Julian Assange: Debian Is Owned By The NSA

[owl102]

würde mich auch mal interessieren... las uns linus fragen oder alan welche strafe einem da droht ...

Zuteilung zum GNOME3-Team.

[sys_op]

Open Source ist ja keine Insel, und nun sind alle betroffen, weil sie feststellen müssen, dass man möglicher Weise auch gewollte Tore offen hat.
Die trügerische Sicherheit, es lesen viele den Code stimmt ja so auch nicht.
Für gewöhnlich kümmern sich Leute doch um "Ihren" Code, soll heissen, sie sind Fachleute für den Codeteil, den sie bearbeiten. Programmcode ist ja kein Brief, den man mal eben für jemanden Anderen schreiben kann. Schreiben 10 Leute für eine Aufgabe Code, sieht der ja bei jedem anders aus, jeder löst das Problem auf seine Art und man hat letztendlich 10 verschiedene Ansätze. Das macht die Lesbarkeit, geschweige denn die Kontrolle von fremdem Code ja relativ schwierig.

Ich habe da eher das Gefühl, dass man (genauer gesagt der Anwender) jetzt entsetzt ist, weil man über die Möglichkeit von Backdoor-Programmen in Linuxen bisher nicht nachdenken wollte.

[Rapho]

Was haltet Ihr davon habe ich gerade auf Facebook gefunden. Irgendwelche Meinungen, Anhaltspunkte ? Ich habe das Youtube Video noch nicht gesehen werde es mit heute abend anschauen aber leicht nerven tut mich das schon jetzt!


https://www.youtube.com/watch?v=UFFTYRWB0Tk
http://igurublog.wordpress.com/2014/04/ ... y-the-nsa/

[Saxman]

- Themen zusammengeführt -

Kleiner Tip am Rande: Nur weil du etwas für dich Neues entdeckt hast, ist es nicht zwangsläufig auch eine Neuigkeit.

[Rapho]

Danke wusste ich nicht, bin erst eben darauf gestossen!

[tomi89]

Dass das Militär Systemd braucht ist ehe klar, weil es bei embedded Systemen den Bootprozess beschleunigt.

Das Systemd so oder so dran gekommen wäre, war mir die ganze Zeit schon klar, nachdem ich mir diese ganze Politik eine Zeit lang angeschaut habe.

Und mit dem Gnome-Desktop ist es das gleiche, alleine wegen dem Touch-Kram und weil der so schön mit Systemd verbandelt ist und somit am Ende beides zusammen logischerweise am besten performen wird.

Man muss auch sehen das die Industrie gerade Opensource und damit vor allem Linux für sich entdeckt hat.

Es wird für alles mögliche Appliances geben, die auf Linux basieren, auch da ist Systemd von großem Vorteil.

Gerade Debian bildet eine optimale Basis für Appliances; maximaler Stabilität und weniger Updates.

Das Digitale Zeitalter wird Linux sprechen, mit Windows ginge da einfach nichts voran.

Somit muss es wohl auch Backdoors für die NSA geben, zur Not lässt die NSA halt von Canonical schnell welche einbauen, denn die werden unseren 3.16 Kernel pflegen.

Debian wird sicherlich nicht das einzigste OS sein, wo die NSA keine Backdoors hortet.

Selbst beim kaum verbreiteten BSD gab es schon gewisse Vorfälle.

Ich gehe einfach davon aus das die NSA alles sieht was ich mache und mache keinen Unsinn.

Und wenn denen meine politische Einstellung nicht passen sollte, dann dürfen die mich gerne mal besuchen.

[scientific]

Wenn ich die Snowden Unterlagen richtig verstanden habe ist die meiste Hardware (Chipsets, Router, BIOS, UEFI, Überseekabel usw.) ohnehin kompromittiert, welches OS nun auf einem Rechner drauf ist spielt also kaum eine Rolle. Wer überwacht werden soll wird überwacht. Gerichte in den USA und auch hier stehen diesen meist unrechtmäßigen Einschränkungen der bürgerlichen Rechte durch Ermittlungsbehörden und Geheimdienste freundlich gegenüber, behördliche Anfragen werden in der Regel ungeprüft durch gewunken.

