Zahlte das FBI für Backdoors im IPSec-Code?

Gerade eben erreichte mich auf der »Security Announce«-Mailingliste des OpenBSD-Projekts eine E-Mail vom Projektleiter Theo de Raadt, deren Inhalt, sollte er sich als wahr heraus­stellen einiges an Zündstoff enthält und ein Problem beschreibt, dass in meinen Augen jede Aufmerksamkeit verdient, die es bekommen kann. Es geht um Schadcode und Hintertüren, die im Auftrag des Federal Bureau of Investigation (FBI) in den OpenBSD IPSec-Stack einge­schleust wurden. Das ganze geschah laut Theo de Raadt vor gut zehn Jahren.

In den Jahren 2000 und 2001 soll es dazu gekommen sein, dass einige Entwickler und die Firmen, bei denen diese ange­stellt waren, von staat­lichen Stellen der USA für die Implementierung von Hintertüren (Backdoors) und Schwächen im OpenBSD Netzwerk-Code — vor allem in den IPSec-Teilen — bekommen haben. Da das OpenBSD-Projekt damals die erste freie IPSec-Implementierung für IPv4 unter einer BSD-Lizenz zur Verfügung stellte, dürften sich große Teile dieses Codes in sehr vielen anderen Implementierungen und Produkten befinden. Sollte an der Geschichte also etwas dran sein könnten unüber­schaubar viele Router, Firewalls und Software betroffen sein — kommer­ziell oder quell­offen spielt dabei keine Rolle.

In den letzten zehn Jahren wurde der vermeintlich betroffene IPSec-Code oft angepasst und verändert, so dass es jetzt schwierig sein dürfte, die einge­schmug­gelten Schwachstellen — so sie noch exis­tieren — zu finden und zu beheben. Ein sehr zeit­in­ten­sives Review, nicht nur innerhalb des OpenBSD-Projekts, steht den Entwicklern bevor. Laut Theo de Raadt kann man zur Zeit die Tragweite der ganzen Sache noch nicht abschätzen:

Since we had the first IPSEC stack available for free, large parts of the code are now found in many other projects/products. Over 10 years, the IPSEC code has gone through many changes and fixes, so it is unclear what the true impact of these alle­ga­tions are.

Laut Gregory Perry, zur Zeit CEO der Firma GoVirtual Education, der de Raadt in einer E-Mail auf das Problem aufmerksam gemacht hat wurden Backdoors imple­men­tiert und gezielte Schwächungen der Krypto-Infrastruktur zur Ermöglichung von so genannten »side channel key leaking«-Mechanismen vorgenommen.

Beim Lesen der E-Mail kam mir das alles erst wie ein schlechter Scherz vor. Verschwörungstheorien von Hintertüren in Computern und kryp­to­gra­fi­schen Verfahren, weil US-Geheimdienste Angst vor der »Blindheit« im Netz sind, hat man zwar meist als wahr­scheinlich angesehen, aber irgendwie doch immer verdrängt. Jetzt wirklich über Hinweise für die mögliche Existenz einer solchen Sabotage seitens der USA zu stolpern erzeugt ein sehr unan­ge­nehmes Gefühl und lässt viele Horrorszenarien die IT-Sicherheit betreffend hoch­kommen. Sollte sich das alles als wahr heraus­stellen, dann kann man die Möglichkeit, dass auch andere Systeme vom FBI oder anderen Geheimdiensten unter­wandert wurden nicht mehr einfach so igno­rieren. Das FBI wird sicher nicht nur beim OpenBSD-Projekt versucht haben, digitale Zeitbomben zu plat­zieren. Ich für meinen Teil bin gerade im Moment entsetzt.

Dank an Theo de Raadt, der nicht gezögert hat, diese Information direkt einer breiten Öffent­lichkeit zur Verfügung zu stellen, so dass so schnell wie möglich nach poten­ti­ellen Problemen gesucht werden kann. Ich bin gespannt, wie es weitergeht und hoffe noch, dass sich alles nur als »Sturm im Wasserglas« heraus­stellt — auch wenn ein ungutes Gefühl bleibt. Im schlimmsten Fall werden im Code konkrete Hinweise auf Hintertüren gefunden — was dann neben OpenBSD noch viele andere Hersteller betrifft. Um den Quelltext von OpenBSD oder anderen OpenSource-Projekten mache ich mir dabei weniger Sorgen als um die vielen Router, Firewalls usw. die viel­leicht niemals einen Bugfix erhalten.

Ähnliche Artikel

• Top 25 der gefähr­lichsten Programmierfehler 18.02.2010
• Spendenaufruf für OpenBSD 09.09.2009
• Wurm breitet sich in WordPress-Blogs aus 08.09.2009
• OpenSSH wird acht! 26.09.2007