18.10.2020, 09:07
(16.10.2020, 10:41)ska skaduwee schrieb: wir hatten inworld mal eine "gesittete diskusion" über schadsoftware bei linux updates. Es ging darum, das dein datendealer oder kurz isp als fetter man in the middle dir im auftrag der richtg fett cyberkrimminellen verseuchte programme oder updates unterschiebt. "bei lunux geht das nicht weil signeirt". An mir ist letztens fogendes vorbeigeflogen: https://www.amnesty.org/en/latest/resear...-revealed/ . Und genau finspy wird vom government crime bei uns eingesetzt. Wie sagte mal jemand so passent: gegen lvl 5 kriminelle hat neimend eine chance! Ergo dein dealer ist nicht dein freund.Gerade FinSpy kocht nur mit Wasser, zumindest unter GNU/Linux. Es schafft es noch nicht einmal aus dem Userspace raus und dürfte entsprechend einfach a) aufzustöbern und b) zu beseitigen sein, wenn man ein bißchen Ahnung hat.
(16.10.2020, 19:35)Mareta Dagostino schrieb: Das Angriffszenario ist übrigens, dem Computer ein falsches Zertifikat unterzujubeln. Eine Software so zu manipulieren, dass die Signatur zum Original-Zertifikat passt, ist meines Wissens nicht möglich.Vorteil guter GNU/Linux-Distributionen: Es gibt keine Zertifikate. Also kann man keine Zertifikate kompromittieren.
Alles wird signiert mit OpenPGP über GnuPG. Dafür verwendet jeder Entwickler einen eigenen OpenPGP-Key, und bei der Distribution ist genau hinterlegt, welcher Maintainer welchen Key verwendet.
Bei Windows kannst du versuchen, Zertifikate zu fälschen. Bei Debian mußt du dir den Maintainer eines für Angriffe geeigneten Pakets schnappen und von dem die Herausgabe seines Private Key erzwingen – und dich drauf verlassen, daß er nicht gleich hinterher seinen Key ungültig macht und einen neuen erstellt.
(16.10.2020, 20:49)Kubwa schrieb: Was hindert den Geheimdienst denn einen Entwickler bei Linux einzuschleusen oder einen Linuxentwickler zu erpressen und dazu zu bringen Backdoors einzubauen oder Schadcode zu signieren?Einschleusen von Entwicklern wird schwierig. Da funktionieren freie Systeme ganz anders als Windows – und GNU/Linux ganz besonders. Es gibt ja keinen Riesenkonzern, der das alles zentral in-house entwickelt.
Trotzdem geht alles an Code durch viele Augen. Man kann da nicht einfach irgendwelchen Code einreichen, und morgen wird der offiziell ausgerollt. Wenn da irgendjemand versucht, eine Backdoor einzuschleusen, dann wird der Code ja noch reviewt, und zwar mehrfach. Und die Reviewers werden den ablehnen.
Du sprichst von „Linux“. Das ist der Kernel. Und gerade da dürfte sehr genau hingesehen werden.
Wenn du da also etwas, was im Kernelspace läuft, dauerhaft kompromittieren willst, dann mußt du sämtliche Reviewers entweder kennen, erpressen und dafür sorgen, daß sie alle die Klappe halten (und glaub mal nicht, daß nicht mindestens einer davon irgendwelche Hints rausgibt, wie es seinerzeit der TrueCrypt-Entwickler getan hat, als TrueCrypt von der NSA gekapert wurde – die entsprechende Version hat es in kein einziges Repository keiner einzigen Distri geschafft, dafür sind sie alle auf VeraCrypt umgeschwenkt).
Oder du mußt sämtliche Reviewers durch eigene Agenten ersetzen. Und das fällt erst recht auf, wenn die gesamte Reviewer-Kette von etwas Sicherheitskritischem, das schon seit Jahrzehnten existiert (eben beispielsweise Linux), binnen kürzester Zeit durch komplett neue Leute ersetzt wird.
Selbst wenn du es schaffen solltest, freie, quelloffene Software zu kompromittieren, wird es jemand merken. Irgendjemand wird garantiert immer Wireshark am Laufen haben und darin Unregelmäßigkeiten feststellen. Das dauert höchstens ein paar Tage, dann weiß er, wo die herkommen.
Dann wird er sich den Quellcode der Ursache dieser Unregelmäßigkeiten schnappen, einmal den der aktuellen Version, einmal einen von möglichst kurz vor Anfang der Unregelmäßigkeiten. Da kommt man ohne weiteres ran, auch an so ziemlich alle alten Versionen. Das ist ja das Schöne an quelloffener Software und an VCS.
