mickey.lucifier.net/b4ckd00r.html

[yggr]

@Antitrack die Förderung seitens DARPA ist kein Geheimnis, diese wurde jedoch eingestellt, als de Raadt öffentlich die USA kritisierte. Auch bekam Aufmerksamkeit seitens der NSA und ein Geschenk: SELinux. Man kann da allerlei Gerüchte streuen, FUD besorgt den Rest.

http://arstechnica.com/news/posts/1050693906.html

[HardwareHarry]

Zitat:

Zitat von sterin

.....mehrere Schwächen im von Open-BSD und weiteren OSS-Projekten genutzten IPsec-Stack plaziert habe, die seinerzeit unterschiedliche Angriffe ermöglicht hätten.....

Zitat:

Zitat von Tank

..... Es gebe keine Hinweise dafür,
dass Backdoor-Programme in den Code eingeschleust wurden....

Vom Wortlaut her ist da ein himmelweiter Unterschied.

[yggr]

Zitat:

Zitat von HardwareHarry

Vom Wortlaut her ist da ein himmelweiter Unterschied.

Logisch, denn die erste Aussage gab den Anlaß, letztere Aussage beruht auf abgeglichenen Fakten und ersten Audits.