Julian Assange: Debian Is Owned By The NSA

[Patman]

Ich denke dieser Thread kann gelöscht werden, oder?
siehe: http://debianforum.de/forum/viewtopic.php?f=37&t=148775

[Saxman]

Themen zusammengeführt

[Ibex]

Ich wundere mich, dass die Überlegungen von Assange so in Zweifel gezogen wurden.

Für mich ist es sonnenklar, das Linuxsysteme ein wichtiges Ziel von NSA und anderen Geheimdiensten sind, wenn man sich die Verbreitung von Linux auf dem Servermarkt ansieht. Und auch Menschen die sich stärker für Privatsphäre und Verschlüsselung interessieren, greifen meist zu Linux, Regierungskritiker inklusive.

Ich habe auch schon lange vor Snowden und Assange vermutet, das die Lücke im Debian SSL-Zufallsgenerator kein Bug sondern eine gezielt eingeschleuste Backdoor war (Habe ich glaube ich auch hier im Forum geäußert). Beim der aktuellen Heartbleed Lücke gehe ich genau so davon aus. Beweisen läßt sich das natürlich nicht, solange es niemaden gibt der es zugibt oder "leaked". Es mag auch sein, das beides einfach nur Bugs sind, aber dann bin ich überzeugt, das es andere Backdoors gibt.

Die NSA mit ihrem Millardenbudget wären einfach dämlich, wenn sie keine Mitarbeiter in die großen Linux Distributionen einschleusen würden, und dämlich sind sie ganz offensichtlich nicht.

Bei RedHat arbeitet die NSA ja soger mehr oder weniger offizell mit, Debian als stark verbreites Serversystem ist ebenfalls ein logisches Ziel, genau wie SUSE.

Und wie baut man Backdoors in ein Open Source System, dessen Code jeder lesen kann, ein? Logischerweise in Form von möglichst unauffällige, zufällig wirkenden bugs, die schwer zu finden sind.

Die andere Möglichkeit, die Snowden auch beschreiben hat, ist darauf hinzuwirken, dass die implementiere Verschlüsselungsverfahren geschwächt werden. Auch das scheint quasi in allen Linuxdistributioen der Fall zu sein, wenn man gängigen News Portalen (Heise, Golem, Standard) glauben schenken kann. Die verwendeten Zufallsgeneratoren sind eben nicht state of the art, sondern eher "zweite wahl". Kann zufall sein, da kryptographie ja nicht trivial ist, aber passt auch gut zu der Annahme, das Personen mit einer klaren Agenda an den Entscheidungen beteiligt sind.

Die Aussage "Debian gehört der NSA" ist natürlich polemisch und blödsinn, Debian hat tausende Entwickler überall auf der Welt, die nicht alle ferngesteuerte Agente der NSA sind. Aber wie der aktuelle heartbleed Fall zeigt, hat Debian auch absolut unzureichende Kontrollmechanismen für Sicherheitskritsichen code, der review Prozess ist in keiner Weise ausreichend, wenn man von gezielten Sabotagen ausgehen muss.

Anstatt Assagne als Paranoiker zu diffamieren, sollte man lieber darüber nachdenken, wie man mit der sehr realen Bedrohung durch Geheimdienste aller color (das ist ja nicht nur die NSA) in einer offenen Entwickerlgemeinschaft wie Debian umgeht. OpenSource ist sicher die wichtigste Voraussetzung, um ein halbwegs sicheres System zu schaffen, aber der Code muss dan auch entsprechend überprüft werden. Und zumindtens bei kritischen krypographie Bibliothken, die dann auch von fast allen Distributionen übernommen werden, darf es einfach nicht mehr sein, das patches oder gar neue Versionen eingereicht werden, die nicht von einem größeren unabhänigem Personenkreis überprüft werden.