Terroristen und Kriminelle jedoch verfügen i.d.R. über Kenntnisse und Möglichkeiten staatlicher Überwachung zu entgehen, und die Polizeien und Geheimdienste wissen genau das am besten. Letztlich geht es also der NSA, GCHQ, BND und Co. um die lückenlose Überwachung der Bevölkerung um den wenigen Privilegierten der Welt einen immer mehr ausufernden Raubkapitalismus zu ermöglichen. Punkt. Alles andere ist Augenwischerei.

+1 sehr schön erklärt

Grundsätzlich ja. Nur ist es meiner Meinung nach nicht der böse Raubkapitalismus (Kapitalismus ist einfach nur ein System, welches der Gier, und der Hackordnung der Menschen sehr entgegenkommt/entspricht, und um nichts besser oder schlechter als andere bisher schon gescheiterte Systeme der Menschen ist, welche kurz- oder langfristig auf die Einschränkung und Ausbeutung der "Masse" durch eine "Elite" "ausprobiert" wurden.), sondern schlicht das Ergebnis einer (Geistes)Haltung bestimmter einflußreicher Personengruppen.

Einmal ganz neutral betrachtet ist es nichts anderes als das Ausnutzen einer oder vieler Gelegenheiten, um den eigenen Macht- und Einflußbereich abzusichern und zu vergrößern. Das ist noch nicht schlecht per se.
Aber da hier wahrscheinlich einige heftig widersprechen versuchen werden, ist es für mich wohl besser, einen Schritt zurück zu machen, und diese, meine Sicht der Welt wieder einzuziehen.

Ich bin mir ziemlich sicher, dass mein Debian hier auf meinem Rechner mit Garantie irgendwo ein Backdoor hat. So wie ich auch sicher bin, dass meine Hardware ein Backdoor hat. Und? Was soll ich jetzt tun? MIt einer Olympia-Schreibmaschine Maschinencode schreiben, den ich dann Kindergartenkindern vorlese???
lg scientific

[scientific]

Papier und Bleistift wären bei mir für die Terminkoordination eher keine Option – da macht sich ein Telephon schon ganz gut. Aber:

Achja, Mobphone habe ich gerade abgeschafft. Effekt: Keiner kann mich in der Freizeit nerven. Resumeé: Erholung pur. Danke, NSA!

Dass man das Dingens in der Freizeit auch einfach ausschalten könnte, statt es ganz abzuschaffen, ist bekannt? Die Ausschaltfunktion habe ich schon anno 1999 genutzt, ohne dabei an Geheimdienste zu denken

Wenn man die eigene Mutter, die einen beim Studium in der Ferne zu kontrollieren versucht als Geheimdienst der besonderen Form betrachtet, dann habe ich in dieser grauen Vorzeit auch meinen Ausschaltknopf als Schutz vor Geheimdiensten verwendet...

[Rapho]

Ich bin mir ziemlich sicher, dass mein Debian hier auf meinem Rechner mit Garantie irgendwo ein Backdoor hat. So wie ich auch sicher bin, dass meine Hardware ein Backdoor hat. Und? Was soll ich jetzt tun? MIt einer Olympia-Schreibmaschine Maschinencode schreiben, den ich dann Kindergartenkindern vorlese???
lg scientific

Ja sehe ich auch so, dennoch bleibt bei mir ein sehr ungutes Gefuehl zurueck. Ich weiss das mein Win7 das bestimmt etwas drin hat. Deshalb habe ich nur die gebrauchte Software auf meinen Windows installiert und FF, der aber nie unter Win gestartet wird. Alles andere mache ich unter Debian, mail, internet usw. Gut aber ich nutze auch Gmail, habe habe ein Android Smartphone, Facebook, yahoo mail. Zahle das Benzin und die Lebensmittel per Karte. Mache Ueberweisungen per Internet usw. Also ich glaube jeder ist egal ob er sich dagegen wehrt oder nicht wird ueberwacht. Wir bekommen schon bei unserer Geburt eine Nummer.!

