Wie hoch ist die Chance...

...das eine Regierung oder Organisation Backdoors in da Linuxkernel oder andere in Distributionen genutze Software einbaut? Kein Mensch grast doch das gesammt Linux Kernel nach solchen Dingen ab.

Das ist jetzt kein getrolle sondern eine ernste Frage. Gibt es bei der Entwicklung des Kernels sicherheitsmaßnahmen die so etwas verhindern sollen. 4-Augen Prinzip etc?

OpenBSD ist keine Linux-Distribution, sondern ein eigenständiges Betriebssystem.

Das ist mir schon klar. Mir ging es hier jetzt als Beispiel um das Linux Kernel. Kann auch ruhig halt das open- free- BSD Kernel sein.

liquidsky schrieb:
--------------------------------------------------------------------------------
> ...das eine Regierung oder Organisation Backdoors in da Linuxkernel oder
> andere in Distributionen genutze Software einbaut? Kein Mensch grast doch
> das gesammt Linux Kernel nach solchen Dingen ab.

Die Wahrscheinlichkeit ist nicht gering. Das Problem ist, dass man Backdoors auch gut verstecken kann und selbst bei einen Codeaudit diese nicht unbedingt finden muss. Aber sie ist kleiner, als eine Backdoor im Windowssystem.

Für uns Normalbürger ist so eine Lücke jedoch so wie eine die nicht existiert. Denn so eine Lücke zu platzieren ist kostet ne Menge Geld und Aufwand. Und wenn man diese Lücke ausnutzt, besteht die Chance das sie gefunden wird und damit ihre Wirksamkeit verliert. Deshalb werden solche Lücken, sollten sie existieren, nur im allergrößten Notfall benutzt.

Aber es ist völlig unwichtig ob solche absichtlichen Backdoors existieren, es gibt genügend unabsichtliche Lücken in den Programmen. Du kannst davon ausgehen, dass die Geheimdienste auf einer Hand voll Zero-Day-Exploits sitzen.
Beim Stuxnet-Wurm hat man das zum ersten mal in Aktion gesehen. Der wurde mit extrem hoher Wahrscheinlichkeit vom jüdischen oder amerikanischen Geheimdienst auf die Atomanlagen der Iraner abgeschossen und hat vier Zero-Day-Exploits impementiert gehabt. Damit man auf jeden Fall die Zielsysteme auch sabotieren kann.
Die vier Exploits sind jetzt, nach dem Einsatz, wertlos. Sie sind bekannt und mittlerweile auch gepatcht.

Deshalb ist der Einsatz solcher Exploits von staatlichen Stellen gegen Normalbürger und Kriminelle nahezu ausgeschlossen. Es ist es für dich und mich egal, ob solche platzierten Backdoors existieren.

Sogar die NSA hat letztens zugegeben, dass man davon ausgehen muss, das fremde Geheimdienste mindestens Teilzugriff auf die eigenen Netze haben.
http://it.slashdot.org/story/10/12/17/1540256/NSA-Considers-Its-Networks-Compromised

Danke für deine ausführliche Antwort. Von der Seite hab ich das noch nicht betrachtet, dass eine Backdoor wie du beschrieben genutzt wird (Preis, Nutzbarkeit)

Na ja, Versuche in die Richtung gibt es sicherlich.

Damit aber bis in den offiziellen source tree zu kommen dürfte nicht ganz so einfach sein.

Andere Frage, wie hoch ist die Chance, dass ein Nachrichtendienst Entwickler in Firmen einschleust die dann in deren Systemen Backdoors einbauen.

Vor allem wenn das Systeme sind an denen ein paar hundert bis tausend Leute rumschrauben.

liquidsky schrieb:
--------------------------------------------------------------------------------
> ...das eine Regierung oder Organisation Backdoors in da Linuxkernel oder
> andere in Distributionen genutze Software einbaut? Kein Mensch grast doch
> das gesammt Linux Kernel nach solchen Dingen ab.
>
> Das ist jetzt kein getrolle sondern eine ernste Frage. Gibt es bei der
> Entwicklung des Kernels sicherheitsmaßnahmen die so etwas verhindern
> sollen. 4-Augen Prinzip etc?