Ich bezweifle allerdings, das es möglich ist alle denkbaren Szenarien zu berücksichtigen, wenn man als Gegener milliardenschwere Regierungsbehörden ausgestattet mit allen mögliche extralegalen geheimdienst Methoden hat, die obendrein die technische Infrastruktur des Internet kontrollieren und direkten zugriff auf die Netzwerkknoten hat. Daher muss man sich wohl leider in der schönen neuen Welt auch endgültig von dem Gedanken verabschieden, man könne auf elektronischem Weg kommunizieren oder Daten übertragen, ohne das Big Brother mitlesen kann. Wenn das wirklich die Schlussfolgerung ist, muss aber auch das kommuniziert werden, um keine falsche Sicherheit vorzutäuschen. Da ist dann auch im Zweifelsfall die Überspitzung "Debian gehört der NSA" der zweifelhaften Aussage "Debian ist sicher" vorzuziehen.

[BongoFury]

Wenn ich die Snowden Unterlagen richtig verstanden habe ist die meiste Hardware (Chipsets, Router, BIOS, UEFI, Überseekabel usw.) ohnehin kompromittiert, welches OS nun auf einem Rechner drauf ist spielt also kaum eine Rolle. Wer überwacht werden soll wird überwacht. Gerichte in den USA und auch hier stehen diesen meist unrechtmäßigen Einschränkungen der bürgerlichen Rechte durch Ermittlungsbehörden und Geheimdienste freundlich gegenüber, behördliche Anfragen werden in der Regel ungeprüft durch gewunken.

Terroristen und Kriminelle jedoch verfügen i.d.R. über Kenntnisse und Möglichkeiten staatlicher Überwachung zu entgehen, und die Polizeien und Geheimdienste wissen genau das am besten. Letztlich geht es also der NSA, GCHQ, BND und Co. um die lückenlose Überwachung der Bevölkerung um den wenigen Privilegierten der Welt einen immer mehr ausufernden Raubkapitalismus zu ermöglichen. Punkt. Alles andere ist Augenwischerei.

Eine Sache noch: Die NSA beschäftigt hunderttausende private Mitarbeiter "wie Snowden". Ich habe 800.000 im Kopf, finde jetzt auf die Schnelle keinen Beleg dazu. Der Snowden ist durch seinen Gewissensentschluß Geheimnisse der US Administration zu veröffentlichen schwer in brass gekommen.

Die Frage ist also: Was meint ihr wie viele dieser privaten Mitarbeiter unter der Hand relevante Informationen über Unternehmen an deren Mitbewerber verkaufen? Was meint ihr, ob General Elektric bei den Verhandlungen über die geplante Alstom Übernahme Informationen aus dem Fundus der NSA gegen Siemens verwandt hat?

ROTFL, sorry, die letzten Fragen waren jetzt rein rhetorischer Natur....

[jkoerner]

Terroristen und Kriminelle jedoch verfügen i.d.R. über Kenntnisse und Möglichkeit'en staatlicher Überwachung zu entgehen

Das nennt sich dann persönlicher Kontakt oder Papier & Bleistift. Ich norde meine Kundschaft und auch meine Bekannten gerade darauf ein von dieser "aus der Mode" gekommenen Vorgängen Gebrauch zu machen:
Keine verfänglichen Äußerungen am Telefon und Besprechungen nur noch persönlich. Die Alternative ist, daß sie mich sonst gernhaben können...

Achja, Mobphone habe ich gerade abgeschafft. Effekt: Keiner kann mich in der Freizeit nerven. Resumeé: Erholung pur. Danke, NSA!

[DeletedUserReAsG]

Papier und Bleistift wären bei mir für die Terminkoordination eher keine Option – da macht sich ein Telephon schon ganz gut. Aber:

Achja, Mobphone habe ich gerade abgeschafft. Effekt: Keiner kann mich in der Freizeit nerven. Resumeé: Erholung pur. Danke, NSA!

Dass man das Dingens in der Freizeit auch einfach ausschalten könnte, statt es ganz abzuschaffen, ist bekannt? Die Ausschaltfunktion habe ich schon anno 1999 genutzt, ohne dabei an Geheimdienste zu denken

[Feuerstein]

Wenn ich die Snowden Unterlagen richtig verstanden habe ist die meiste Hardware (Chipsets, Router, BIOS, UEFI, Überseekabel usw.) ohnehin kompromittiert, welches OS nun auf einem Rechner drauf ist spielt also kaum eine Rolle. Wer überwacht werden soll wird überwacht. Gerichte in den USA und auch hier stehen diesen meist unrechtmäßigen Einschränkungen der bürgerlichen Rechte durch Ermittlungsbehörden und Geheimdienste freundlich gegenüber, behördliche Anfragen werden in der Regel ungeprüft durch gewunken.