[Hellmut1956]

Ich habe jahrelang in der Halbleiter-Industrie gearbeitete und dabei auch mit dem bereich Smartcards zu tun gehabt. Dabei habe ich gelernt, das z.B. UK von allen in UK ansässigen Unternehmen die irgendwie mit Verschlüsselung zu tun haben der Regierung eine Hintertür bereitstellen MÜSSEN! Was helfen alle Diskussionen um Sicherheit, wenn Regierungen, UK ist nur ein Beispiel von dem ich es sicher weiß, die Bereitstellung einer Hintertür verlangen!
Der Schaden, abgesehen von dem Verlust der Privatsphäre, ist z.B. in der Industrie das Abgreifen von IP. Die USA Regierung erklärt ganz offiziell alles zu tun was US-Interessen dient, die Versorgung ihrer eigenen Industrie mit IP liegt sicher im Interesse der USA! Ich war vor Jahren in einer Spin-Off Gründung eines Technologieunternehmens befasst. Dort wurden konsequent alle Rechner der Entwicklungsabteilung vom Rest der Welt isoliert.
Auf der Electronica in München und der Embedded in Nürnberg habe ich mit Leuten der Sicherheitsbranche gesprochen. Alles was letztendlich wirklich hilft ist es den Aufwand für den Zugriff auf IP durch Schutzmaßnahmen so zu "verteuern", also den Aufwand groß zu machen, z. B. durch verschachteltes einsetzen diverser Schutzmaßnahmen, dass der Aufwand ein generelles Auspähen erschwert wird! "Lustig" wird es mit dem Internet der Dinge!

[Ashlix]

Ich hab mir unterdessen Citizenfour (der Film über die Enthüllungen von Snowden) angeschaut. Im Abspann stehen dort noch ein paar Dankesworte an Software-Projekte - unter anderem Debian und Tails. Auf Netzpolitik.org gibt's noch einen Artikel dazu. Soweit ich das in Erinnerung habe, stand dort sinngemäss, dass das ohne diese Software nicht möglich gewesen wäre. Also irgendwie scheint das ja schlussendlich in diesem Falle doch geklappt zu haben, bzw mehr ermöglich zu haben, als es wohl ohne diese freie Software möglich gewesen wäre (zumindest nach Einschätzung der Beteiligten).

[clue]

Ok, ich kram mal den angestaubten Thread wieder aus:

Nicht nur die Scheunentor großen, offensichtlichen Fehler in SSL, welches ja das Grundgerüst für die Mehrheit der Verschlüsselungen in Linux bildet, kurioserweise sogar FIPS und sonstwie zertifiziert worden ist (ein Schelm wer Böses dabei denkt), sondern auch viele kleine Dinge, die aber in ihrer Summe doch ein verheerendes Bild zur Unterwanderung von Open-Source-Projekten offenbaren, machen es mir unmöglich, diese Tatsache weiterhin zu verdrängen.

Kleine Beispiele:

- GPG: Künstliche Beschränkung der Schlüssellänge auf 4096bits. Hallo? Gehts noch? Eine kleine Änderung am Quellcode und schon hat man open end. Wird aber nicht gemacht. Wieso bloß nicht? Schaut Euch dann mal an, wer GPG mit sponsort. Na, schon geschaut? Und, was ist nun 1+1?

- Abschaffung der Notwendigkeit von root-Rechten zum Auslesen der Hardwareinformationen. D.h. jedes kleine Drecksskript im Internet kann einen Hardwarefingerprint meines Systems machen und mich damit jederzeit eindeutig Identifizieren und tracken. Warum wurde dies seit Kernel 3.x.x so eingeführt? Macht das irgendwie Sinn? Ging doch Jahrzehnte lang auch mit root Rechten.

- Systemd wurde ja schon mehrfach erwähnt.

- Hardware Backdoors ebenso

- Die Bedeutung von Linux auch.

- Ein ehemaliger FBI-Agent hat dem Open-BSD team nach 10 Jahren gesteckt, daß jetzt seine Geheimhaltungsvereinbarung erloschen sei, und er sie darauf hinweise, daß er in deren Auftrag eine Hintertür während seiner Mitarbeit am Quelltext eines Pakets eingebaut hat. Übrigens hat Theo dann den Quelltext gesichtet, aber keine Hintertür finden können. Entweder ist die so gut getarnt gewesen, daß er sie nicht finden konnte, oder die Hintertür war Mist. Wie dem auch sei: Wenn schon das popelige FBI Leute in OSS-Projekte einschleust, dann werden wohl größere und global operierende Verbrecher es erst recht tun. Jeder das dies anzweifelt blendet meiner Meinung nach die Realität aus.

