Abo
  • Services:

OpenBSD IPSEC-Stack

Erste Prüfungen entkräften Backdoor-Verdacht

Nach einer ersten Prüfung des Codes des IPSEC-Stacks in OpenBSD geben die Entwickler Entwarnung: Es gebe keine Hinweise dafür, dass Backdoor-Programme in den Code eingeschleust wurden.

Artikel veröffentlicht am ,
OpenBSD IPSEC-Stack: Erste Prüfungen entkräften Backdoor-Verdacht

Der Verdacht, dass Entwickler in den Jahren 2000 und 2001 Hintertüren in den IPSEC-Stack von OpenBSD eingeschleust haben, hat sich nicht erhärtet. Bei einer ersten Prüfung wurden lediglich drei Fehler gefunden: Eine bereits bekannte Padding-Oracle-Schwachstelle in den Initialisierungsvektoren von Netzwerktreibern ist - wohl versehentlich - noch nicht beseitigt worden. Zudem gibt es einen Fehler in einem der Hardwaretreiber und einen weiteren im Subsystem zur Zufallszahlenerzeugung.

Stellenmarkt
  1. DGUV - Deutsche gesetzliche Unfallversicherung, Sankt Augustin
  2. Grand City Property, Berlin

OpenBSD-Gründer Theo de Raadt hatte eine E-Mail des Softwareentwicklers Gregory Perry veröffentlicht, in der dieser auf mögliche Hintertüren in der IPSEC-Implementierung von OpenBSD hinweist. Demnach haben einige Entwickler im Auftrag der US-Regierung in den Jahren 2000 und 2001 entsprechende Schwachstellen in den Code eingebaut.

Perry war nach eigenen Angaben seinerzeit CTO bei Netsec und arrangierte in diesem Zusammenhang auch Codespenden für das OpenBSD Crypto Framework. Zugleich aber habe er auch das FBI im Rahmen des GSA Technical Support Center beraten, ein Projekt für kryptographisches Reverse Engineering, heißt es in der E-Mail. Er benennt in seiner E-Mail konkrete Entwickler, die für den Einbau der Backdoors verantwortlich gewesen sein sollen.

Zumindest einer der verdächtigten Entwickler wurde inzwischen entlastet. Dieser habe lediglich an der Treiberentwicklung und nicht an dem betroffenen Crypto-Framework gearbeitet. Er bestritt die Vorwürfe gegen ihn in einer E-Mail, wolle aber keine Details zu seiner Arbeit bei Netsec liefern.

Der zweite Programmierer, der von Perry beschuldigt wurde, bleibt jedoch unter Verdacht. Er ist der Architekt und war einer der Hauptentwickler des IPSEC-Stacks. Kurz nachdem er bei Netsec anheuerte, wurde das Konzept der unsicheren Initialisierungsvektoren in der Entwicklung des Stacks übernommen, später jedoch wieder entfernt. Kurze Zeit später entdeckten die Entwickler jedoch eine Padding-Oracle-Schwachstelle, bei der Daten ohne Kenntnisse eines Schlüssels mitgelesen werden können. Auch diese Schwachstelle wurde später beseitigt.

Ob die jetzt erfolgte Prüfung des Codes ausreicht, um sämtliche Fehler zu entdecken, bleibt jedoch ungewiss, denn die Entwickler hatten bislang nur wenig Zeit, den gesamten Code zu durchstöbern.



Anzeige
Hardware-Angebote
  1. 119,90€
  2. (reduzierte Überstände, Restposten & Co.)

Flying Circus 27. Dez 2010

Das hat sich auch keiner wirklich angesehen, nachdem der Maintainer da drin rumgepatcht...

haiku 24. Dez 2010

Entwicklung und Vertrieb von Zeta wurde bereits 2007 eingestellt. Nach mehrereb...

heinz0r2k10 24. Dez 2010

Auf den OpenBSD Kernel Sourcetree. Zugegeben, nicht nur ausschließlich IPSEC code, aber...

mimimi 24. Dez 2010

http://mickey.lucifier.net/b4ckd00r.html

developer 23. Dez 2010

Synonyme für "entkräften": abnutzen, abnützen, angreifen, aufbrauchen, aufreiben...


Folgen Sie uns
       


Nepos Tablet - Hands on

Nepos ist ein Tablet, das speziell für ältere Nutzer gedacht ist. Das Gehäuse ist stabil und praktisch, die Benutzerführung einheitlich. Jede App funktioniert nach dem gleichen Prinzip, mit der gleichen Benutzeroberfläche.

Nepos Tablet - Hands on Video aufrufen
Amazons Echo Show (2018) im Test: Auf keinem anderen Echo-Gerät macht Alexa so viel Freude
Amazons Echo Show (2018) im Test
Auf keinem anderen Echo-Gerät macht Alexa so viel Freude

Die zweite Generation des Echo Show ist da. Amazon hat viele Kritikpunkte am ersten Modell beseitigt. Der Neuling hat ein größeres Display als das Vorgängermodell und das sorgt für mehr Freude bei der Benutzung. Trotz vieler Verbesserungen ist nicht alles daran perfekt.
Ein Test von Ingo Pakalski

  1. Update für Alexa-Display im Hands on Browser macht den Echo Show viel nützlicher
  2. Amazon Echo Show mit Browser, Skype und großem Display

Job-Porträt Cyber-Detektiv: Ich musste als Ermittler über 1.000 Onanie-Videos schauen
Job-Porträt Cyber-Detektiv
"Ich musste als Ermittler über 1.000 Onanie-Videos schauen"

Online-Detektive müssen permanent löschen, wo unvorsichtige Internetnutzer einen digitalen Flächenbrand gelegt haben. Mathias Kindt-Hopffer hat Golem.de von seinem Berufsalltag erzählt.
Von Maja Hoock

  1. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
  2. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp
  3. IT-Jobs "Jedes Unternehmen kann es besser machen"

Interview Alienware: Keiner baut dir einen besseren Gaming-PC als du selbst!
Interview Alienware
"Keiner baut dir einen besseren Gaming-PC als du selbst!"

Selbst bauen oder Komplettsystem kaufen, die Zukunft von Raytracing und was E-Sport-Profis über Hardware denken: Golem.de hat im Interview mit Frank Azor, dem Chef von Alienware, über PC-Gaming gesprochen.
Von Peter Steinlechner

  1. Dell Alienware M15 wird schlanker und läuft 17 Stunden
  2. Dell Intel Core i9 in neuen Alienware-Laptops ab Werk übertaktet

    •  /