Hadmut Danisch

Ansichten eines Informatikers

Internet: Ausspionieren der Router

Hadmut
22.3.2014 19:27

Nur um mal zu zeigen, wie meilenweit weg unsere „Regierung” von Internet-Sicherheit entfernt ist:

Der SPIEGEL beschreibt eine neue Snowden-Erkenntnis, nämlich dass die USA den Chinesen vorwerfen, über Huawei andere auszuspionieren und deshalb Huawei ausspioniert haben. Fragt sich, wer da der schlimmere Spion ist. Die Vorwürfe der Amerikaner gegenüber den Chinesen klingen – selbst wenn sie inhaltlich berechtigt sind – als Vorwurf komplett lächerlich.

Es zeigt aber ein enormes Problem auf: Das Spannungsfeld zwischen amerikanischen Herstellern wie Cisco und asiatischen Herstellern wie Huawei.

Wenn man hierzulande ein Netzwerk ausstatten will, hat man effektiv die Wahl zwischen Pest und Cholera. Wir haben keine ernstzunehmenden deutschen oder wenigstens europäischen Router-Hersteller. Und selbst wenn wir ihn hätten, wäre der nicht vor Unterwanderung, Infiltration und Spionage sicher.

Man müsste deutsche Router unter Hochsicherheitsanforderungen entwickeln, um die Quelltexte vor Spionage und vor allem vor Sabotage zu schützen.

Aber so weit zu denken konnte ich in deutscher Politik noch nicht beobachten. Da bewegt man sich auf dem Niveau von Glitzerfolie.

Ich glaube nicht, dass wir in Deutschland diese Kurve noch jemals kriegen. Nicht, so lange wir „regiert” werden.


29 Kommentare (RSS-Feed)

Fx
22.3.2014 19:40
Kommentarlink

“…oder wenigstens europäischen Router-Hersteller”

Wobei ich um britische auch einen großen Bogen machen würde. Und um französische eigentlich auch.

“auf dem Niveau von Glitzerfolie”

… trifft auch hier absolut zu. Genauso leere Symbolpolitik, wie die halbherzige Beschwerde bei den Amis wegen der Rundumüberwachung. Wobei ich hier die Frage stellen würde, ob das nur mit Naivität zu erklären ist, oder mit Anweisungen vom großen transatlantischen Bruder.


Fx
22.3.2014 20:11
Kommentarlink

stone_golem
22.3.2014 20:12
Kommentarlink

Nicht persönlich nehmen, Hadmut, wenn ich dich dafür ein wenig kritisiere, dass du gerne auf der Glitzerfolie herumhackst.

Bei dieser Geschichte ging es nur darum “frauenfreundliche” Handys zu basteln. Ja, die Ergebnisse waren sicherlich von zweifelhafter Qualität: Aber sie spiegelten lediglich auf ihre eigene (wahrscheinlich zweifelhafte) Art wieder, was sich Frauen von Handys wünschen. Da ging es nicht um Sicherheit im Sinne der Informatik. Eine Runde oder zwei Runden lästern: Sofort akzeptiert. Aber dann weitergehen.

Viel schlimmer finde ich die “Undercover”-Decke von Joosts Doktorandin, über die du unter

> https://www.danisch.de/blog/2013/07/03/die-krypto-geheimwaffe-der-spd-gegen-die-nsa/

schreibst. Diese steht in deutlich stärkerem Maße für den Zeitgeist und die Werte der deutschen IT-Sicherheitsforschung. Daher mein Gegenvorschlag in deinem Stil:

Schenken wir jedem Admin von kritischer deutscher Infrastruktur doch eine “Undercover”-Schmusedecke, die all die zu hütenden Geheimnisse sicher bewahrt.


Hadmut
22.3.2014 20:19
Kommentarlink

@stone_golem: Das Problem ist nicht die Glitzerfolie. Das Problem ist, dass oberhalb dessen nichts mehr kommt.

