Löcher in der Firewall

16. Dezember 2010 sabotnik

Update: Die Selbstbezichtigungs-E-Mail, auf die sich diese Meldung bezieht, hat sich als falsch herausgestellt!

Beim Surfen im Internet verlässt man sich in der Regel auf einen ganzen Sack voll Komponenten: Man hofft, das Betriebssystem ist einigermaßen sicher, die Leitung wird nicht abgehört, die Programme enthalten keine Schwachstellen und so weiter. Eine dieser Komponenten ist der DSL-Router — das Teil, dass per W-LAN oder Kabel den zuhause angeschlossenen Geräten eine Internetverbindung zur Verfügung stellt. Unter Umständen sind viele handelsübliche Router von einer Sicherheitslücke betroffen — weil im Auftrag des FBI vor 10 Jahren mehrere Hintertüren in die Netzwerk-Software des freien Betriebssystems OpenBSD eingebaut wurden.

Einer der beteiligten Programmierer_innen hat sich in einer jetzt öffentlich gewordenen Mail an den OpenBSD-Entwickler Theo de Raadt selbst bezichtigt, vor 10 Jahren im Auftrag des FBI mehrere Hintertüren in das freie Betriebssystems eingebaut zu haben. Betroffen war der sogenannte IPSEC-Stack, der für einen Teil der Sicherheit im Netzwerk verantwortlich ist. Noch heute relevant ist diese Enthüllung, weil es bei Open-Source-Software durchaus üblich ist, dass der Code von anderen Produkten aufgegriffen und weiterverwendet wird. Aus diesem Grund ist es nicht unwahrscheinlich, dass der damals manipulierte Code auch heute noch in Netzwerkkomponenten — wie z.B. handelsüblichen DSL-Routern — steckt.

Brisant ist an der Enthüllung weiterhin, dass die Manipulationen nicht aufgefallen sind. Ein starkes Argument für die Verwendung freier Software ist, dass der Code für jedermensch einsehbar ist und Fehler und Manipulationen deswegen schneller auffallen als bei nicht-offenern Programmen. Möglicherweise zeigt der Vorfall, daß die Möglichkeit, den Code zu überprüfen, nicht ausreicht, um Sicherheit zu gewährleisten — weil die Überprüfung eben nicht stattfindet.

Ob die Mail wirklich der Wahrheit entspricht, wird die jetzt anstehende Überprüfung des Codes zeigen. Auf jeden Fall macht der Vorfall deutlich, wie schwer einzuschätzen ist, ob man sich sicher im Internet bewegt. Wäre es also nicht wieder mal Zeit, zu überdenken, welche Information durch die Leitung geschickt werden muss.