- Jede Kernelversion kommen hunderttausende bis Millionen Zeilen Code hinzu. Diese bestehen größtenteils aus Treibern. Diese Treiber kommen von Firmen, die gemäß Snowden zu den "Kronjuwelen" der international operierenden Verbrecherorganisationen gehören.
Wie wir gesehen haben, schaut kein Mensch selbst bei kritischsten Grundbausteinen nach, ob alles ok ist. Welcher Mensch wird also einen 10 Megabyte OSS-Treiber von Intel oder sonst wem durchsichten? Hier wäre eine weltweite Community Aktion von Nöten. Nur so könnte die enorme Last auf viele Schultern verteilt werden.

Eine weitere Maßnahme wäre, daß die Weiterentwicklung jeweils eines OSS-Projektes komplett eingestellt wird, und sämtliche Entwickler den gesamten Quellcode überprüfen. Zeitgleich sollte dies auch ein anderes Projekt tun. Beide Projekte sollten dann nach der internen Prüfung den Quellcode des jeweils anderen Projektes nochmals akribisch unter die Lupe nehmen. Selbstverständlich sollten beide Projekte die gleiche Programmiersprache verwenden, damit dann auch entsprechendes Know-How vorhanden ist, um eine Beurteilung vornehmen zu können.







Machen wir uns nichts vor: B

[rendegast]

Nicht nur die Scheunentor großen, offensichtlichen Fehler in SSL, welches ja das Grundgerüst für die Mehrheit der Verschlüsselungen in Linux bildet, kurioserweise sogar FIPS und sonstwie zertifiziert worden ist (ein Schelm wer Böses dabei denkt), sondern auch viele kleine Dinge, die aber in ihrer Summe doch ein verheerendes Bild zur Unterwanderung von Open-Source-Projekten offenbaren, machen es mir unmöglich, diese Tatsache weiterhin zu verdrängen.

"offensichtlich" ~ "sehen", wenn niemand nachsieht, ist es natürlich nicht offensichtlich.
Die Folge der Entdeckung: Einerseits die Entfernung des Bug, und wichtiger die getätigten Änderungen im Projektablauf / Wachrütteln der Verantwortlichen, und der Betroffenen.
Code-Reviews.
Dazu ein Fork des Projektes. (Gegenprobe resp. Alternative)

Das öffentlich.
Schonmal von einer Umstrukturierung einer MS-Abteilung infolge eines RPC-Fehlers gehört?

[spiralnebelverdreher]

Ok, ich kram mal den angestaubten Thread wieder aus: ...

Kleine Beispiele:

- GPG: Künstliche Beschränkung der Schlüssellänge auf 4096bits. Hallo? Gehts noch? Eine kleine Änderung am Quellcode und schon hat man open end. Wird aber nicht gemacht. Wieso bloß nicht? Schaut Euch dann mal an, wer GPG mit sponsort. Na, schon geschaut? Und, was ist nun 1+1?

Wo ist dein konkretes Problem mit dieser Schlüssellänge 4096 bits? Soll die Verschlüsselung auch noch 300 Jahre nach deinem Tod nicht gebrochen sein?
Die Beschränkung der Schlüssellänge ist m.W. nach sehr hilfreich, wenn man kleine, eingebettete Prozessoren auf Smartcards implementieren will, die ausschließlich für kryptographische Anwendungen gebaut werden.

Siehe auch: http://www.keylength.com/en/

Im übrigen schlage ich vor, eine Diskussion über Schlüssellängen in einem neuen Thread zu führen, denn das hat nicht direkt was mit debian und der NSA zu tun. Und der alte Thread hatte schon wirklich viel Staub angesetzt.

[uname]

Ich möchte die Diskussion mal in in eine andere Richtung lenken. Interessant sind doch eigentlich gar nicht die angeblichen Sicherheitslücken und vielleicht die Tatsache, dass die NSA bei Linux oder Debian mitprogrammiert. Ich würde mal ganz speziell gerne wissen wie man es schafft auf mein System zuzugreifen. Natürlich setze ich einen DSL-NAT-Router voraus. Bei Windows kann ich mir schon vorstellen, dass mit Windows 10 und der ganzen Cloud-Kommunikation, Registrierung, Dauer-Updates, MAC-Adressen usw. ich recht einfach ganz individuell einen NSA-Trojaner platzieren kann, der dann nach hause telefoniert. Haken dran. Aber wie soll das bei Debian funktionieren? Da wird nicht irgendwo hin kommunziert und auch kann ich nicht verstehen wie man mir ein individuell angepasstes Debian-Paket remote unterschieben will. Dagegen gibt es eigentlich Prüfsummen. Vielleicht hat jemand ein paar Ideen. Klar kann man generell einen Trojaner für alle verteilen, der dann aber nur bei mir aktiv wird. Aber das halte ich dann auch für etwas unrealistisch.