Terroristen und Kriminelle jedoch verfügen i.d.R. über Kenntnisse und Möglichkeiten staatlicher Überwachung zu entgehen, und die Polizeien und Geheimdienste wissen genau das am besten. Letztlich geht es also der NSA, GCHQ, BND und Co. um die lückenlose Überwachung der Bevölkerung um den wenigen Privilegierten der Welt einen immer mehr ausufernden Raubkapitalismus zu ermöglichen. Punkt. Alles andere ist Augenwischerei.

+1 sehr schön erklärt

[The Hit-Man]

also ich habe mir nur mal den rest von dem thread durchgelesen. an einem überseekabel zu manipulieren, ist natürlich möglich und auch den netzverkehr mitzuschneiden, halte ich für machbar.
allerdings hintertüren unter linux einzubauen, halte ich für sehr sehr schwer so lange man auf open-source setzt. denn der quellcode ist ja für jeden einsichtbar. das würde sofort auffallen wenn dort per absicht hintertüren eingebaut worden sind.
fehler im source, kann man natürlich nicht ausschließen. unter windows, weiß man leider nie genau, was der rechner da eigentlich tut. ich erinner mich noch an den windows-media-player, der irgendwelche sachen an M$ schickte ( habs aber auch nur gelesen ). alles was so weit closed-source ist, traue ich nicht.
ja, auch bei routern kann man pech haben. nen kollege hat sich extra nen rasberry als router zusammen gebastelt, weil er den firmen selbst nicht mehr traut.
in irgendeiner reportage hatte ich sogar gehört, das ab windows NT4 schon schlüssel in der registry waren, die irgendwas mit der NSA zu tun hatten.
egal, welches linux. ich finde es auf jeden fall sicherer als windows oder andere komerziellen klamotten. wie gesagt, im open-source bereich hat man immer die möglichkeit selbst in den source zu schauen. man sieht doch, wie schnell ein fehler im source gefunden wird, und dann ein patch unter linux raus kommt. bei M$ sieht das immer bischen anders aus. die sind erst mal ruhig und hoffen bis zum nächsten win-update, das keiner die sicherheitslücke entdeckt hat.

[thoerb]

also ich habe mir nur mal den rest von dem thread durchgelesen. an einem überseekabel zu manipulieren, ist natürlich möglich und auch den netzverkehr mitzuschneiden, halte ich für machbar.
allerdings hintertüren unter linux einzubauen, halte ich für sehr sehr schwer so lange man auf open-source setzt. denn der quellcode ist ja für jeden einsichtbar. das würde sofort auffallen wenn dort per absicht hintertüren eingebaut worden sind.

Nicht sofort, aber vielleicht nach mehreren Jahren. Der Heartbleed-Bug wurde auch erst nach über zwei Jahren entdeckt. http://de.wikipedia.org/wiki/Heartbleed

[The Hit-Man]

@thoerb
das ist nen programmfehler aber keine hintertür. nobody is perfect ... eine hintertür ist ja etwas in ein programm das mit vorsatz einzubauen ...
des weiteren glaube ich kaum, das viele diesen fehler ausgenutzt haben denn es würde viel zu schnell publik werden. es werden auch schwachstellen von M$ publik, doch M$ hält sich so lange zurück, bis es ein update gibt.

[thoerb]

@thoerb
das ist nen programmfehler aber keine hintertür. nobody is perfect ... eine hintertür ist ja etwas in ein programm das mit vorsatz einzubauen ...
des weiteren glaube ich kaum, das viele diesen fehler ausgenutzt haben denn es würde viel zu schnell publik werden. es werden auch schwachstellen von M$ publik, doch M$ hält sich so lange zurück, bis es ein update gibt.

