• IT-Karriere:
  • Services:

OpenBSD IPSEC-Stack

Erste Prüfungen entkräften Backdoor-Verdacht

Nach einer ersten Prüfung des Codes des IPSEC-Stacks in OpenBSD geben die Entwickler Entwarnung: Es gebe keine Hinweise dafür, dass Backdoor-Programme in den Code eingeschleust wurden.

Artikel veröffentlicht am ,
OpenBSD IPSEC-Stack: Erste Prüfungen entkräften Backdoor-Verdacht

Der Verdacht, dass Entwickler in den Jahren 2000 und 2001 Hintertüren in den IPSEC-Stack von OpenBSD eingeschleust haben, hat sich nicht erhärtet. Bei einer ersten Prüfung wurden lediglich drei Fehler gefunden: Eine bereits bekannte Padding-Oracle-Schwachstelle in den Initialisierungsvektoren von Netzwerktreibern ist - wohl versehentlich - noch nicht beseitigt worden. Zudem gibt es einen Fehler in einem der Hardwaretreiber und einen weiteren im Subsystem zur Zufallszahlenerzeugung.

Stellenmarkt
  1. über Dr. Heimeier & Partner, Management- und Personalberatung GmbH, Nordrhein-Westfalen
  2. Stadtverwaltung Eisenach, Eisenach

OpenBSD-Gründer Theo de Raadt hatte eine E-Mail des Softwareentwicklers Gregory Perry veröffentlicht, in der dieser auf mögliche Hintertüren in der IPSEC-Implementierung von OpenBSD hinweist. Demnach haben einige Entwickler im Auftrag der US-Regierung in den Jahren 2000 und 2001 entsprechende Schwachstellen in den Code eingebaut.

Perry war nach eigenen Angaben seinerzeit CTO bei Netsec und arrangierte in diesem Zusammenhang auch Codespenden für das OpenBSD Crypto Framework. Zugleich aber habe er auch das FBI im Rahmen des GSA Technical Support Center beraten, ein Projekt für kryptographisches Reverse Engineering, heißt es in der E-Mail. Er benennt in seiner E-Mail konkrete Entwickler, die für den Einbau der Backdoors verantwortlich gewesen sein sollen.

Zumindest einer der verdächtigten Entwickler wurde inzwischen entlastet. Dieser habe lediglich an der Treiberentwicklung und nicht an dem betroffenen Crypto-Framework gearbeitet. Er bestritt die Vorwürfe gegen ihn in einer E-Mail, wolle aber keine Details zu seiner Arbeit bei Netsec liefern.

Der zweite Programmierer, der von Perry beschuldigt wurde, bleibt jedoch unter Verdacht. Er ist der Architekt und war einer der Hauptentwickler des IPSEC-Stacks. Kurz nachdem er bei Netsec anheuerte, wurde das Konzept der unsicheren Initialisierungsvektoren in der Entwicklung des Stacks übernommen, später jedoch wieder entfernt. Kurze Zeit später entdeckten die Entwickler jedoch eine Padding-Oracle-Schwachstelle, bei der Daten ohne Kenntnisse eines Schlüssels mitgelesen werden können. Auch diese Schwachstelle wurde später beseitigt.

Ob die jetzt erfolgte Prüfung des Codes ausreicht, um sämtliche Fehler zu entdecken, bleibt jedoch ungewiss, denn die Entwickler hatten bislang nur wenig Zeit, den gesamten Code zu durchstöbern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. ab 38,00€ (bei ubi.com)
  2. 319,00€ (Bestpreis)
  3. 31,49€
  4. (u. a. Die Siedler History Collection 19,99€, Anno 1800 Gold Edition für 38,00€, Tom Clancy's...

Flying Circus 27. Dez 2010

Das hat sich auch keiner wirklich angesehen, nachdem der Maintainer da drin rumgepatcht...

haiku 24. Dez 2010

Entwicklung und Vertrieb von Zeta wurde bereits 2007 eingestellt. Nach mehrereb...

heinz0r2k10 24. Dez 2010

Auf den OpenBSD Kernel Sourcetree. Zugegeben, nicht nur ausschließlich IPSEC code, aber...

mimimi 24. Dez 2010

http://mickey.lucifier.net/b4ckd00r.html

developer 23. Dez 2010

Synonyme für "entkräften": abnutzen, abnützen, angreifen, aufbrauchen, aufreiben...


Folgen Sie uns
       


Motorola Razr (2019) - Hands on

Das neue Motorola Razr lässt sich wie das alte Razr V3 zusammenklappen - das Display ist allerdings faltbar und geht über die gesamte Innenfläche des Smartphones.

Motorola Razr (2019) - Hands on Video aufrufen
Mobile Games: Mit Furz-Apps wird man kein Millionär mehr
Mobile Games
"Mit Furz-Apps wird man kein Millionär mehr"

Mit cleveren Kartenspielen wie Card Thief hat der Berliner Mobile-Games-Macher Arnold Rauers von Tinytouchtales seine gewinnbringende Nische gefunden. Im Gespräch mit Golem.de nennt er Zahlen - und gibt konkrete Empfehlungen für andere Entwickler.
Von Rainer Sigl

  1. Mobile Games Stillfront kauft Storm 8 für bis zu 400 Millionen US-Dollar
  2. Mobile Games Verspielt durch die Feiertage
  3. Mobile-Games-Auslese Märchen-Diablo für Mobile-Geräte

SpaceX: Der Weg in den Weltraum ist frei
SpaceX
Der Weg in den Weltraum ist frei

Das Raumschiff hob noch ohne Besatzung ab, aber der Testflug war ein voller Erfolg. Der Crew Dragon von SpaceX hat damit seine letzte große Bewährungsprobe bestanden, bevor die Astronauten auch mitfliegen dürfen.
Ein Bericht von Frank Wunderlich-Pfeiffer

  1. Raumfahrt SpaceX macht Sicherheitstest bei höchster Belastung
  2. Raumfahrt SpaceX testet dunkleren Starlink-Satelliten
  3. SpaceX Starship platzt bei Tanktest

Radeon RX 5600 XT im Test: AMDs Schneller als erwartet-Grafikkarte
Radeon RX 5600 XT im Test
AMDs "Schneller als erwartet"-Grafikkarte

Für 300 Euro ist die Radeon RX 5600 XT interessant - trotz Konkurrenz durch Nvidia und AMD selbst. Wie sehr die Navi-Grafikkarte empfehlenswert ist, hängt davon ab, ob Nutzer sich einen Flash-Vorgang zutrauen.
Ein Test von Marc Sauter

  1. Grafikkarte AMD bringt RX 5600 XT im Januar
  2. Grafikkarte Radeon RX 5600 XT hat 2.304 Shader und 6 GByte Speicher
  3. Radeon RX 5500 XT (8GB) im Test Selbst mehr Speicher hilft AMD nicht

    •  /