Experten von GeNUA prüfen gesamten Krypto- und IPsec-Code

Keine Hinweise auf Backdoor in OpenBSD nach Code-Analyse

25.12.2010 | Redakteur: Peter Schmitz

Ein Programmierer hat im Auftrag ses FBI angeblich eine Hintertür in das OpenSource Betriebssystem OpenBSD eingeschleust. Eine Code Analyse konnte hierfür jetzt keine Hinweise erbringen.
Ein Programmierer hat im Auftrag ses FBI angeblich eine Hintertür in das OpenSource Betriebssystem OpenBSD eingeschleust. Eine Code Analyse konnte hierfür jetzt keine Hinweise erbringen.

Das OpenBSD-Projekt ist mit der Behauptung konfrontiert, dass im Jahr 2000 in den Quellcode Backdoors für das FBI eingefügt worden seien. Dies behauptet Gregory Perry in einer E-Mail an den OpenBSD-Projektleiter Theo de Raadt, die am 14. Dezember veröffentlicht wurde. Jetzt liegt ein erstes Ergebnis einer Code-Analyse vor.

Von der Behauptung, dass es eine Hintertür im Krypto- oder IPsec-Code von OpenBSD gäbe ist auch der deutsche Hersteller GeNUA betroffen, da Produkte des IT-Sicherheitsunternehmens auf dem freien Betriebssystem basieren. Deshalb haben die Experten des Unternehmens die Teile des Codes, die Ziel der Manipulation sein könnten, Zeile für Zeile analysiert. Das Ergebnis: Es wurden keine Hinweise auf eine Backdoor gefunden.

GeNUA verwendet für Firewalls und VPN-Systeme das Betriebssystem OpenBSD. Denn bei diesem freien Entwicklungsprojekt ist die IT-Sicherheit als vorrangiges Ziel definiert und wird mit strikten Review-Prozessen konsequent verfolgt. Die Behauptung von Gregory Perry, er habe als Mitarbeiter der Firma Netsec im Auftrag des FBI den Einbau von Backdoors in Krypto- und IPsec-Funktionen des Betriebssystem veranlasst, trifft somit sicherheitsbewusste Anwender wie GeNUA.

Die Krypto- und IPsec-Funktionen dienen zur verschlüsselten Datenübertragung via VPN. Perry nennt in der E-Mail aber keine Beweise oder konkrete Anhaltspunkte für die behauptete Manipulation. GeNUA reagierte darauf mit einer Analyse des gesamten Krypto- und IPsec-Codes von OpenBSD. Da GeNUA bereits seit 2002 Sicherheitslösungen auf Basis des freien Betriebssystems erstellt, sind hier zahlreiche OpenBSD-Entwickler beschäftigt, die solche Schwachstellen-Analysen vornehmen können.

Umfassende Schwachstellen-Analyse des Krypto- und IPsec-Codes

Die Entwickler von GeNUA analysierten dabei sowohl den aktuellen als auch den Code aus dem Jahr 2000, als die angebliche Manipulation stattgefunden haben soll. Zusätzlich wurden stichprobenartig Änderungen aus den zehn dazwischen liegenden Jahren geprüft. Dies ist möglich, da der Quellcode einer Revisionsverwaltung unterliegt und jeder Software-Stand seit dem Projektstart 1995 abgerufen werden kann. Bei der Schwachstellen-Analyse wurde der Krypto- und IPsec-Code Zeile für Zeile geprüft und kein Hinweis auf eine Backdoor gefunden.

Bei der Entwicklung und Zertifizierung wird Quellcode geprüft

GeNUA passt die OpenBSD Releases, die für Produkte verwendet werden, stets an die speziellen Anforderungen der Sicherheitslösungen an: In allen Code-Komponenten, die Sicherheits-Features beinhalten, werden bestimmte Funktionen hinzugefügt oder verstärkt. Dieser Code muss somit bei jedem Release von den Entwicklern von GeNUA geprüft, angepasst und getestet werden. Darüber hinaus unterwirft GeNUA die Produkte regelmäßig der Zertifizierung nach Common Criteria (CC) in der Stufe EAL 4+. Dieses beim Bundesamt für Sicherheit in der Informationstechnik (BSI) durchgeführte Verfahren beinhaltet die Offenlegung und Kontrolle des Quellcodes und schließt auch das Betriebssystem ein.

„Als die Behauptung über die angeblichen Backdoors veröffentlicht wurde, haben wir mit einer umfangreichen Schwachstellen-Analyse die in Frage kommenden Code-Bereiche geprüft und nichts gefunden. Zusammen mit der ständigen Kontrolle des Quellcodes bei der Entwicklung und den regelmäßigen Zertifizierungen kommen wir deshalb zu dem Schluss, dass mit an Sicherheit grenzender Wahrscheinlichkeit diese Backdoors nicht in OpenBSD eingebaut wurden“, sagt Dr. Magnus Harlander, Geschäftsführer der GeNUA mbH.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2049014 / Betriebssystem)