Moin Moin,

aufgrund der fortschreitenden Berichterstattung über die Spionage der NSA, stellt sich mir die Frage ob davon auszugehen ist das selbst Linuxsysteme nicht mehr als sicher anzusehen sind.

Wenn z.B. Firmen wie Microsoft, Yahoo, Google "gebeten" werden Backdoors zu ermöglichen, dann kann doch auch Linus davon überzeugt werden, oder?

Was denkt Ihr?

lg
Grundsätzlich vertraue ich auch Linus nicht. Das ist der sicherste Ausgangspunkt. Aber einen entscheidenden Vorteil gibt es gegenüber Firmen wie du sie aufgeführt hast, nämlich dass es bei Linux völlig normal ist, dass externe Entwickler 1. den Code beisteuern und 2. ihn auch kontrollieren. Für eine Kompromittierung müssten also alle "gebeten" werden, was weit unwahrscheinlicher ist. Selbst wenn, dann gibt es immer die Möglichkeit, dass dies von jedermann entdeckt werden kann.
Ich stimme Dir zu. Denn dieses war/ist ebenfalls mein Gedankengang.

Beim weiteren Überlegen bin ich eine Stufe tiefer gegangen und frage mich inzwischen ob es möglich ist das z.B. UEFI oder Microcode einen Zugriff ermöglichen können?

Evtl. wäre es ja auch denkbar, das z.B. Prozessoren bereits von hause aus virtualisiert sein könnten und dauerhaft ein kleines System zur Ausspähung bereit stellen könnten.

Es bleibt spannend wie sich die Möglichkeiten in Zukunft weiterentwickeln werden.
Das Ding ist: An irgendeinem Punkt MUSST du dein Vertrauen ansetzen. Ansonsten ist Vertrauen überhaupt nicht möglich. Ist in vielen Lebensbereichen so. Ein Kind hat (hoffentlich) ein Urvertrauen den Eltern gegenüber. Wird dieses erschüttert (und bis das passiert, bedarf es einiges!), hat das tiefgreifende psychische Konsequenzen. Wenn der Energieerhaltungssatz mal widerlegt werden sollte, ist die ganze Physik im Eimer. Es wird aber darauf vertraut, dass er stimmt (daher Dunkle Materie, Dunkle Energie etc.).

Ich glaube, dass man so weit gehen kann zu sagen, dass man, wenn man Open Source Software nicht vertraut, tatsächlich keinen Computer, geschweige denn das Internet, benutzen sollte. Klar, wer fähig ist, kann sich (zumindest theoretisch) auch alles selber zusammenhacken, aber ich wüsste niemanden (außer Linus damals, zumindest auf Kernelebene), der sowas je gemacht hätte.

Die hardwarespezifischen Punkte, die du ansprichst, sind natürlich noch eine andere Dimension. Da kann die Software noch so korrekt sein. Ich habe mir diesbezüglich auch vorgenommen, beim nächsten Laptopkauf ganz penibel darauf zu achten, dass die Hardware so offen wie möglich ist. Hat nicht Richard Stallman nen Laptop, der vollständig aus offener Hardware besteht? Wahrscheinlich nicht sonderlich leistungsfähig (Intel- oder AMD-Prozzis werden da nicht verbaut sein) und bestimmt auch ziemlich teuer, aber durchaus bemerkenswert, dass es sowas heutzutage überhaupt gibt.
sekret schrieb Hat nicht Richard Stallman nen Laptop, der vollständig aus offener Hardware besteht? Wahrscheinlich nicht sonderlich leistungsfähig (Intel- oder AMD-Prozzis werden da nicht verbaut sein) und bestimmt auch ziemlich teuer, aber durchaus bemerkenswert, dass es sowas heutzutage überhaupt gibt.
Das ist eher ein Netbook, ein Lemote Yeeloong, kostet(e) ca. 300€ und hat einen 800Mhz-MIPS Prozessor von einem chinsischen Hersteller.
Um ganz genau zu sein, es ist ein Loongson Prozessor von der "Chinesischen Akademie der Wissenschaften" und MIPS kompatibel.
Ha, wie nett von euch, danke! 😃 Geh ich gleich mal gucken, obs das noch gibt.
Es gibt mittlerweile neue Modelle mit 900MHz. Es gibt auch einen Loongson Quadcore CPU. Der "Loongson 3A". Dieser unterstuetzt auch DDR3. Auch einen Okta-Core gibt es, habe aber noch keine Seriengeraete gesehen, in denen er verbaut ist.
Ich halte es für sehr wahrscheinlich, dass bestimmte Komponenten von Linux kompromitiert sind. Immerhin ist des dem FBI auch schon vor über einem Jahrzehnt gelungen eine Backdor in die IPSec-Implementierung von OpenBSD einzuschleusen. http://www.heise.de/newsticker/meldung/FBI-Backdoor-in-IPSec-Implementierung-von-OpenBSD-1153180.html (Erstaunlich ist, dass die Anweisung durch das FBI noch vor 9/11 und dem PATRIOT Act gegeben wurde.)