Naja, da es in fast jeder (sicherheitsrelevanten) CSS Hintertüren gibt, ist die Wahrscheinlichkeit vermutlich nicht gleich Null, dass in OSS auch welche vorhanden sind.

Jedoch lässt sich m.M.n. eine Hintertür bei einem (flüchtigen) Code-Review leichter aufspüren als ein verzwickter Bug. (Wobei ein "cleverer" Bug natürlich den selben Effekt wie eine Hintertür haben kann, der dann wiederum alles andere als leicht zu finden ist, was aber um Faktoren schwieriger zu implementieren sein dürfte.)

Oh man krass, ich bin zu müde ... mein Text klingt wie von Siga geschrieben ... so weit isses nu schon gekommen ... ich muss schlafen ... gute Nacht! :)

Mind_ schrieb:
--------------------------------------------------------------------------------

> Du kannst davon
> ausgehen, dass die Geheimdienste auf einer Hand voll Zero-Day-Exploits
> sitzen.

Alle Geheimdienste? Ich würde mich nicht wundern wenn die deutschen Geheimdienste nur auf einer Hand voll Exploits in binary-Form sitzen die ihre Systeme verseuchen...

liquidsky schrieb:
--------------------------------------------------------------------------------
> Kein Mensch grast doch
> das gesammt Linux Kernel nach solchen Dingen ab.

Es gibt durchaus Gruppen, die Code nach diversen Mustern durchsuchen, aber an 100%-iges Code-Review glaub ich natürlich auch nicht.

MoritzMDaffinger schrieb:
--------------------------------------------------------------------------------
> liquidsky schrieb:
> ---------------------------------------------------------------------------
> -----
> > Kein Mensch grast doch
> > das gesammt Linux Kernel nach solchen Dingen ab.
>
> Es gibt durchaus Gruppen, die Code nach diversen Mustern durchsuchen, aber
> an 100%-iges Code-Review glaub ich natürlich auch nicht.

*Was* fuer Muster? Es ist sicher moeglich, einen Sourcecode nach offensichtlichen Hintertüren ("// *** NSA Backdoor begins here, modifying or removing this section is a federal offence!! *** //") zu durchsuchen, aber kleine, fiese fehler wird man so nicht finden, als Beispiel sei nur die debian-ssl geschichte genannt. Gerade ein random number Generator ist äusserst komplex, ich wage zu behaupten, das es auf der Welt nur ein paar hundert Leute gibt, die openssl wirklich komplett verstehen.

Bei Debian war's (vermutlich) wirklich ein Versehen, das auch dokumentiert wurde, aber wenn jemand sowas absichtlich macht, koennte es unauffindbar sein, wenn jemand nicht weiss, wo er nach was suchen soll...

NX01A schrieb:
--------------------------------------------------------------------------------
> als Beispiel sei nur die debian-ssl geschichte genannt.

Das hat sich auch keiner wirklich angesehen, nachdem der Maintainer da drin rumgepatcht hatte.

> Gerade ein random number Generator ist äusserst komplex

In dem Falle war's allerdings ziemlich trivial, was der Maintainer gemacht hat.

> Bei Debian war's (vermutlich) wirklich ein Versehen, das auch
> dokumentiert wurde

Der Maintainer hat sogar nachgefragt, was die fragliche Funktion, die er dann auskommentierte, macht. Leider hat man ihn falsch verstanden und so nahm das Unheil seinen Lauf.

> aber wenn jemand sowas absichtlich macht, koennte es
> unauffindbar sein, wenn jemand nicht weiss, wo er
> nach was suchen soll...

Es gibt keine Gewissheiten im Leben. Außer zwei. ;-)