FBI programmiert Backdoor in OpenBSD IPSec

[Wordo 11]

Wenn das stimmt hoff ich mal das MS nicht von OpenBSD geklaut hat. :)

 

OpenBSD IPSEC Backdoored ≈ Packet Storm

[Otaku19 33]

tjo..und was soll ich mit meinen appliances machen ? Selbst wenn ich programmieren könnte, ich kann ja die software die da drauf rennt nicht debuggen und schon garnicht etwas ändern das mir nciht schmeckt

[Wordo 11]

Funkwerk statt Cisco! :D

[iDiddi 27]

Meine Güte. Die über'n großen Teich sind doch die reinsten Verbrecher :( Das ist für Cisco ja 'ne echte Horror-Nachricht und kann noch richtig weh tun.

 

Aber wenigstens bekommen die von Wikileaks was sie brauchen :)

 

Also, schöne Grüße FBI, CIA oder NSA. Meinen richtigen Namen und meine Privatadresse habt Ihr ja ;)

[micha42 29]

Aua, das kann ja noch interessant werden.

Ich wollte gerade hier noch reinschreiben, dass es auch ne Meldung bei Heise gibt, ich hätte auch den link zum Artikel hier reingesetzt, wenn nciht gerade heise down wäre.

(haben die was gegen Wikileaks geschrieben?)

Michael

 

Edit (11:29): aah Heise ist wieder online

http://www.heise.de/newsticker/meldung/FBI-Backdoor-in-IPSec-Implementierung-von-OpenBSD-1153180.html

[Wordo 11]

Das hier ist auch nett: An FBI backdoor in OpenBSD?

 

In reality, the Clinton administration was very quietly working behind the scenes to embed backdoors in many areas of technology as a counter to their supposed relaxation of the Department of Commerce encryption export regulations – and this was all pre-911 stuff as well, where the walls between the FBI and DoD were very well established, at least in theory.

[Dr.Melzer 191]

War nicht ein dickes Argument für Open Source dass da hunderte von unabhängigen Programmierern den Code ansehen und deswegen Lücken schneller und sicherer entsdeckt und beseitigt werden?

 

Ich würde mal sagen dass diese Sache der Beweis dafür ist dass dieses Argument für open Source falsch ist...

[micha42 29]

Richtig.

Sollte sich herausstellen, dass die Story wahr ist (was ich befürchte), ist dieses Argument deutlich im A...

Ich würde mir ja wünschen, dass sich Cisco mal zum Thema äußert.

Ich hoffe ja noch, dass die Hintertür durch die vielen Überarbeitungen an Software in den 10 Jahren schon wieder zugeschlagen ist.

Michael

[iDiddi 27]

War nicht ein dickes Argument für Open Source dass da hunderte von unabhängigen Programmierern den Code ansehen und deswegen Lücken schneller und sicherer entsdeckt und beseitigt werden?

 

Ich würde mal sagen dass diese Sache der Beweis dafür ist dass dieses Argument für open Source falsch ist...

Na, ja. Würde ich so jetzt nicht sagen. Ich denke mal, dass es auch darauf ankommt, wie viele Entwickler an einem Projekt mitwirken. Ich behaupte mal, dass so was bei Canonical nicht vorkommt.

 

Aber mal was anderes: Wie sicher kann man denn sein, das Microsoft-Entwickler nicht auch auf der Gehaltsliste der US-Regierung stehen? Man kann ja sagen, dass bei OpenBSD nicht ordentlich kontrolliert wurde (wobei es schon Möglichkeiten gibt, eine Backdoor im Code zu verstecken, damit es nicht so leicht entdeckt wird). Aber wenn so was bei Closed Source passiert, wie soll man das je kontrollieren? :suspect:

 

(Die Hintertür im RRAS ist ja bis heute auch noch nicht entdeckt worden, he, he, he ;) :D :schreck: )

[micha42 29]

naja, das ist kein Widerspruch.

Lücken werden (immer noch: wenn s wahr ist) bei Open Source nicht unbedingt erkannt.

Bei Closed Source werden evtl. heimlich eingebaut und keiner kann suchen. Diese Lücken werden nur ganz zufällig entdeckt.

Man muss nur mal die Wahrscheinlichkeiten unterscheiden.

 

Aber trotzdem das Argument "werden immer und schnell erkannt" wäre tot.

Michael

[Dr.Melzer 191]

Ich hoffe ja noch, dass die Hintertür durch die vielen Überarbeitungen an Software in den 10 Jahren schon wieder zugeschlagen ist.

Michael

 

Gerade bei Security ist hoffen der falsche Ansatz...

[micha42 29]

Da hast Du völlig Recht, das ist mir auch klar.

Aber mir bleibt nichts anderes übrig als zu versuchen herauszufinden, ob meine Produkte betroffen sind. (Open Source Code kann jeder mitlesen stimmt zumindest was mich angeht nicht. Ich guck da rein wie eine Sau ins Getriebe)

Wenn meine Produkte betroffen sind, hab ich die tolle Aufgabe mir zu überlegen, was zu tun ist:

- Versuchen herauszufinden, ob es ein Risiko gibt und wie hoch das ist (und hier spielt der Satz, dem Du widersprichst zumindest eine kleine Rolle)

- GF ansprechen "hey, die gerade neu angeschaffte Cisco war doch nciht so eine tolle Idee, wir brauchen jetzt was-auch-immer"

- Herausfinden was was-auch-immer ist

 

etc pp

Sicherheit ist eben kein Projekt sondern ein Prozess. ham wir schon immer gewusst.

:-)

[scn 10]

Gerade bei Security ist hoffen der falsche Ansatz...

Sondern? Schriftliche Garantien des Programmierers?

[micha42 29]

hihi

Die Hoffnung stirbt zuletzt.

Nö, am Ende muss ich immer hoffen, das meine Entscheidung, die ich natürlich ordentlich abgewägt habe, richtig war.

Aber das Misstrauen gegenüber jeglichen Herstellern ist ganz gesund.

Das (blinde) Vertrauen in OpenSource ist zumindest bei mir (vorerst) erschüttert.

Michael

PS: hi scn: willkommen an Board

höhö

"Schriftliche Garantien des Programmierers?" ist n prima Scherz. Dann muss ich ja schon wieder hoffen, dass die nicht schummeln bei den Garantien.

[scn 10]

Das (blinde) Vertrauen in OpenSource ist zuminsest bei mir (vorerst) erschüttert.

Michael

"No amount of source-level verification or scrutiny will protect you from using untrusted code." von ACM Classic: Reflections on Trusting Trust erschienen Magazine

Communications of the ACM CACM Homepage archive

Volume 27 Issue 8, Aug 1984 kanntest du noch nicht?