Gerade weil bei OpenBSD eigentlich auf Sicherheit großer Wert gelegt wird, sollte einem das zu denken geben. Ich frage mich wie viele US-amerikanische Linux-Entwickler schon einen National Security Letter erhalten haben und die darin enthaltenen Anweisungen umgesetzt haben.
Kann man auf jeden Fall sagen, wenn SELinux verwendet wird. Das wird von der NSA und Red Hat entwickelt.
MonadWarrior schriebIch halte es für sehr wahrscheinlich, dass bestimmte Komponenten von Linux kompromitiert sind. Immerhin ist des dem FBI auch schon vor über einem Jahrzehnt gelungen eine Backdor in die IPSec-Implementierung von OpenBSD einzuschleusen. http://www.heise.de/newsticker/meldung/FBI-Backdoor-in-IPSec-Implementierung-von-OpenBSD-1153180.html (Erstaunlich ist, dass die Anweisung durch das FBI noch vor 9/11 und dem PATRIOT Act gegeben wurde.)

Gerade weil bei OpenBSD eigentlich auf Sicherheit großer Wert gelegt wird, sollte einem das zu denken geben. Ich frage mich wie viele US-amerikanische Linux-Entwickler schon einen National Security Letter erhalten haben und die darin enthaltenen Anweisungen umgesetzt haben.
Das war aber eine Luftnummer:
http://en.wikipedia.org/wiki/OpenBSD#Alleged_FBI_backdoor_investigated
In späteren Heise-Artikeln wurde das auch berichtet.
http://www.heise.de/security/meldung/OpenBSD-Audits-liefern-keine-Anzeichen-fuer-Backdoors-Update-1158501.html

cu
Ich persönlich halte die Chance auf Kompromittierung in GNU/Linux gering. Natürlich ist eine Chance da aber wie meine Vorredner schon sagten muss man irgendwo dann doch vertrauen. Ein Vertrauen in dezentrale offene Software finde ich da bei weitem mehr angebracht als in Microsoft oder Apple. Man muss einfach in irgendwas vertrauen. Ich kenne jedenfalls niemanden persönlich der vom Chip an alles selber basteln könnte. Das Beste was wir also machen können ist quelloffene Software schreiben und lesen
shibumi schrieb...Ich kenne jedenfalls niemanden persönlich der vom Chip an alles selber basteln könnte. ...
Selbst, wenn es jemanden gibt, der das kann, ist da immer noch der Faktor Zeit. Ein derartiges Vorhaben dauert lange... sehr lange.
Im Moment ist es schon so gut wie es ist.
shibumi schriebIm Moment ist es schon so gut wie es ist.
Arch ist wirklich super! :-D

Abgesehen von Gentoo liefern ja alle Linux Distributionen Binärpakete aus. Wer kompiliert diese eigentlich bzw. wo werden die Sourcecodes kompiliert?

Das der Quelltext von Opensource durchaus von vielen gelesen wird ist nachvollziehbar aber wer schaut sich die Binärpakete an?
Gubber schriebAbgesehen von Gentoo liefern ja alle Linux Distributionen Binärpakete aus. Wer kompiliert diese eigentlich bzw. wo werden die Sourcecodes kompiliert?
Jedes Paket hat einen, der sich ums Kompilieren und ggf. Patchen kümmert.