Sieh dazu auch mal

https://www.forschungsmafia.de/blog/2014/02/24/tu-berlin-telekom-fake-dissertation-in-it-sicherheit/

Das kommt aus dem gleichen Stall, aus dem auch der Genderismus kommt. Das ist eine generelle Verblödung. Und dort geht es auch um IT-Sicherheit.


denn
22.3.2014 21:53
Kommentarlink

> Man müsste deutsche Router unter Hochsicherheitsanforderungen entwickeln, um die Quelltexte vor Spionage und vor allem vor Sabotage zu schützen.

(Ich lese das als würdest du Closed Source vorschlagen)

Warum nicht Open Source? Ich weiß, dass es nur was bringt, wenn auch ein gut ausgebildeteter und motivierer Programmierer nach sSchwachstellen sucht und diese dann auch reported, aber das ist bei closed source deutlich unwahrscheinlicher (wobei closed source in diesem Fall auch motivieren könnte).

Wenn ich aber Snwoden richtig verstanden habe, kommt die NSA eh an alle Informationen ran, die sie haben will.


Hadmut
22.3.2014 22:36
Kommentarlink

@denn:

> (Ich lese das als würdest du Closed Source vorschlagen)

Drüber nachdenken muss man, wenn es den Amis so wichtig ist, den Quelltext auszuforschen. Ob das viel bringt, solange das Compilat zugänglich ist, ist eine andere Frage, aber auch da könnte man etwas sperren.

Es ist eben die Frage, die zu klären wäre, ob es der Sicherheit zuträglicher ist, es Open oder Close Source zu machen. Denn man muss berücksichtigen, dass es inzwischen Analyse-Software gibt, die automatisch Schwächen und Fehler findet.

Dem müsste man erst einmal entgegenhalten können, dass in Open Source die Fehler ebenso gefunden und nicht auf dem Schwarzmarkt verhökert, sondern gemeldet werden. Es ist aber im Moment eine Veränderung dahingehend zu beobachten, dass gefundene Fehler eben nicht mehr als Bug gemeldet, sondern für teuer Geld auf dem Schwarzmarkt verkloppt werden.

Und dann muss man sich schon überlegen, was von beidem sicherer ist.

Wir haben inzwischen so viele Quelltexte, dass die ohnehin niemand mehr manuell liest.

Ein gut ausgebildeter und motivierter Programmierer findet heute auch nicht mehr alle Schwächen (sonst gäb’s nicht so viele), und der macht das auch nur, wenn er dafür bezahlt wird. Dann aber ist es nicht mehr open source und man kann ihn auch unter Vertrag nehmen.

> Wenn ich aber Snwoden richtig verstanden habe, kommt die NSA eh an alle Informationen ran, die sie haben will.

Und das ist der Punkt, der zu ändern wäre, wenn man Sicherheit haben will.


PG
22.3.2014 22:50
Kommentarlink

Mit dem richtigen Werkzeug stört auch die Veröffentlichung des Quelltexts nicht (und kann ansonsten nur nutzen).

Sorgfältige Arbeit bezahlt nur keiner, von daher versteckt man die schlampige Arbeit und hofft, dass die ebenso schlampig arbeitenden Admins das Geheimnis zu schützen wissen – und da beißt sich die Katze in den Schwanz, weil sie auch nur auf schlampigen Systemen arbeiten können.


Phil
23.3.2014 0:00
Kommentarlink

@Hadmut ich denke das der Sinn von OpenSource weniger in mehr Code Reviews liegt (dies ist sowieso eher hypothetisch), sondern daran, dass man den Code auch ohne Lieferanten “fixen”, bzw. verändern kann.

