it-swarm.com.de

Wie vertrauenswürdig ist SELinux?

Angesichts der anhaltenden Lecks in Bezug auf die Massenüberwachung und der Tatsache, dass die NSA der ursprüngliche Entwickler von SELinux ist, frage ich mich, ob das bedeutet dass dort Hintertüren zu erwarten sind?

Wie jeder andere verschleierte C Wettbewerb zeigt, nicht zuletzt der nderhanded C Contest , können gut geschriebene Hintertüren dem Rezensenten entgehen . Und nur weil Software FLOSS ist, bedeutet dies nicht, dass die Leute immer die Gelegenheit nutzen, den Code zu lesen (ganz zu schweigen von der großen Mehrheit, die ihn nicht verstehen könnte).

Im Fall von SELinux geht es nicht so sehr um Krypto als um das jüngstes NIST RNG-Debakel , aber Hintertüren dort würden sicherlich einen Einstieg in scheinbar sichere Hosts ermöglichen.

Müssen wir uns Sorgen machen? Und wenn nicht, warum nicht?

29
0xC0000022L

Erwarten Hintertüren sind etwas stark ...

Es gibt mehrere starke Argumente gegen die Plausibilität solcher Hintertüren:

  • Linux wird von vielen Menschen verwendet, einschließlich US-Unternehmen. Ein großer Teil des Mandats moderner Sicherheitsbehörden besteht darin, die Interessen ihres Landes zu schützen. Insbesondere soll die NSA US-Unternehmen so weit wie möglich vor Spionage durch ausländische Wettbewerber schützen. Das Einfügen einer Hintertür in Linux birgt das Risiko, dass "schlechte Leute" (aus Sicht von NSA) US-Unternehmen über diese Hintertür ausspionieren können.

  • Linux ist Open Source und der Kernel wird von kompetenten Programmierern ziemlich gründlich geprüft. Dies ist die "viele Augen" Theorie . SELinux ist mitten in dieser Inspektion. Ob die Theorie der "vielen Augen" tatsächlich gilt, ist umstritten (und umstritten). Es gibt jedoch Leute, die über SELinux promovieren, daher ist es nicht absurd anzunehmen, dass dieser spezielle Code gründlich untersucht wurde.

  • Jeder im Linux-Kernel festgeschriebene Patch wird durch Revisionskontrolle verfolgt. SELinux kommt von NSA und ist als solches gekennzeichnet. Wenn eine Hintertür eingefügt und anschließend entdeckt würde, wäre es einfach, sie bis zum offensichtlichen Autor zurückzuverfolgen. Eine sehr grundlegende Schutzmaßnahme besteht darin, solche Dinge nicht in Ihrem eigenen Namen zu tun! Wenn ich die NSA wäre, würde ich zuerst eine virtuelle Person aufbauen, die nicht mit der NSA verbunden ist, so dass meine Organisation nicht belastet wird, selbst wenn er beim Drücken von Hintertüren erwischt wird. Spionageagenturen wissen viel über die Segmentierung von Spionagenetzwerken. Es wäre einzigartig dumm von ihnen, Hintertüren in ihrem eigenen Namen zu injizieren.

Es gibt auch ein starkes Argument für die Existenz solcher Hintertüren:

  • Das Ausspionieren vieler Menschen und Organisationen ist das Kerngeschäft der NSA.

Ehrlich gesagt, bis Sie die Leiche (d. H. Die Hintertür selbst) finden, ist Ihre Frage nicht zu beantworten. Es handelt sich um viele Parameter, die nur durch subjektive Schätzungen ermittelt werden können ...

(Persönlich finde ich immer noch, dass Hintertüren in PRNG, insbesondere Hardware PRNG, viel plausibler sind als Hintertüren, die "in Sichtweite versteckt" sind.)

24
Tom Leek

Open Source-Lösungen haben von Anfang an den Vorteil, dass Sie sie im Zweifelsfall selbst überprüfen können, indem Sie den Code überprüfen. Diese Annahme, dass Open Source Hintertüren haben kann, ohne dass jemand es aus meiner Sicht bemerkt, ist eher schwach. Der Grund dafür ist, dass, wenn dies tatsächlich der Fall ist, die Annahme besteht, dass der Linux-Kernel keine solche Pull-Anforderung hat, die vor langer Zeit im Hauptquellbaum zusammengeführt wurde und ununterbrochenen Zugriff auf NSA oder ein anderer Geheimdienst? Warum sollte ich den Leuten beim Stapeltausch und ihren Ratschlägen vertrauen? Sie könnten alle Agenten der NSA sein!

Der Grund, warum diese Argumente nicht zutreffen, ist, dass der Stapelaustausch kein Ein-Mann-Forum ist. NSA ist nicht der einzige Ort auf der Welt, an dem gute C/C++ - Programmierer arbeiten. Niemand kann ein Open-Source-Paket so lange hintertüren, nur aus diesem Grund, dass es niemanden geben würde, der dies tun würde Schauen Sie sich den Code an. Kernel oder Betriebssystem sind nicht der einzige Ort, an dem Sie die Hintertür verstecken müssen. Es gibt Netzwerke, in denen Ihre Hintertür kommunizieren muss. Es gibt Protokoll- und Netzwerkverkehrsmonitore, die jede auf dem System oder Netzwerk ausgeführte Aktion analysieren Alle diese Geräte und Systeme werden von Menschen aus verschiedenen Ländern und mit unterschiedlichem Hintergrund entwickelt. Wenn eine Komponente kompromittiert wird, gibt es andere Komponenten, die sie erkennen und dem Benutzer melden können. Daher glaube ich, dass dieses Argument grundlegend fehlerhaft ist Quellpakete können so lange Backdoors haben, weil es keinen fähigen Programmierer auf der ganzen Welt gibt, der die Anomalie erkennen kann.

"Jedes Mal, wenn ein [Entwickler] sagt:" Niemand wird sich die Mühe machen, das zu tun ", gibt es in Finnland ein Kind, das sich die Mühe macht."

Das oben Gesagte gilt nicht nur für die Softwareentwicklung, sondern für jede Art von Entwicklung (einschließlich Hintertüren).

0
void_in