Ich habe zu wenig Ahnung vom Programmieren um da wirklich mitreden zu können. Aber ich kann mir schon gut vorstellen, dass man Code so schreiben kann, dass das nur wenige wirklich durchblicken können. Und bis dass dann irgend einem auffällt kann dann schon mal eine Zeit vergehen. Ich selbst kenne es aus meinem Beruf, da werden Dinge von drei Leuten geprüft und die wirklich offensichtlichen Fehler werden von allen übersehen. Und wenn dann die Anfrage vom Kunden kommt, fragt man sich wie konnte das sein, dass das keinem aufgefallen ist.

[The Hit-Man]

ich kann programmieren und ich weiß wie undurchsichtig mancher source ist. ich habe in der schule gelernt alles immer schön zu kommentieren aber tja, mache ich nie. jemand der dann meinen source lesen muß braucht dann auch ne menge zeit.
trotzdem ist es so, das du nicht einfach irgendetwas in eine software mogeln kannst. sieh mal, linus selbst gibt immer den kernel frei und schaut selbst immer düber. klar, kann auch er mal was übersehen. aber an open-source projekten schauen viele drüber. einfach so ... nur um den source zu verstehen oder aber auch um einen fork davon zu machen.

fakt ist eben... unter open-source kann jeder rein blicken. bei closed-source leider nur die, die ihn programmiert haben. und eben da können schwachstellen sein, wie eben hintertüren. und ich persönlich hätte auch keine lust per blackboxing nachzuschauen, was ein closed-source programm überhaupt tut. aus dem grund versuche ich eben nur open-source zu nutzen auch wenn ich mich outen muß und ich eben den nvidia-treiber nutze und nicht den nouveau ...

[thoerb]

trotzdem ist es so, das du nicht einfach irgendetwas in eine software mogeln kannst. sieh mal, linus selbst gibt immer den kernel frei und schaut selbst immer düber. klar, kann auch er mal was übersehen. aber an open-source projekten schauen viele drüber. einfach so ... nur um den source zu verstehen oder aber auch um einen fork davon zu machen.

Ich hoffe, du hast Recht!

[The Hit-Man]

ist so ich selbst schaue ja hin und wieder über irgendwelche sachen ...

[owl102]

in irgendeiner reportage hatte ich sogar gehört, das ab windows NT4 schon schlüssel in der registry waren, die irgendwas mit der NSA zu tun hatten.

Du meinst sicherlich http://www.heise.de/tp/artikel/5/5274/1.html

das ist nen programmfehler aber keine hintertür. nobody is perfect ...

Das ist kein normaler Programmierfehler. "Input Validation", also die penible Überprüfung der Eingabeparameter, ist in jedem Buch bzw. Tutorial das Thema #1, wenn es um sicherheitsrelevante Entwicklung geht. (Beispiel: http://www.youtube.com/watch?v=1bq0MJ5lV5c )

eine hintertür ist ja etwas in ein programm das mit vorsatz einzubauen ...

Ich persönlich halte das für eine Hintertür. Das Problem #1 bei sicherheitskritischer Entwicklung mißachtet, und das in einer Funktion, die überhaupt nicht benötigt wird, für die überhaupt gar kein Bedarf vorhanden ist. Payload bei Heartbeat ist komplett zweckfrei und wurde nie sinnvoll verwendet, außer eben als Hintertür.

Daß das ganze für 2 Jahre unentdeckt geblieben ist, und das, obwohl es eine solch zentrale, sicherheitskritische Komponente ist, zeigt, wie erschreckend wenig die Kontrolle von Open-Source-Quelltexten in der Praxis funktioniert.

[spiralnebelverdreher]

Daß das ganze für 2 Jahre unentdeckt geblieben ist, und das, obwohl es eine solch zentrale, sicherheitskritische Komponente ist, zeigt, wie erschreckend wenig die Kontrolle von Open-Source-Quelltexten in der Praxis funktioniert.