Ein Lücke in einem C Programm kann (bei bekannt werden) jeder mittelmäßige Admin fixen, oder bei einer komplexeren Lücke, zumindest den entsprechenden Codeteil lahm legen.
Dies ist bei einem Blob ungleich schwerer, insbesondere da ja die Kommentare und Bezeichner fehlen.
Auch wenn der Hersteller mal wieder meint, “ist nur ein Spezialfall, hat keine Priorität”, dann kann man einen beliebigen fähigen Programmierer beauftragen – vorausgesetzt, die Änderung ist geschäftskritisch.
Jemanden zu finden, der einen Blob abändert? Ich glaube die kann man an einer Hand abzählen.


Herbert
23.3.2014 7:24
Kommentarlink

Man sollte es vielleicht open source machen und eine Ausschreibung machen die für gefundene Fehler Preise ausschreibt?

Natürlich könnte man nicht mit den Schwarzmarktpreisen mithalten und sollte es vielleicht auch garnicht versuchen, eher über Prestige arbeiten.

Öffnet natürlich auch Möglichkeiten zum Mißbrauch, also eventuell Leute, die Code schreiben, der sich im Nachhinein als besonders schlecht herausstellt nicht mehr beauftragen und evtl mit Vertragsstrafen belegen in härtesten Fällen.


Sledge
23.3.2014 7:56
Kommentarlink

Meine privaten Router laufen unter dd-wrt mit eigenen iptable rules aber spätestens wenn in der Hardware etwas mit kommt hilft das auch nicht mehr.
Das ist natürlich nur der private Bereich, im Enterprise Umfeld gibt es so etwas überhaupt nicht. Mir ist zumindest nichts bekannt. Gerade hier wäre es aber natürlich höchst wichtig unabhängig zu sein.

Eigentlich müsste da sogar genug Geld zu verdienen sein weshalb es mich etwas wundert warum da bei uns keine Firma mal richtig einsteigt. Man konnte das natürlich ganz einfach staatlich fördern indem man am Anfang Steuererleichterungen gewährt um die kosten der initialen Entwicklung zu reduzieren – wird ja auch in anderen Bereichen gemacht.
Eigentlich sollten solche Dinge von der EU Ebene kommen aber die forschen lieber selbst an der Überwachung, siehe INDECT


Michael
23.3.2014 7:59
Kommentarlink

lancom ? Die haben halt nur Baby-Router.


Missingno.
23.3.2014 8:58
Kommentarlink

Vor ein paar Jahren hätte ich noch Hirschmann in den Raum geworfen, aber die sind inzwischen eine Belden Company …


RedHead
23.3.2014 9:14
Kommentarlink

Also Deutschen Produkten würde ich bzgl. Sicherheit genauso wenig trauen, wie amerikanischen oder chinesischen. Der BND arbeitet ja schließlich auch mit NSA und co zusammen. Also wenn irgendwann mal ein “Hochsicherheitsrouter” von Siemens (kooperiert bekanntlich mit dem BND) hergestellt wird und der dann eine Empfehlung vom BSI (war mal offiziell dem BND unterstellt, als es noch “Zentralstelle für Chiffrierwesen” hieß) bekommt, dann wäre ich da äußerst misstrauisch. Wenn der dann auch noch Closed Source Software verwendet, wird darüber einmal kräftig gelacht und gut ist.


Hadmut
23.3.2014 11:08
Kommentarlink

@RedHead:

> Wenn der dann auch noch Closed Source Software verwendet

  • Zeig mir mal irgendeinen Open-Source-Router, dessen Quelltexte wirklich durchgelesen wurden.
  • Wie willst Du prüfen, ob die Software im Router wirklich mit dem Quelltext übereinstimmt?

Manchmal habe ich den Eindruck, die OpenSource-Gläubigkeit ist auch zur Religion verkommen.


dwio
23.3.2014 9:45
Kommentarlink

Wir haben immerhin AVM. Klar die machen nur Consumer-Zeugs und kein Equipment für größere Netze.


yasar
23.3.2014 10:42
Kommentarlink

Kein ernstznehmender Routerhersteller in Deutschland?

