FBI-Backdoor in IPSec-Implementierung von OpenBSD?

Alex² · 17. Dezember 2010

Der OpenBSD-Gründer Theo de Raadt weist in einer Mail auf eine mögliche Hintertür in der Implementierung des IPSec-Stacks zum Aufbau von VPNs hin. Da weitere Open-Source-Projekte den Code übernommen haben, könnte die Hintertür dort ebenfalls enthalten sein. Die Hintertür soll in den Jahren 2000 bis 2001 Eingang in den Code gefunden haben, als OpenBSD-Entwickler im Auftrag der US-Regierung den Code manipuliert haben sollen.

In einer von de Raadt beigefügten Mail des Softwareentwicklers und nach eigenen Angaben ehemaligen OpenBSD-Contributors Gregory Perry wird namentlich der Entwickler Jason Wright als Beteiligter erwähnt. Wright ist beziehungsweise war einer der führenden Köpfe von OpenBSD.

Die Vorwürfe wiegen schwer, de Raadt hatte nach eigenen Angaben seit über zehn Jahren keinen Kontakt mehr mit Perry und stellt deshalb die Mail von Perry öffentlich zur Diskussion - auch um nach eigener Aussage nicht Teil dieser Verschwörungstheorie zu werden. De Raadt weist auch darauf hin, dass in den vergangenen zehn Jahren der betroffene Code mehrfach gepatcht, überarbeitet und neu geschrieben wurde. Daher ließe sich schwer einschätzen, ob die Hintertür überhaupt noch vorhanden sei.

Perry hat sich nach eigener Aussage erst jetzt an den OpenBSD-Gründer gewandt, weil seine Verschwiegenheitsvereinbarung mit dem FBI nach zehn Jahren ausgelaufen sei. Als Mitarbeiter des Unternehmens Netsec haben er damals eine FBI-Abteilung beraten, die sich unter anderem mit dem Einbau von Hintertüren und Key-Recovery (Key Escrow) in Smartcards beschäftigt habe. Daher wisse er, dass das FBI seinerzeit erfolgeich mehrere Hintertürchen und Möglichkeiten für Seitenkanal-Angriffe im OpenBSD Crypto Framework (OCF) platziert habe.

Laut Perry sei dies auch der Grund für den urplötzlichen Förderstopp des US-Verteidigungsministeriums für das OpenBSD-Projekt Anfang 2003 gewesen. Die DARPA hätte Wind von den Backdoors bekommen und deshalb weitere Finanzierungen eingestellt. Perry holt aber noch weiter aus: Auch der Virtualisierungsspezialist Scott Lowe soll auf der Gehaltsliste des FBI stehen. Dieser propagiere derzeit die Implementierung von OpenBSD für VPN- und Firewall-Lösungen in virtuellen Umgebungen.

Ob IPSec in OpenBSD nun wirklich noch eine Hintertür enthält, müssen Code-Reviews zeigen. Auch andere Projekte, die OpenBSD-Code verwenden, müssen ihren Code kontrollieren. Andere IPSec-Implementierungen wie KAME, das seine Wurzeln in Japan hat, dürften vermutlich nicht betroffen sein - es sei denn, es hätte einen siginifikanten Codeaustausch zwischen den Projekten gegeben. KAME ist Bestandteil von Mac OS X, NetBSD und FreeBSD - aber ab Version 2.7 auch in OpenBSD zu finden. Daneben gibt es noch strongSwan; Linux enthält die eigene Netkey-Implementierung im Kernel, unterstützt aber auch andere Lösungen. (dab)

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Quelle: FBI-Backdoor in IPSec-Implementierung von OpenBSD? | heise Security

An sich eine interessante Sache, die man im Auge behalten sollte. Ich kann mir jedoch nicht vorstellen, dass die Sachen (wenn überhaupt) so abgelaufen ist.

Anzeige

Figger · 17. Dezember 2010

AW: FBI-Backdoor in IPSec-Implementierung von OpenBSD?

Wieso nicht? So abwegig finde ich das nicht...

Alex² · 17. Dezember 2010

AW: FBI-Backdoor in IPSec-Implementierung von OpenBSD?

Sehe das ähnlich, wie hier beschrieben:

Jason L. Wright dementiert nachdrücklich. Er wäre ganz schön blöde, wenn... | FBI-Backdoor in IPSec-Implementierung vo... | heise security news-Foren

Das würde so keinen Sinn machen, wenn man von einer einiger Maßen rationalen Handlung ausgeht.
Wenn was im Code ist oder war, wird es gefunden. Was würde es also bringen die Sache zu dementieren? Ich setze natürlich voraus, dass die Implementierung des Backdoors keine glaubhafte Abstreitbarkeit zu lässt.

dreamax · 17. Dezember 2010

AW: FBI-Backdoor in IPSec-Implementierung von OpenBSD?

a) Wer verwendet hier den OpenBSD auf seinem Server? (auser meiner Wenigkeit)
b) Wer verwendet hier eine OpenSource IPSec implementierung, welche Code hiervon uebernommen hat?
c) Ob der Code nach 10 Jahren wohl noch drinne ist..

