Open Source im professionellen Einsatz

Vorwurf: FBI soll für Backdoors in OpenBSD bezahlt haben [Update]

15.12.2010

OpenBSD-Gründer Theo de Raadt hat in seinem privaten Mailaccount eine unangenehme Nachricht vorgefunden. In der heißt es, die US-Bundespolizei FBI habe vor rund 10 Jahren dafür gesorgt, dass Entwickler Backdoors im Security-Stack von OpenBSD versteckt haben.

340

Theo de Raadt ist mit einer Nachricht an die OpenBSD-Mailingliste in die Offensive gegangen und hat auch besagte E-Mail angehängt. Der Verfasser der Mail Gregory Perry, derzeit CEO der Firma Govirtual Education, schreibt an de Raadt, dass er vor etwa zehn Jahren auch als Consultant für das FBI gearbeitet habe. Damals war er noch bei der Firma Netsec beschäftigt. Dort sei er beim GSA Technical Support Center gewesen, das sich mit Reversengineering und der Implementation von Backdoors in Versachlüsselungshardware beschäftigt habe. Als Grund für sein jetzt an de Raadt gerichtetees Schreiben nennt Perry den Umstand, dass sein Stillhalteabkommen mit dem FBI nun ausgelaufen sei.

Laut dem von de Raadt veröffentlichten Schreiben von Perry soll das FBI über bezahlte Entwickler eine Reihe von Backdoors und Keyleaking-Mechanismen in das OpenBSD Crypto Framework eingeschleust haben. Das sei mit dem Ziel geschehen, das VPN-Verschlüsselungssystem auszuhebeln.

Theo de Raadt schreibt in seiner Nachricht an die OpenBSD-Mailingliste, dass er mit Perry seit rund zehn Jahren keinen Kontakt mehr gehabt habe. Er lehne es ab, so de Raadt weiter, Teil einer Verschwörungstheorie zu werden.

Der fragliche IPSEC-Stack sei in den vergangenen zehn Jahren vielfach geändert und gefixt worden: Es sei deshalb unklar, wie der Wahrheitsgehalt dieser Vorwürfe zu prüfen sei. Er werde aber nicht mit Perry in Kontakt treten, so de Raadt. Stattdessen mache er die Anschuldigungen öffentlich, damit diejenigen, die den Code einsetzen, ihn bei Bedarf zu prüfen können.

Update:

Das Unternehmen Genua, das Firewall- und VPN-Appliances auf BSD-Basis herstellt, hat eine Stellungnahme zu den Gerüchten über eine Backdoor abgeben. Demnach haben die Genua-Entwickler sich bereits mit den Behauptungen beschäftigt. Zu ihren bisherigen Erkenntnissen zählt unter anderem, dass der in Perrys Mail erwähnte Entwickler Jason Wright hauptsächlich an Hardware-Unterstützung für Krypto-Beschleunigerkarten mit Hifn-Chipsatz gearbeitet habe. Solche Karten seien beispielsweise in Genua-Produkten nicht enthalten. Zudem hätten die Testsuiten des Unternehmens keine Hinweise auf versteckte Schwachstellen gegeben. Die vollständige Stellungnahme findet sich auf der Genua-Website.

Ähnliche Artikel

comments powered by Disqus

Ausgabe 09/2014

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.

Insecurity Bulletin

Insecurity Bulletin

Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...

Linux-Magazin auf Facebook