Dann wird er die Quellcodes miteinander vergleichen. Das stellt man sich jetzt als reiner Windows-User schwierig vor. Aber unter fast allen Betriebssystemen, die nicht „Windows“ heißen, gibt es ein schönes Tool namens diff. Oder es gibt entsprechende grafische Tools. Damit kann man sich die Unterschied zwischen zwei Dateien anzeigen lassen.
Und ruckzuck ist die Backdoor gefunden.
Nächste Schritte: a) Maintainer kontaktieren. b) IT-News-Outlets kontaktieren, damit die das an die große Glocke hängen.
Jetzt kannst du vielleicht sagen: „Ja, was ist, wenn der Maintainer dazu gezwungen wurde, die Klappe zu halten und/oder alles abzustreiten? Dann bleibt die Backdoor doch bis in alle Ewigkeit drin!“
Nein, bleibt sie nicht. Dann nehmen sich nämlich neue Maintainer die Software vor – und machen einen sogenannten Fork. Das ist unter so ziemlich allen freien Lizenzen legal und bedarf nicht der Zustimmung des ursprünglichen Maintainers. Das heißt, die hat er schon durch die Wahl seiner Lizenz gegeben.
Man nimmt also möglichst aktuellen Quellcode, der noch nicht kompromittiert ist, zieht davon eine Kopie und benennt die um. Wenn man will, kann man noch die Änderungen im Original nach dieser Version, die nicht Backdoor sind, zurückportieren und mit einbauen.
Mit dem Fork tritt man dann an alle Distributionen – und auch wieder an die IT-News-Outlets. Die Distris werden ruckzuck das Original durch den Fork ersetzen, alleine, um die Sicherheit ihrer Nutzer zu gewährleisten. Das machen auch Distris wie Debian oder Ubuntu, die normalerweise zwischen zwei Versionsupgrades der ganzen Distri nur kleine Patches ausrollen, aber keine neuen größeren Versionen von Paketen. Das ist auch damals passiert, als Oracle Sun geschluckt hat und alle Schiß hatten, daß Oracle das von Sun betreute, aber freie und quelloffene Datenbanksystem MySQL relizensiert zu proprietärer, unfreier Closed-Source-Payware, um damit fett Kohle zu machen (zeitgleich ließ sich ja der Oracle-Chef Larry Ellison eine der größten Yachten überhaupt bauen). Also haben sie davon einen Fork namens MariaDB gemacht, der binnen weniger Tage sogar unter Debian stable und Ubuntu LTS in die Repositories kam und MySQL direkt ersetzt hat. Die meisten Distris verwenden heute noch MariaDB.
Anderes Szenario: Ein Maintainer wird von einem Geheimdienst gezwungen, seinen privaten OpenPGP-Key rauszurücken, mit dem er seine Pakete z. B. für Debian oder Ubuntu oder Arch oder so signiert. Damit würde der Geheimdienst dann per MITM Attack eingeschleuste Pakete nebst passender Prüfsummen (unter freien Systemen ist alles doppelt und dreifach abgesichert) mit seinem Key signieren können.
Zum einen aber können sie damit nicht das ganze System kompromittieren. Windows hängt ja tutto kompletto an einem einzigen Zertifikat, mit dem alles signiert wird. Wenn man sich jetzt GNU/Linux oder *BSD ansieht, da hat jeder Maintainer seinen eigenen Schlüssel, und jeder Maintainer ist für was anderes zuständig. Um wirklich alle Pakete unter allen Distributionen manipulieren zu können, bräuchtest du abertausende Private Keys von abertausenden Maintainern.
Zum anderen wird dieser Breach nicht lange halten. Ich wage zu behaupten, es gibt da längst ein Protokoll, nach dem in solchen Fällen vorgegangen wird: Das bisherige Schlüsselpaar wird zwar nicht für ungültig erklärt (das würde der Geheimdienst sofort merken), aber aus der Liste der offiziellen Keys der jeweiligen Distribution entfernt, d. h. was damit signiert ist, akzeptiert der Paketmanager nicht mehr. Derweil erstellt der Maintainer ein neues Schlüsselpaar und nimmt das von da an offiziell zum Signieren.
Unbemerkt jeden beliebigen OpenPGP Private Key klauen kann nicht mal die NSA.
Freie, quelloffene Software zum einen dauerhaft und zum anderen unbemerkt zu kompromittieren, ist verdammt schwierig bis unmöglich. Ganze Systeme, die darauf basieren, so zu kompromittieren, ist noch schwieriger.