Ja, das ist wirklich erschreckend. Wir alle nutzen OS Software und freuen uns über neue Oberflächen, Dateisysteme und Gerätetreiber und wechseln deswegen manchmal sogar die Distri weil dort manche Dinge schicker gelöst sind.
Wenn es aber ans Inspizieren und Aufräumen im unübersichtlichen Maschinenraum geht, dann sind es nur noch ganz wenige die das tun (und die es auch können!). Code-Inspektionen sind alles andere als sexy und ruhmbringend. Vielleicht ist in diesem Fall ein guter finanzieller Anreiz (über eine Stiftung) ein Weg, der solche Fehler viel schneller entdeckt.

[amaranth]

Daß das ganze für 2 Jahre unentdeckt geblieben ist, und das, obwohl es eine solch zentrale, sicherheitskritische Komponente ist, zeigt, wie erschreckend wenig die Kontrolle von Open-Source-Quelltexten in der Praxis funktioniert.

Ja, das ist wirklich erschreckend. Wir alle nutzen OS Software und freuen uns über neue Oberflächen, Dateisysteme und Gerätetreiber und wechseln deswegen manchmal sogar die Distri weil dort manche Dinge schicker gelöst sind.
Wenn es aber ans Inspizieren und Aufräumen im unübersichtlichen Maschinenraum geht, dann sind es nur noch ganz wenige die das tun (und die es auch können!). Code-Inspektionen sind alles andere als sexy und ruhmbringend. Vielleicht ist in diesem Fall ein guter finanzieller Anreiz (über eine Stiftung) ein Weg, der solche Fehler viel schneller entdeckt.

Man muss nicht immer alles mit einer Stiftung fördern. Einen finanziellen Anreiz ist hier eigentlich nicht von Nöten. Die Privatsphäre ist ein sehr wertvolles Gut, welches Anreiz genug sein sollte.

[Patsche]

Man muss nicht immer alles mit einer Stiftung fördern. Einen finanziellen Anreiz ist hier eigentlich nicht von Nöten. Die Privatsphäre ist ein sehr wertvolles Gut, welches Anreiz genug sein sollte.

Stimmt, sehen nur leider zu wenige so.

[debianix]

Kurze Info - Update des Artikels "http://igurublog.wordpress.com/2014/04/ ... y-the-nsa/" :

UPDATE: Wikileaks is officially denying that Julian Assange literally said “Debian Is Owned By The NSA”. For people who are choking on the mere summary title of this article, please see definition of Owned/Pwn (and get some hip!)

https://twitter.com/wikileaks/status/454246967124963328

[Ibex]

@thoerb
das ist nen programmfehler aber keine hintertür. nobody is perfect ... eine hintertür ist ja etwas in ein programm das mit vorsatz einzubauen ...

Und wie genau unterscheidet man jetzt einen vorsätzlich als Hintertür eingeschleusten Programcode von einem Programmfehler? Seht da im Kommenatar des Quelltext backdoor? Eine Backdoor in Opensource Code, die längere zeit unentdeckt bleiben soll, muß zwangsläufig wie ein simpler Programmierfehler aussehen. Schon allein, weil in der Regel nachvollziebar ist, wer für den Code verantwortlich ist.

@thoerb
des weiteren glaube ich kaum, das viele diesen Fehler ausgenutzt haben, denn es würde viel zu schnell publik werden.

Wodurch soll es den Publik werden? Wer immer den Fehler ausnutzt, wird das ja kaum in alle Welt ausposaunen. Und es müssen ja auch nicht viele sein, die in den zwei Jahren von der Lücke wüßten, die NSA und vieleicht noch ein zwei weitere Cyberkriminelle würden völlig ausreichen um ordentlich Schaden anzurichten.

[The Hit-Man]

Wodurch soll es den Publik werden? Wer immer den Fehler ausnutzt, wird das ja kaum in alle Welt ausposaunen. Und es müssen ja auch nicht viele sein, die in den zwei Jahren von der Lücke wüßten, die NSA und vieleicht noch ein zwei weitere Cyberkriminelle würden völlig ausreichen um ordentlich Schaden anzurichten.

also wenn ein maintainer den fehler nicht entdeckt dann entdeckt das auch so schnell kein anderer. trotzdem ist mir opensource eben lieber als closedsource. weil eben dort JEDER rein schauen kann ...

ich gebe ja zu, kann ja sein das der typ bestochen worden ist, der die hintertür eingebaut haben soll ... gibts überall.