[clue]

speziell gerne wissen wie man es schafft auf mein System zuzugreifen.

Der Möglichkeiten sind viele. Die verbaute Hardware enthält Hintertüren. Diese können durch verschiedene Mechanismen ausgelöst werden. Eine viel diskutierte Möglichkeit ist die Sendung einer bestimmten Abfolge von Netzwerkpaketen, die dann von der Netzwerkkarte entsprechend interpretiert wird. Dann gäbe es noch das UEFI-Betriebssystem vor Deinem eigentlichen Betriebssystem. UEFI verfügt über einen eigenen Netzwerkstack und kann somit unabhängig vom OS Daten senden & empfangen. Die Festplatten Firmware, GraKA Firmware sind auch beliebte Ziele.

Softwareseitig sieht die Infektion oft so aus, daß das Ziel eine präparierte Mail erhält, deren Anhang dann Lücken im OS ausnutzt. Bei höherwertigen Zielen werden dann auch DNS Anfragen manipuliert, so daß man auf einer der Originalseite äußerst ähnlichen Virenseite landet.

Das sind aber alles so Sachen, die ich beim Stöbern im Netz aufgeschnappt habe. Ich plapper das einfach nur nach.

Wo ist dein konkretes Problem mit dieser Schlüssellänge 4096 bits? Soll die Verschlüsselung auch noch 300 Jahre nach deinem Tod nicht gebrochen sein?

Wenn ich etwas verschlüssele ist es doch Ausdruck meines Willens, daß es nur für bestimmte Personen lesbar sein soll. Außerdem glaube ich nicht, daß die bei 4096 bit 300 Jahre zum Knacken brauchen. Stichwort NSA-Center in Utah mit ihren Exascale Rechnern, bzw. Obamas Exascale Initiative und die bald kommenden oder schon existierenden Quantenrechner ... Wozu also die künstliche Beschränkung auf 4096 bits? Die heutige Hardware ist so leistungsfähig, da kann man auch locker wesentlich längere Schlüssel nehmen.

[uname]

Dann gäbe es noch das UEFI-Betriebssystem

Das ist wirklich eine schöne Möglichkeit. Gut, dass meine Hardware noch kein UEFI hat.

[hikaru]

Warum meinst du, dass BIOS sicherer ist? Klar, es ist primitiver, aber Netzwerkboot und das Nachladen weiterer Software sind uralte Techniken die ebenfalls eine gewisse Komplexität dieses verschlossenen Systembestandteils erfordern. Viel muss es auch nicht können. Irgendwas an andere Komponenten weitergeben reicht schon. x86-Prozessoren, Festplatten und eigentlich alles was eine eigene Firmware braucht sind im Grunde selbstständige Minicomputer die nicht unter deiner Kontrolle stehen.

Auf Softwareseite sei der kürzliche "Chromium-Skandal" genannt, der wie auch fefe festgestellt hat nur deshalb zum Skandal wurde weil ein Blob reproduzierbar nachgeladen wurde. Bei Quelloffenheit oder wenn es nur bei Vollmond geladen würde hätte danach wohl kein Hahn gekräht. Und natüerlich könnte Google jederzeit den Inhalt auch eines quelloffenen Stücks Code modifizieren, und das sicher auch nutzerabhängig.

Was die manipulierten Debianpakete angeht, schaust du in die falsche Richtung denke ich. Nicht der Payload ist interessant sondern die Metadaten. Die Scripte die im Verlauf der (De)Installation abgearbeitet werden dürfen alles. Lass da nun ein Paket irgendwas nachladen - berühmtes böses Beispiel: flashplugin-nonfree, aber ich glaube auch bei eigentlich "guten" Zertifikatsgeschichten gab es sowas. Aus irgendeinem Grund wird nun so ein Script angestoßen, z.B. weil rein reguläres Update kommt. Dem Anbieter (Upstream) des nachgeladenen Inhalts wurde aber inzwischen irgendwas untergeschoben, mit oder ohne sein Wissen. Als Distributor ist sowas nur schwer zu erkennen.

Wenn schon Paranoia, dann richtig!