Code-Analyse:
Keine Hinweise auf Backdoor in OpenBSD
Experten von GeNUA prüfen gesamten Krypto- und IPsec-Code
Kirchheim bei München, 22. Dezember 2010. Das OpenBSD-Projekt ist mit der Behauptung konfrontiert, dass im Jahr 2000 in den Quellcode Backdoors für das FBI eingefügt worden seien. Dies behauptet Gregory Perry in einer E-Mail an den OpenBSD-Projektleiter Theo de Raadt, die am 14. Dezember veröffentlicht wurde. Von dieser Behauptung ist auch GeNUA betroffen, da Produkte des IT-Sicherheitsunternehmens auf dem freien Betriebssystem basieren. Deshalb haben die Experten des Unternehmens die Teile des Codes, die Ziel der Manipulation sein könnten, Zeile für Zeile analysiert. Das Ergebnis: Es wurden keine Hinweise auf eine Backdoor gefunden.
GeNUA verwendet für Firewalls und VPN-Systeme das Betriebssystem OpenBSD. Denn bei diesem freien Entwicklungsprojekt ist die IT-Sicherheit als vorrangiges Ziel definiert und wird mit strikten Review-Prozessen konsequent verfolgt. Die Behauptung von Gregory Perry, er habe als Mitarbeiter der Firma Netsec im Auftrag des FBI den Einbau von Backdoors in Krypto- und IPsec-Funktionen des Betriebssystem veranlasst, trifft somit sicherheitsbewusste Anwender wie GeNUA. Die Krypto- und IPsec-Funktionen dienen zur verschlüsselten Datenübertragung via VPN. Perry nennt in der E-Mail aber keine Beweise oder konkrete Anhaltspunkte für die behauptete Manipulation. GeNUA reagierte darauf mit einer Analyse des gesamten Krypto- und IPsec-Codes von OpenBSD. Da GeNUA bereits seit 2002 Sicherheitslösungen auf Basis des freien Betriebssystems erstellt, sind hier zahlreiche OpenBSD-Entwickler beschäftigt, die solche Schwachstellen-Analysen vornehmen können.
Umfassende Schwachstellen-Analyse des Krypto- und IPsec-Codes
Die Entwickler von GeNUA analysierten dabei sowohl den aktuellen als auch den Code aus dem Jahr 2000, als die angebliche Manipulation stattgefunden haben soll. Zusätzlich wurden stichprobenartig Änderungen aus den zehn dazwischen liegenden Jahren geprüft. Dies ist möglich, da der Quellcode einer Revisionsverwaltung unterliegt und jeder Software-Stand seit dem Projektstart 1995 abgerufen werden kann. Bei der Schwachstellen-Analyse wurde der Krypto- und IPsec-Code Zeile für Zeile geprüft und keine Hinweise auf eine Backdoor gefunden.
Bei der Entwicklung und Zertifizierung wird Quellcode geprüft
GeNUA passt die OpenBSD Releases, die für Produkte verwendet werden, stets an die speziellen Anforderungen der Sicherheitslösungen an: In allen Code- Komponenten, die Sicherheits-Features beinhalten, werden bestimmte Funktionen hinzugefügt oder verstärkt. Dieser Code muss somit bei jedem Release von den Entwicklern von GeNUA geprüft, angepasst und getestet werden. Darüber hinaus unterwirft GeNUA die Produkte regelmäßig der Zertifizierung nach Common Criteria (CC) in der Stufe EAL 4+. Dieses beim Bundesamt für Sicherheit in der Informationstechnik (BSI) durchgeführte Verfahren beinhaltet die Offenlegung und Kontrolle des Quellcodes und schließt auch das Betriebssystem ein. "Als die Behauptung über die angeblichen Backdoors veröffentlicht wurde, haben wir mit einer umfangreichen Schwachstellen-Analyse die in Frage kommenden Code-Bereiche geprüft und nichts gefunden. Zusammen mit der ständigen Kontrolle des Quellcodes bei der Entwicklung und den regelmäßigen Zertifizierungen kommen wir deshalb zu dem Schluss, dass mit an Sicherheit grenzender Wahrscheinlichkeit diese Backdoors nicht in OpenBSD eingebaut wurden", sagt Dr. Magnus Harlander, Geschäftsführer der GeNUA mbH.
Über GeNUA
GeNUA, Gesellschaft für Netzwerk- und Unix-Administration, ist ein Spezialist für IT-Sicherheit. Das Leistungsspektrum umfasst Firewalls, Fernwartungs- und VPN-Lösungen, Datenoptimierung für Satellitenkommunikation, fortlaufendes System Management sowie ein umfangreiches Dienstleistungsangebot. Die Firewalls GeNUGate und GeNUScreen sind vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nach CC in der anspruchsvollen Stufe EAL 4+ zertifiziert. Die GeNUGate ist aufgrund des unüberwindbaren Selbstschutzes zusätzlich als Highly Resistant eingestuft – als einzige Firewall weltweit. Zahlreiche Kunden aus der Industrie und dem öffentlichen Bereich setzen auf die Erfahrung und Lösungen des 1992 gegründeten Unternehmens, das am Firmensitz in Kirchheim bei München über 130 Mitarbeiter beschäftigt.
Weitere Informationen:
GeNUA
Gesellschaft für Netzwerk- und Unix-Administration mbH
Dietmar Bruhns
Domagkstr. 7
85551 Kirchheim bei München
tel +49 89 991950-169
fax +49 89 991950-999
dietmar_bruhns@genua.de
www.genua.de