Also wohl hier fuer knapp 100% der User, wenn nicht sogar 100%, nicht zutreffend.
Deshalb verstehe ich nicht warum man die Sache im Auge behalten sollte.. Vielleicht interessant wenn das mit der US-Regierung stimmt. Und das jeder der Kernel Hacker / OpenSource Programmierer eigene Backdoors mit in den Code einfliesen lassen kann, duerfte sich hier wohl jedem erschliesen. Ich bezweifele deshalb auch das dies die einzigste Lueck in OpenSource ist, da reicht ja eine beabsichtiger Puffer Ueberlauf und schon hat man seinen Backdoor. Mit einer "kleine Spende" an einen der Entwickler kann das wohl jeder mit genuegend Geld.

mfg..

Alex² · 17. Dezember 2010

AW: FBI-Backdoor in IPSec-Implementierung von OpenBSD?

Das meinte ich mit glaubhafter Abstreitbarkeit. Dies wäre ein Fall den man glaubhaft abstreiten könnte.

Du leidest immer noch unter der Illusion, dass du der einzige bist, der mit UNIX arbeitet. Habe ich ja schon mal angesprochen, ich verstehe immer noch nicht woher du diese Vermutung immer nimmst. Davon abgesehen tut das nichts zur Sache.

Vollkommen egal! Es geht (mir) hier auch mehr um das Prinzip bzw. um die Sache als ganze. Hier wurde schon des öfteren der Einfluss von Regierungen auf irgendwelche Sicherheitsmaßnahmen bzw. Software diskutiert, das ist der Grund warum ichs hier gepostet habe. Dieses Forum ist nicht nur zur technischen Diskussion da.

Abgesehen von der üblichen Selbstbeweihräucherung und offensichtlichen Aussagen bleibt von einem Post mal wieder nichts über. Was genau willst du uns mitteilen (man braucht kein Wissen über Dinge die man nicht verwendet?) ?

dreamax · 24. Dezember 2010

Hab ich zwar nicht gesagt, koennte ich mir aber gut vorstellen, gibt hier vielleicht den ein oder anderen FreeBSD'ler, aber wer verwendet hier denn (richtig) OpenBSD/Solaris/HP-UX? (Wohl sicher unter 0,01% der User hier) Mal von der Verbindung mit IPSec abgesehen.

Was soll den "über", ich habe jediglich den Wert der News fuer dieses Forum bemaengelt, meine eigene Meinung kund getan und gleichzeit noch etwas ueber OpenSource backdoors aufgeklaert.

Ja, das wuerde ich schon so sagen, wie man auch in der Wirtschaft sieht, gibt es fuer jeden IT Bereich eigene Experten, die aber von anderen Themen 0 Ahnung haben.
Wenn es mir darum geht, explizit einen OpenBSD IPSec VPN Server aufsetzen will, dann setze ich mich nur mit OpenBSD, VPN Servern, IPSec auseinander. Sofern ich einen Experten fuer OpenBSD habe, mache ich mich nur ueber VPN/IPSec schlau. Ich spezialisiere mich somit nur auf den Themenbereich den ich auch wirklich brauche und mache das gescheit, andere welche ich nicht verwende, lasse ich links liegen. Fuer was soll ich mir wissen ueber Windows/Linux Systeme, Web-, Mail-, FTP-, Datenbank- Server aneignen wenn ich nur einen UNIX VPN Server aufsetzen will? Wenn ich irgendwie damit in Beruehrung komme, was in der Realitaet auch so ist, informiere ich mich natuerlich darueber. Aber wer wird hier jemals einen (warscheinlich 10Jahre alten) OpenBSD IPSec VPN Server aufsetzen?

Interessant ist also wohl nur das das FBI darfuer Geld bezahlt, aber das sollte man sich, sofern man weiss was OpenSource, Staatliche Sicherheitsorgane und Bestechung ist denken koennen.

dreamax · 25. Dezember 2010

AW: FBI-Backdoor in IPSec-Implementierung von OpenBSD?

