Open Source im professionellen Einsatz

Vorwurf: FBI soll für Backdoors in OpenBSD bezahlt haben [Update]

15.12.2010

OpenBSD-Gründer Theo de Raadt hat in seinem privaten Mailaccount eine unangenehme Nachricht vorgefunden. In der heißt es, die US-Bundespolizei FBI habe vor rund 10 Jahren dafür gesorgt, dass Entwickler Backdoors im Security-Stack von OpenBSD versteckt haben.

340

Theo de Raadt ist mit einer Nachricht an die OpenBSD-Mailingliste in die Offensive gegangen und hat auch besagte E-Mail angehängt. Der Verfasser der Mail Gregory Perry, derzeit CEO der Firma Govirtual Education, schreibt an de Raadt, dass er vor etwa zehn Jahren auch als Consultant für das FBI gearbeitet habe. Damals war er noch bei der Firma Netsec beschäftigt. Dort sei er beim GSA Technical Support Center gewesen, das sich mit Reversengineering und der Implementation von Backdoors in Versachlüsselungshardware beschäftigt habe. Als Grund für sein jetzt an de Raadt gerichtetees Schreiben nennt Perry den Umstand, dass sein Stillhalteabkommen mit dem FBI nun ausgelaufen sei.

Laut dem von de Raadt veröffentlichten Schreiben von Perry soll das FBI über bezahlte Entwickler eine Reihe von Backdoors und Keyleaking-Mechanismen in das OpenBSD Crypto Framework eingeschleust haben. Das sei mit dem Ziel geschehen, das VPN-Verschlüsselungssystem auszuhebeln.

Theo de Raadt schreibt in seiner Nachricht an die OpenBSD-Mailingliste, dass er mit Perry seit rund zehn Jahren keinen Kontakt mehr gehabt habe. Er lehne es ab, so de Raadt weiter, Teil einer Verschwörungstheorie zu werden.

Der fragliche IPSEC-Stack sei in den vergangenen zehn Jahren vielfach geändert und gefixt worden: Es sei deshalb unklar, wie der Wahrheitsgehalt dieser Vorwürfe zu prüfen sei. Er werde aber nicht mit Perry in Kontakt treten, so de Raadt. Stattdessen mache er die Anschuldigungen öffentlich, damit diejenigen, die den Code einsetzen, ihn bei Bedarf zu prüfen können.

Update:

Das Unternehmen Genua, das Firewall- und VPN-Appliances auf BSD-Basis herstellt, hat eine Stellungnahme zu den Gerüchten über eine Backdoor abgeben. Demnach haben die Genua-Entwickler sich bereits mit den Behauptungen beschäftigt. Zu ihren bisherigen Erkenntnissen zählt unter anderem, dass der in Perrys Mail erwähnte Entwickler Jason Wright hauptsächlich an Hardware-Unterstützung für Krypto-Beschleunigerkarten mit Hifn-Chipsatz gearbeitet habe. Solche Karten seien beispielsweise in Genua-Produkten nicht enthalten. Zudem hätten die Testsuiten des Unternehmens keine Hinweise auf versteckte Schwachstellen gegeben. Die vollständige Stellungnahme findet sich auf der Genua-Website.

Ähnliche Artikel

  • OpenBSD 6.0 ist fertig

    Theo de Raadt hat OpenBSD 6.0 angekündigt. Das inzwischen 40. Release als CD-Version nimmt de Raadt zum Anlass, die Stabilität der vergangenen zwanzig Jahre hervorzuheben. Es habe in der Zeit nur zwei Remote-Lücken in der Default-Installation gegeben.

  • OpenBSD 5.8 zum zwanzigsten Jubiläum

    Theo de Raadt hat am 18. Oktober pünktlich zum 20jährigen Jubiläum von OpenBSD die Version 5.8 veröffentlicht.

  • Kritik an Kroah-Hartmans Treiber-Angebot

    Mitglieder des OpenBSD-Projekts haben das Angebot des Linux-Kernel-Entwicklers Greg Kroah-Hartman an Hardware-Hersteller kritisiert, Linux-Treiber kostenlos zu entwickeln.

  • OpenBSD 5.0: Bessere Hardware-Unterstützung

    Mit der Release 5.0 von OpenBSD gehen verbesserter Hardware-Support und Neuerungen im Netzwerkstack einher.

  • Gute Crypto, schlechte Crypto in "srand()"

    Theo de Raadt beschwert sich auf der Open-BSD-Mailingliste, dass die standardisierten Funktionen "srand()", "srandom()" und "srand48()", welche die Grundlage für "rand()" und Co. bieten, keine echten Zufallszahlen als Seeds erzeugen.

comments powered by Disqus

Ausgabe 01/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.