FBI-Hintertüren in OpenBSD?

OpenBSD ist eine freie UNIX-Distribution, die vor allem zur Serveradministration eingesetzt wird. Einige Zeit lang gab es Gerüchte über mögliche Backdoors im System. Nun hat OpenBSD-Gründer Theo de Raadt eine Mail veröffentlicht, wo der Absender die Gerüchte aufklärt. Das FBI habe vor rund zehn Jahren Entwickler dafür bezahlt, Hintertüren in das System einzubauen und diese seien möglicherweise immer noch drin. Das sorgt jetzt für einige Aufregung in der Sicherheitscommunity:

My NDA with the FBI has recently expired, and I wanted to make you aware of the fact that the FBI implemented a number of backdoors and side channel key leaking mechanisms into the OCF, for the express purpose of monitoring the site to site VPN encryption system implemented by EOUSA, the parent organization to the FBI. Jason Wright and several other developers were responsible for those backdoors, and you would be well advised to review any and all code commits by Wright as well as the other developers he worked with originating from NETSEC.

Die Mail an Theo de Raadt war eigentlich persönlich, wurde aber aus Transparenzgründen so veröffentlicht. Hier erzählt der Absender noch etwas mehr.

12 Ergänzungen

  1. Das ist insofern relativ ärgerlich, da OpenBSD bis jetzt als sicherstes Betriebssystem galt. Im Endeffekt dürfte man aber davon ausgehen, dass das FBI dann auch Linux-Entwickler bezahlt. Und von Windows will ich gar nicht erst reden.
    Falls diese Nachricht also stimmt sollte man immer noch davon ausgehen können, dass OpenBSD sicher ist. Ich halte das aber ehrlich gesagt für einen Hoax. OpenBSD ist denen einfach zu sicher und damit unheimlich ☺.

  2. Was auch interessant ist: in der Mail steht noch, da OpenBSD die erste Implementierung hatte, wurde diese häufig in andere Projekte übernommen, möglicherweise inklusive eventueller Backdoors. Ob, und in welchen Forks die noch oder überhaupt existierten, wird nach zehn Jahren Entwicklungsarbeit bestimmt interessant herauszufinden…

  3. Es wären ja nicht alle BSDs betroffen. FreeBSDs IPSEC-Implementierung beispielsweise basiert auf den KAME-Stack.

  4. Warum tut man sowas nicht ohne weiteres erstmal als FUD ab?
    Ein NDA mit dem FBI, das nach ein paar Jährchen einfach an Gültigkeit verliert?
    Der genannte Scott Lowe widerspricht jedweder Verbindung mit dem FBI (http://marc.info/?l=openbsd-tech&m=129237981610360&w=2) – gut, auch wenn er involviert wäre, würde er vermutlich abstreiten. Dennoch: Unschuldig, bis man ihm’s Gegenteil beweist.

    Für mich stinkt das zum Himmel. Und dass so jemand, der angeblich mal für’s FBI gearbeitet hat, einen alten Freund/Bekannten auf sowas anspricht, ohne dabei auf Crypto zu achten, macht mich auch sehr stutzig.

    Ich will nicht sagen, dass an der Geschichte nichts dran ist. Nur ist’s bisher nichts weiter als eine Anschuldigung ohne irgendeine Art von Beweis.

  5. Ich bin mehr als bereit, dies zu glauben!

    Duplizität der Ereignisse – letzte Woche noch kamen wir im Kontext der Terrorwarnungen auf das Thema „Backdoor“ und der Frage, ob man/frau in dieser Hinsicht mit Windows „sicher fühlen“ kann.

    Hintergrund: Backdoors in MS-Produkten war bekanntlich gegen Ende der Clinton-Administration, zu der Zeit, als gegen MS ein Kartell-Verfahren zur möglichen „Zerschlagung“ wegen marktbeherschender Stellung lief, ein „großes“ Thema. Auch hier gab es entsprechende Informationen, die, in der Natur der Sache ( ähm, Programme)liegend, nie konkretisiert werden konnten. Nach dem Bush an der Regierung war, wurde das Verfahren eingestellt.

    Auf die Idee, das dies auch für „freie“ Software zutreffen könnte, ist uns, zumindest damals, nicht in den Sinn gekommnen – im Gegenteil, wenn noch wtwas sicher…

    Konfrontiert (und auch wieder aufgeschreckt) von dieser Meldung und den gemachten Erfahrungen mit den USA der letzten 10 Jahre komme ich für mich zu dem Ergebnis, dass es keinen Grund gibt daran zu Zweifeln, das die amerikanische Administration zwischenzeitlich dafür gesorgt hat, die Impfung der relevanten Software veranlasst zu haben. Im Zweifel gibt es immer mindestens Einen, der am falschen Ort war.., zu viel ausgegeben hat oder was auch immer.

    Dies ist mit Sicherheit für die USA ein „strategisches Ziel“ im Rahmen ihrer „Sicherheitspolitik“, und unser Herr Schäuble, der den Chef-Umsetzer des amerikanischen Patriot Act gerne auch privat in seinem Haus beköstigt, braucht schließlich auch eine Möglichkeit, den Bundestrojaner möglichst einfach zu implementieren.

    In Anbetracht der weiter zunehmenden, überragenden Stellung des PC für jeden Bürger scheint es mir mehr als geboten, eine für den Bürger sichere Software anbieten kzu können.

    Wie und wer, darüber sollte diskutiert werden.

    Darüber hinaus wünsche ich mir schon lange eine unabhängige Bundesdatenschutz-Behörde, die nicht nur nicht dem Innenministerium (!) unterstellt ist, sondern darüber hinaus auch mit und von gewählten Bürger-Vertretern, jenseits von Parteien, geführt wird.

    Es geht um nichts weniger als um ein selbstbestimmtes Leben!

  6. Man beachte auch die Unsicherheiten im Tor-Netzwerk:
    Bitte nur mit verschlüsselte Übertragung nutzen (SSL, GPG, etc.). Wenn dies nicht funktioniert (vermutlich weil ein Tor-Server die entsprechenden Ports blockt) einfach mal die Tor-Verbindung wechseln. Denn ansonsten wird es wie immer in Klartext übertragen und der Tor-Serveradmin kann sich alle Daten rausgreifen die er möchte (Mails, Paßwörter, Mailadressen, Blogkommentare *g*, etc.).

    Zum Weiterlesen:
    http://www.pcwelt.de/news/Anonymisierung-TOR-ist-nicht-so-sicher-wie-viele-meinen-243241.html

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.