NSA bagdøre i Open Source ?

Ok, så med open source har vi en teoretisk mulighed for at kontrollere kildekoden, men hvad med BIOS'en? Der er selvfølgelig Coreboot der er open source, men HW understøttelsen er begrænset.

Bør vi ikke være ligeså mindst bekymret for mangel på åbenhed omkring BIOS/EFI.

Thomas

Tak til blogføreren for et interessant blogindlæg om, hvorledes Open Source-miljøet må intensivere kontrollen, så der ikke smutter bagdøre ind.

Et godt sted at starte, er altid at compilere GCC med LLVM og LLVM med GCC

@Lars - ja lad os komme tilbage på sporet.

Da git bliver brug til kerne hacking i Linux og meget andet Open Source må en kompromittering her være en god forudsætning for at snige et par fixes ind, som den Lars nævner.

F.eks.: http://www.cvedetails.com/cve/CVE-2013-0308/

Det reddes så i de projekter, der har en god kvalitetskontrol.

Ellers er der social engineering teknikker kombineret med et par usikre links og en package manager der åbner og installerer alt det som den bliver fodret med af standard browsereren - det er jo så bekvemt.

Og ... hvor mange har altid kørt md5 check på alt det sw de installerer?

Safari's engine er den mest udbredte browser engine. Det er Apple's OSS version af en anden OSS engine.

Der er masser af Apple OSS, se bl.a. her:http://www.apple.com/opensource/

Det er ikke alt der er OSS; men store dele er. Og så kan du bare køre OSS software på deres OSS kernel.

Jeg bruger Ubuntu, men jeg har ingen chance for at gennemskue om der er bagdøre deri, jeg må stole på når andre siger det hele er åben kode og nogle ville opdage hvis der var snavs gemt.

/* 3c503.c: A shared-memory NS8390 ethernet driver for linux. / /Written 1992-94 by Donald Becker.

Copyright 1993 United States Government as represented by the
Director, National Security Agency.  This software may be used and
distributed according to the terms of the GNU General Public License,
incorporated herein by reference.

Den oprindelige historie (den hvor NSA havde uhindret adgang til alle dine emails, dokumenter, billeder, videoer) var baseret på spekulation over hvad et powerpoint beskrev. Snowden og (ellers ansete) journalister kiggede slides igennem og extrapolerede en kæmpe konspiration.

Som al extrapolation er der en risiko for fejlslutninger. Det blev The guardian og The Washington Post åbenbart hurtigt klar over (måske en lidt kildekritisk redaktør fik noget galt i halsen). Men i stedet for offentligt at gøre opmærksom på at flere af deres mest vidtrækkende konklusioner ikke kunne støttes af fakta, ændrede de deres artikler retrospektivt. Uden at fortælle det i artiklerne.

Se dokumentationen her (Ed Bott, ZDNet): http://www.zdnet.com/the-real-story-in-the-nsa-scandal-is-the-collapse-of-journalism-7000016570/

Historien var åbenbart for god, så alle andre medier løb med den som om den var den evige sandhed.

Igen, læs Ed Bott, ZDNet: http://www.zdnet.com/how-did-mainstream-media-get-the-nsa-prism-story-so-hopelessly-wrong-7000016822/

(her kan man også se den famøse powerpoint som er dokumentationen for at NSA har fri adgang til selskabernes servere).

PHK kunne heller ikke drømme om at foretage lidt kildekritik. Historien passer lidt for godt til hans verdensbillede. Så er fakta ligegyldigt.

Han er endda parat til at udvælge enkelte firmaer fordi billedet ville blive lidt mere udtværet hvis nogen af heltene blev nævnt sammen med den kun delvist sande historie.

Tag ikke fejl, der foregår overvågning og specielt som ikke-amerikanere er vi vist delvist retsløse.

Men PHK vil gerne gøre det til en historie om selskabers troværdighed. Historien er imidlertid at Google, Apple, Microsoft, Yahoo etc. kun har overdraget til NSA hvad der krævedes ifølge lovgivningen, og i hvert tilfælde kun efter en dommerkendelse. Hvis de ikke overdrog oplysningerne når der foreligger en lovligt udstedt dommerkendelse så ville de bryde loven.

Vi kan (nej, vi SKAL) være bekymrede for den amerikanske lovgivning, specielt når en hemmelig domstol udsteder hemmelige dommerkendelser, og specielt når lovgivningen gør udenlandske statsborgere retsløse. Det er imidlertid et problem med lovgivningen og ikke et troværdighedsproblem ifht individualle selskaber som PHK gerne vil gøre det til. Og kun de selskaber som PHK ikke kan lide.

Den powerpoint som var "dokumentation" for at Apple, Microsoft, Google, Yahoo, Skype mfl skulle have givet NSA uhindret adgang til deres servere var en uddannelsespræsentation til nye agenter. Det den viste var, at de nævnte selskaber havde tilsluttet sig et system hvor de online kunne aflevere materialet når selskabernes advokater havde gennemgået det i forhold til begæringen og dommerkendelsen. En postkasse. Uden denne postkasse skulle materialet (det er dybt fortroligt at det afleveres) overbringen personligt på fx. USB key, DVD eller CD. Med op til 20.000 (!) sådanne anmodninger om året kan man godt få den idé at begrænse personlige afleveringer.