Mittels pacman -Qi paketname (oder -Si, wenn das Paket nicht installiert ist) die Infos anzeigen lassen, und dann in der Zeile „Packer“ („Packager“, wenn nicht auf Deutsch gestellt) schauen. In Standardkonformen PKGBUILDs (ist bei allen Paketen aus den Repos der Fall) steht die Information als Kommentar in der Zeile „Maintainer“.
Nicht direkt faktenreich, aber vielleicht ein wenig augenöffnend ist folgender Artikel vom letzten Donnerstag oder Freitag: http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure-surveillance . Er beginnt mit dem Satz "The NSA has huge capabilities – and if it wants into your computer, it's in." Und "computer" bedeutet nach heutigen Meldungen auch "Smartphone", ganz gleich welchen Typs. Es gibt keinen Grund anzunehmen, dass Linux da eine Ausnahme darstellt.

Quelloffenheit schön und gut, es ist allerdings nicht schwierig, Code so zu schreiben, dass selbst Experten Mühe haben, ihn vollständig zu erfassen. Das passiert einem üblicherweise schon ganz nebenbei. Wenn man es also explizit drauf anlegt, kann man darin recht erfolgreich sein. Dieser Quelloffenheit unterliegen ja übrigens nur echte Programme. Man kann ja allerdings Gigabytes an Datenmengen auf einen Rechner bringen, beispielsweise über Multimediastreaming, die keinesfalls quelloffen sind. Und es genügt ein kleines Stückchen JavaScript, um daraus ein lauffähiges Programm zu machen. Das braucht möglicherweise nicht einmal root-Rechte, um nennenswert Daten des Benutzers auszulesen.

Unter Windows (und neuerdings auch auf Smartphones) halte ich übrigens inzwischen Virenscanner für eigentlich prädestinierte Geheimdienst-Trojaner. Es ist jedem völlig klar, dass man unbedingt einen haben muss, sonst ist man ja nicht sicher. Aber was ist eigentlich ein Virenscanner heute? Ein streng proprietäres, unter höchster Geheimhaltung entwickeltes Programm, das immer im Speicher ist, das jede Benutzerinteraktion mitbekommt, das mit Administratorrechten an wirklich jede Datei herankommt, das munter eigene Internetverbindungen unterhält und über diese mehrmals täglich Modifizierungen an sich selbst und womöglich am System vornimmt, und das dauerhaft im Hintergrund irgendwas tut, wovon überhaupt niemand irgend einen Schimmer hat. Sind eigentlich Virenscanner je mal von irgendwem in dieser Richtung untersucht worden? Also wenn ich die NSA wäre, McAfee wäre mein allerbestenster Freund.
T.M. schrieb Unter Windows (und neuerdings auch auf Smartphones) halte ich übrigens inzwischen Virenscanner für eigentlich prädestinierte Geheimdienst-Trojaner. Es ist jedem völlig klar, dass man unbedingt einen haben muss, sonst ist man ja nicht sicher. Aber was ist eigentlich ein Virenscanner heute? Ein streng proprietäres, unter höchster Geheimhaltung entwickeltes Programm, das immer im Speicher ist, das jede Benutzerinteraktion mitbekommt, das mit Administratorrechten an wirklich jede Datei herankommt, das munter eigene Internetverbindungen unterhält und über diese mehrmals täglich Modifizierungen an sich selbst und womöglich am System vornimmt, und das dauerhaft im Hintergrund irgendwas tut, wovon überhaupt niemand irgend einen Schimmer hat. Sind eigentlich Virenscanner je mal von irgendwem in dieser Richtung untersucht worden? Also wenn ich die NSA wäre, McAfee wäre mein allerbestenster Freund.
Vollste Zustimmung!
@ T.M. Genau die gleiche Meinung habe ich auch.Sogenannte Desktopfirewalls sind da auch sehr gut fuer geeignet.
Jeder, der glaubt, dass Spionagedienste dieser Welt NICHT direkt oder indirekt mit Antivirenprogramm-Herstellern zusammenarbeiten, glaubt auch noch an den Weihnachtsmann.