Vorläufige Entwarnung: Keine Hintertür in OpenBSDs IPsec

Kein Kommentar Autor: Jürgen (jdo)

OpenBSD Logo 150x150Gregory Perry, früher CTO bei NetSec, hat behauptet, dass das FBI in Auftrag gegeben hätte, eine Backdoor in den IPSec Stack einzuschmuggeln, BITblokes.de berichtete. Daraufhin starteten die OpenBSD-Entwickler ein Untersuchung des Codes. Bisher hat sich diese Behauptung nicht bestätigt und es befindet sich keine Hintertür in IPSec mit der sich vschlüsselte VPN-Verbindungen abhören lassen.

Theo de Raadt ist zwar der Überzeugung, das FBI habe NetSec für so eine Aufgabe einen Auftrag erteilt und der Code sollte als “Spende” einfließen. Allerdings glaubt er nicht, dass der Code jemals in OpenBSD eingeflossen ist. Ebenso nimmt de Raadt die beschuldigten Entwickler Jason Wright und Angelos Keromytis aus der Schusslinie. Sie hätten zwar zu dieser Zeit für NetSec gearbeitet, aber es sei ungewiss, ob sich die beiden bewusst waren, dass NetSec für das FBI tätig war.

Die Revision des Codes soll auch klären, welche Entwickler für welche Code-Teile zuständig waren. Laut de Raadt hat Wright hauptsächlich Treiber programmiert und hat gar nichts mit dem OpenBSD Crypto Framework (OCF) zu tun gehabt. Allerdings habe er auch am IPSec Stack mitgeschrieben. In einer E-Mail weist Jason Wright alle Beschuldigungen von sich und er hätte niemals eine Hintertür in den OpenBSD Code gepflanzt. Dennoch kritisiert de Raadt, dass Wright nicht aussagt, was er genau bei NetSec gemacht hat.

Somit verschiebt sich das Augenmerk auf Angelos Keromytis. Laut de Raadt war er der Architekt und Hauptentwickler des IPSec Stacks. Alledings stieß er erst später zu NetSec. Somit können OpenBSD-Anwender zunächst durchschnaufen. Allerdings ist noch lange nicht alles geklärt. Ob man geschickt versteckte Hintertüren in wenigen Tagen Code-Revision herausfinden kann ist fraglich. Ebenso dürfte sich ein gewisses Schreckgespenst entwickelt haben, in wie vielen anderen Open-Source-Projekten Regierungen  Code-Einspeisungen versucht haben.




 Alle Kommentare als Feed abonnieren

Kommentare sind geschlossen.