[spiralnebelverdreher]

Daß das ganze für 2 Jahre unentdeckt geblieben ist, und das, obwohl es eine solch zentrale, sicherheitskritische Komponente ist, zeigt, wie erschreckend wenig die Kontrolle von Open-Source-Quelltexten in der Praxis funktioniert.

Ja, das ist wirklich erschreckend. Wir alle nutzen OS Software und freuen uns über neue Oberflächen, Dateisysteme und Gerätetreiber und wechseln deswegen manchmal sogar die Distri weil dort manche Dinge schicker gelöst sind.
Wenn es aber ans Inspizieren und Aufräumen im unübersichtlichen Maschinenraum geht, dann sind es nur noch ganz wenige die das tun (und die es auch können!). Code-Inspektionen sind alles andere als sexy und ruhmbringend. Vielleicht ist in diesem Fall ein guter finanzieller Anreiz (über eine Stiftung) ein Weg, der solche Fehler viel schneller entdeckt.

Man muss nicht immer alles mit einer Stiftung fördern. Einen finanziellen Anreiz ist hier eigentlich nicht von Nöten. Die Privatsphäre ist ein sehr wertvolles Gut, welches Anreiz genug sein sollte.

Die Praxis zeigt zum Glück, dass das OpenSource Prinzip funktionieren kann. Der Fehler wurde entdeckt, publiziert und Korrekturen eingebracht. Die Praxis zeigt aber leider auch, dass selbst eine recht offensichtliche Schwachstelle (der Heartbleed-Bug war ohne Kryptografiekenntnisse aufdeckbar) jahrelang bestehen kann bevor sie entdeckt wird.

[The Hit-Man]

Die Praxis zeigt aber leider auch, dass selbst eine recht offensichtliche Schwachstelle (der Heartbleed-Bug war ohne Kryptografiekenntnisse aufdeckbar) jahrelang bestehen kann bevor sie entdeckt wird

hat jemand schaden von genommen? und jetzt sag nicht 'weiß ich nicht'
nehmen wir an, nen cracker hätte das loch gefunden ... gibt es mit sicherheit weiter, und sei es auch nur mit einem wortlaut ... das kommt raus und das loch wird sofort gestopft !!!

[rendegast]

hat jemand schaden von genommen? und jetzt sag nicht 'weiß ich nicht'

Liegt in der Natur der Sache, daß das nicht gesagt werden kann.
Der Angriff verläuft rückstandslos.
Bei erfolgreichem Auslesen von Paßwörtern / Schlüsseln gibt es keine massenhaften fehlerhaften Login-Versuche, mitm verursacht keine Schlüssel-Fehlermeldung.

-> Zugriff auf zBsp. die mailbox oder den fileserver mit den Plänen des neuen Produktes.
-> Angebote werden abgelehnt, Konkurrenten kommen mit sehr ähnlicher Technik, aber billiger, zum Zuge.
Ohne weitere whistleblower bei der Konkurrenz oder dem "Vermittler" ist nichts beweisbar.

nehmen wir an, nen cracker hätte das loch gefunden ... gibt es mit sicherheit weiter, und sei es auch nur mit einem wortlaut ...

Nur Skript-kiddies plappern, professionelle cracker dürften verschwiegener sein.
Gab ja auch nur einen Snowden unter hunderttausenden Mitarbeitern.
Akademische Frage: Was würde eigentlich dem Programmierer blühen, wenn er sagte, das war eine Auftragsarbeit unbestimmter Quelle. Auf ewig in einem deutschen! Knast wegen Datenmanipulation?

[The Hit-Man]

Gab ja auch nur einen Snowden unter hunderttausenden Mitarbeitern.

sicher das nur einer geredet hat? wer weiß das schon?

Akademische Frage: Was würde eigentlich dem Programmierer blühen, wenn er sagte, das war eine Auftragsarbeit unbestimmter Quelle. Auf ewig in einem deutschen! Knast wegen Datenmanipulation?

würde mich auch mal interessieren... las uns linus fragen oder alan welche strafe einem da droht ...