OpenBSD: Audits liefern keine Anzeichen für Backdoors [Update]

Analysen des Crypto- und IPSec-Codes von OpenBSD haben bislang keine Hinweise geliefert, dass das System Backdoors zum Belauschen verschlüsselter VPN-Verbindungen enthält. Die OpenBSD-Entwickler hatten die Analysen begonnen, um Vorwürfe von Gregory Perry, ehemals Technik-Chef des Krypto-Herstellers Netsec, zu prüfen. Perry hatte in einer Mail an den OpenBSD-Gründer Theo de Raadt die Entwickler Jason Wright und andere beschuldigt, Hintertüren in den IPSec-Stack eingebaut zu haben. De Raadt hatte Perrys Mail veröffentlicht und die Vorwürfe zur Diskussion gestellt.

In einer weiteren Mail schreibt de Raadt nun, dass Netsec zwar offenbar für das FBI Hintertüren programmiert habe, dieser als "Spende" verteilte Code es nach seiner Ansicht aber nicht in den OpenBSD-Code geschafft habe. De Raadts Mail versucht zudem die Rolle der beschuldigten Entwickler Jason Wright und Angelos Keromytis zu klären. Beide sollen für Netsec gearbeitet haben, [Update]wobei de Raadt nach eigenen Angaben bislang nicht bekannt war, dass das Unternehmen für das FBI tätig war. [/Update]

Anhand der Revisionsverwaltung lässt sich im Nachhinein aber feststellen, welcher Entwickler an welchen Codeteilen gearbeitet hat. Demnach hat Wright hauptsächlich Treiber programmiert und mit dem OpenBSD Crypto Framework (OCF) nichts zu tun gehabt. Allerdings habe er an Teilen des IPSec-Stacks gearbeitet. Wright selbst hat die Vorwürfe, Hintertüren in den OpenBSD-Code eingebaut zu haben, in einer Mail bestritten. De Raadt beklagt allerdings, dass Wright selbst keine Stellung zu seiner Arbeit bei Netsec bezieht.

Statt Wright gerät jetzt offenbar mehr Angelos Keromytis in den Mittelpunkt des Interesses, der laut de Raadt quasi der Architekt und führende Entwickler des IPSec-Stack von OpenBSD war. Keromytis soll aber erst später bei Netsec angeheuert haben. Während dieser Zeit habe das Konzept unsicherer Initalisierungsvektoren Eingang in den OpenBSD-Code gefunden, das später aber wieder entfernt wurde. Kurz darauf wurden jedoch Padding-Oracle-Schwachstellen bekannt, mit der sich verschlüsselte Daten ohne Kenntnis eines Schlüssels entschlüsseln lassen. Die Schwachstelle wurde seinerzeit zumindest im Crypto-Layer beseitigt.

Bei den aktuellen Audits hat man aber laut de Raadt zwei Bugs gefunden. So sei die (CBC-)Padding-Oracle-Schwachstelle in Zusammenhang mit Initalisierungsvektoren offenbar nicht in den Netzwerktreibern beseitigt worden, man gehe aber von einem Versehen aus. Der andere Fehler betrifft eine Anweisung in einem Hardwaretreiber. Daneben erwähnt de Raadt ein Problem im Subsystem zur Zufallszahlenerzeugung, auf das er jedoch nicht näher eingeht.

De Raadts Aussagen dürften zwar Anhänger von OpenBSD und darauf aufbauender Projekte zunächst beruhigen, von einer Entwarnung kann jedoch noch keine Rede sein. Weiterhin gibt es zu viele Ungereimtheiten. Ob sich zudem durch wenige Tage Codereview geschickt eingebaute Hintertüren entdecken lassen, ist fraglich. Eine wie zuletzt im Quellcode von ProFTPD eingebaute Backdoor mit dem auffälligen Passwort "HELP ACIDBITCHEZ" (sic!) dürfte bei FBI-gesteuerten Manipulationen kaum Einsatz finden.

Wie gut sich Schadcode verstecken lässt, zeigt der Underhanded C Contest aus 2008 sehr anschaulich: Dort galt es, eine Bilddatei zu manipulieren, ohne dass dies auch bei genauer Betrachtung des Quellcodes zu entdecken ist. Der Code des Gewinners, Mr. Meacham, war so gut, dass nicht einmal die Veranstalter des Wettbewerbs schlüssig beschreiben konnten, wie er arbeitet - der Entwickler musste die Erklärung später selbst in seinem Blog liefern.

Selbst wenn sich letztlich bestätigt, dass OpenBSD frei von Nachschlüsseln und Hintertüren ist, bleibt ein schaler Nachgeschmack: Bei wievielen anderen Open-Source- und Closed-Source-Projekten waren staatliche Stellen mit ihren Manipulationen erfolgreich? (dab)

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

@Mods: Dies ist eine "News" und keine persoenliche Wertung, weshalb sie getrennt von letzderem stehen sollte.

Nützliche Suchen

FBI-Backdoor in IPSec-Implementierung von OpenBSD?

Videos zum Themenbereich