Alle de anklagede selskaber har på det kraftigste afvist at NSA har adgang til deres servere. Anklagen er ikke understøttet af andet materiale end en enkelt powerpoint - som kræver en god del extrapolation og spekulation for at kunne læse det som adgang til servere.

Selskaberne kan ikke engang få lov at fortælle om hvad der virkelig foregår. Lovgivning igen.

Hvis det at være begrænset af lovgivning eller udlevere informationer på baggrund af (desværre) lovlige dommerkendelser er et spørgsmål om troværdighed, hvordan har det så noget med open source at gøre.

Trot vi at Red Hat (endnu et amerikansk selskab som skal følge amerikansk lovgivning) kan tilbyde cloud service uden at blive tvunget til at overlevere informationer på samme måde?

men... hvis vi kan plukke nogle enkelte selskaber ud - udelade "heltene" - og ignorere at anklagerne er spekulative og ikke underbyggede så kan vi måske få det til at se sådan ud.

Den nævnte 'random number bug' mener jeg vedrører kode i SSL-projektet, som Debian distribuerer.

Problemet var at en person i Debian (fejlagtigt) konkluderede at han havde fundet en fejl i koden[*], og at han uden at orientere SSL-projektet rettede i Debians kopi af SSL-koden - en kode han tydeligtvis ikke forstod.

Så een af de mange konklusioner man kan drage af PHKs indlæg er at det er vigtigt at de forskellige Linux-distributioner strammer op på deres procedurer, så der er mindre risiko for at uautoriserede ænderinger når ud til brugerne.

Specifikt skal det sikres at man sender rapporter om fejl 'upstream', dvs. tilbage til de ansvarlige for koden, som herefter kan komme med en ordentlig vurdering af en patch.

[*] Koden læste med vilje uinitialiseret hukommelse, i et forsøg på at høste entropi til tilfældighedsgeneratoren. Uden entropi, ingen tilfældige primtal...

"I have received a mail regarding the early development of the OpenBSD IPSEC stack. It is alleged that some ex-developers (and the company they worked for) accepted US government money to put backdoors into our network stack, in particular the IPSEC stack. Around 2000-2001."http://marc.info/?l=openbsd-tech&m=129236621626462&w=2

da US Export Regulativerne blev ændret for export af SW baseret på stærke (dengang) nøgler. Se denne oversigt fra en publiceret artikel fra Nov/Dec 1997):http://encryption_policies.tripod.com/us/baker_060100_regulation.htm

Der var en sag fornylig om en bagdør i noget militær HW (firmware). Hvis man nu kunne få indført en lignende facilitet i f.eks. et meget brugt chipset, er det ikke nødvendigvis relevant, om compilere, kerne, kernemoduler, netværksstak, tekstbehandling etc. er checket, checket igen og selvkompileret etc. Se f.eks. http://www.slideshare.net/endrazine/defcon-hardware-backdooring-is-practical

Jeg synes ikke at have læst om at der har været tale om nogen som helst bagdøre i noget som helst software i denne PRISM sag, men netop om at NSA kan få oplysninger fra diverse service leverandører, hvis de ønsker.

Microsoft og Apple er jo ikke involveret pga. deres OS, men pga. af selvsamme servicetyper som Google, Yahoo og Facebook leverer.

Ind til nu har vi antaget at den bommert var gennemgribende inkompetence, fordi vi er nogle søde og rare mennesker der ikke forfalder til konspirationsteorier.

.. sagde manden med sølvpapirshjelmen :-)

Et godt sted at starte, er altid at compilere GCC med LLVM og LLVM med GCC

Alt det her er meget bekymrende, og mon ikke at de her fæle folk allerede har betalt visse skruppelløse ingeniører 30 sølvstykker for at forråde menneskeheden? Spørgsmålet må vel være i hvor stort omfang, og hvilke projeter der kan tænkes ramt?

Et andet spørgsmål er også om vi mennesker overhovedet kan formodes at lave solide nok reviews på kode, eller om der skal andre værktøjer til? SPARK?

Så vidt jeg ved så er det netop den slags sikkerhed og tillid OpenBSD folkene går meget op i. Er der nogen der ved noget om hvordan deres proces for håndtering af patches/kode er? Kan der læres noget?

Fsv. debatten om hvem der skal på listen over de værste "syndere", så føler jeg personligt at det er ret let for mig at skille mig af med Google/Yahoo/Facebook, hvorimod Microsoft/Apple er en helt anden sag. De tre første leverer en service jeg kan forlade når jeg vil. De to sidste bliver i forskelligt omfang tvunget ned i halsen på mig.

...til at behøve bagdøre til DK, de kan bare købe "Hoveddøren" aka. NETS.

Open source giver i det mindste mulighed for at reviewe kode – om det så i praksis vil stoppe NSA er usikkert. Jeg synes dog det er langt mere skræmmende at forestille sig bagdøre i Vmware, Hypervisor mm

Det er formentligt usundt for Demokratiet, det skidt USA gør for at bekæmpe "terror", men det er jo ingenting ved siden af et land der ikke er begrænset af Demokrati.

Synes du ikke der er flere som bør omfattes af din miskredibilitetsdom? Jeg vil da mene at både Google og Yahoo i hvert fald også bør nævnes.