Jump to content
Sign in to follow this  
Wordo

FBI programmiert Backdoor in OpenBSD IPSec

Recommended Posts

tjo..und was soll ich mit meinen appliances machen ? Selbst wenn ich programmieren könnte, ich kann ja die software die da drauf rennt nicht debuggen und schon garnicht etwas ändern das mir nciht schmeckt

Share this post


Link to post

Meine Güte. Die über'n großen Teich sind doch die reinsten Verbrecher :( Das ist für Cisco ja 'ne echte Horror-Nachricht und kann noch richtig weh tun.

 

Aber wenigstens bekommen die von Wikileaks was sie brauchen :)

 

Also, schöne Grüße FBI, CIA oder NSA. Meinen richtigen Namen und meine Privatadresse habt Ihr ja ;)

Share this post


Link to post

Aua, das kann ja noch interessant werden.

Ich wollte gerade hier noch reinschreiben, dass es auch ne Meldung bei Heise gibt, ich hätte auch den link zum Artikel hier reingesetzt, wenn nciht gerade heise down wäre.

(haben die was gegen Wikileaks geschrieben?)

Michael

 

Edit (11:29): aah Heise ist wieder online

http://www.heise.de/newsticker/meldung/FBI-Backdoor-in-IPSec-Implementierung-von-OpenBSD-1153180.html

Share this post


Link to post

Das hier ist auch nett: An FBI backdoor in OpenBSD?

 

In reality, the Clinton administration was very quietly working behind the scenes to embed backdoors in many areas of technology as a counter to their supposed relaxation of the Department of Commerce encryption export regulations – and this was all pre-911 stuff as well, where the walls between the FBI and DoD were very well established, at least in theory.

Share this post


Link to post

War nicht ein dickes Argument für Open Source dass da hunderte von unabhängigen Programmierern den Code ansehen und deswegen Lücken schneller und sicherer entsdeckt und beseitigt werden?

 

Ich würde mal sagen dass diese Sache der Beweis dafür ist dass dieses Argument für open Source falsch ist...

Share this post


Link to post

Richtig.

Sollte sich herausstellen, dass die Story wahr ist (was ich befürchte), ist dieses Argument deutlich im A...

Ich würde mir ja wünschen, dass sich Cisco mal zum Thema äußert.

Ich hoffe ja noch, dass die Hintertür durch die vielen Überarbeitungen an Software in den 10 Jahren schon wieder zugeschlagen ist.

Michael

Share this post


Link to post
War nicht ein dickes Argument für Open Source dass da hunderte von unabhängigen Programmierern den Code ansehen und deswegen Lücken schneller und sicherer entsdeckt und beseitigt werden?

 

Ich würde mal sagen dass diese Sache der Beweis dafür ist dass dieses Argument für open Source falsch ist...

Na, ja. Würde ich so jetzt nicht sagen. Ich denke mal, dass es auch darauf ankommt, wie viele Entwickler an einem Projekt mitwirken. Ich behaupte mal, dass so was bei Canonical nicht vorkommt.

 

Aber mal was anderes: Wie sicher kann man denn sein, das Microsoft-Entwickler nicht auch auf der Gehaltsliste der US-Regierung stehen? Man kann ja sagen, dass bei OpenBSD nicht ordentlich kontrolliert wurde (wobei es schon Möglichkeiten gibt, eine Backdoor im Code zu verstecken, damit es nicht so leicht entdeckt wird). Aber wenn so was bei Closed Source passiert, wie soll man das je kontrollieren? :suspect:

 

(Die Hintertür im RRAS ist ja bis heute auch noch nicht entdeckt worden, he, he, he ;) :D :schreck: )

Share this post


Link to post

naja, das ist kein Widerspruch.

Lücken werden (immer noch: wenn s wahr ist) bei Open Source nicht unbedingt erkannt.

Bei Closed Source werden evtl. heimlich eingebaut und keiner kann suchen. Diese Lücken werden nur ganz zufällig entdeckt.

Man muss nur mal die Wahrscheinlichkeiten unterscheiden.

 

Aber trotzdem das Argument "werden immer und schnell erkannt" wäre tot.

Michael

Share this post


Link to post

Ich hoffe ja noch, dass die Hintertür durch die vielen Überarbeitungen an Software in den 10 Jahren schon wieder zugeschlagen ist.

Michael

 

Gerade bei Security ist hoffen der falsche Ansatz...

Share this post


Link to post

Da hast Du völlig Recht, das ist mir auch klar.

Aber mir bleibt nichts anderes übrig als zu versuchen herauszufinden, ob meine Produkte betroffen sind. (Open Source Code kann jeder mitlesen stimmt zumindest was mich angeht nicht. Ich guck da rein wie eine Sau ins Getriebe)

Wenn meine Produkte betroffen sind, hab ich die tolle Aufgabe mir zu überlegen, was zu tun ist:

- Versuchen herauszufinden, ob es ein Risiko gibt und wie hoch das ist (und hier spielt der Satz, dem Du widersprichst zumindest eine kleine Rolle)

- GF ansprechen "hey, die gerade neu angeschaffte Cisco war doch nciht so eine tolle Idee, wir brauchen jetzt was-auch-immer"

- Herausfinden was was-auch-immer ist

 

etc pp

Sicherheit ist eben kein Projekt sondern ein Prozess. ham wir schon immer gewusst.

:-)

Share this post


Link to post

hihi

Die Hoffnung stirbt zuletzt.

Nö, am Ende muss ich immer hoffen, das meine Entscheidung, die ich natürlich ordentlich abgewägt habe, richtig war.

Aber das Misstrauen gegenüber jeglichen Herstellern ist ganz gesund.

Das (blinde) Vertrauen in OpenSource ist zumindest bei mir (vorerst) erschüttert.

Michael

PS: hi scn: willkommen an Board

höhö

"Schriftliche Garantien des Programmierers?" ist n prima Scherz. Dann muss ich ja schon wieder hoffen, dass die nicht schummeln bei den Garantien.

Share this post


Link to post

Das (blinde) Vertrauen in OpenSource ist zuminsest bei mir (vorerst) erschüttert.

Michael

"No amount of source-level verification or scrutiny will protect you from using untrusted code." von ACM Classic: Reflections on Trusting Trust erschienen Magazine

Communications of the ACM CACM Homepage archive

Volume 27 Issue 8, Aug 1984 kanntest du noch nicht?

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...