Du übersiehst AVM (aus Berlin), den hiesigen Weltmarktführer. Die sorgen doch hierzulande im wesentlichen dafür, daß Die Leute Ihr Internet bekommen. 🙂


Hadmut
23.3.2014 11:05
Kommentarlink

@yasar:

> Du übersiehst AVM (aus Berlin), den hiesigen Weltmarktführer.

Jo, im Heimbereich.

Wenn ich von Cisco usw. rede, meine ich aber den Profi-Bereich, die dicken Kisten. Und da haben wir eigentlich nichts.


yasar
23.3.2014 12:14
Kommentarlink

@hadmut:

Das war ironisch gemeint. Ich zielte damit auf dieverse Politikerreden ab, die doch das so tolle innovative Deutschland loben. Die denken halt: “Routerhersteller? Klar haben wir auch ganz tolle!” und übersehen dabei, daß AVM in einer ganz anderen Liga als Juniper, Cico und Huawei spielt.


HF
23.3.2014 13:06
Kommentarlink

Ausserhalb der kommerziellen Entwicklungsmodelle könnte man aber auch Router bauen, die viel minimalistischer sind als die Feature-überladenen Angebote für Marktkunden. Etwa mit musl-libc statt der vielen Megabyte großen Monstren.
Die Dienste brauchen die ausspionierten Quellcodes ja auch nur, um schneller einen passgenauen und vor allem robusten Angriff zu ermöglichen. Wenn man den Quellcode geheim halten will, sollte man erst einmal sicherstellen, dass er wirklich geheim bleibt, sonst arbeitet man dem Gegner u.U. sogar in die Hand. Ein Henne-Ei-Problem?


RedHead
23.3.2014 20:54
Kommentarlink

Hadmut, ich sage doch gar nicht, dass Open Source automatisch alle Probleme löst, nur wird doch bei Closed Source ganz offensichtlich etwas versteckt und das ist einfach nicht vertrauenswürdig. Klar kann es sein, dass da bloß jemand ein paar Firmengeheimnisse bewahren will. Aber selbst diese könnten ja insbesondere irgendwelche Hintertüren betreffen. Wenn ich mir einen Rechner schnappe, da ein paar Netzwerkkarten verbaue und da beispielsweise OpenBSD drauf mache und das ganze dann als Router verwende, dann kann ich wohl davon ausgehen, dass hinterher auch die gewünschte Software drauf ist. Auch dass sich den Quelltext mal jemand durchgelesen hat, halte ich für sehr wahrscheinlich. Aber mal abgesehen davon ging die Diskussion an der Stelle um eventuelle zukünftige Dinge, da ist dein Einwurf “Zeig mir mal …” schon ein wenig neben der Spur.
Jaja, mein OpenBSD-Router-Beispiel ist auch nicht sicher, man weiß ja nicht, wie die darunter liegende Hardware verwanzt ist, schon klar. Das Problem kann aber keine Software lösen. Und ja, auch in dieser Software kann sehr geschickt eine Hintertür untergebracht sein, das zu überprüfen steht zumindest jedem frei.
Will man garantierte Sicherheit muss man ganz anders herangehen, hier wäre die naheliegende Variante sowohl Hardware als auch den Quellcode der Software aus Formalen Spezifikationen (z.B. LTL oder CTL) zu generieren. Dann kann man weiterhin seine Sicherheitsanforderungen in eben jener Sprache formulieren und versuchen sie aus den Spezifikationen zu beweisen. Leider ist bereits LTL-Model Checking PSPACE-vollständig, das ganze artet also in kreativer Handarbeit aus, weil die automatisierte Berechnung hoffnungslos wird. Hat man aber einmal einen Beweis gefunden, lässt der sich recht flott automatisch verifizieren -> das könnte im Prinzip auch der Kunde des Produktes machen, dafür kann man sich ja wiederum freie tools wie den interaktiven Isabelle-Theorembeweiser (emacs-plugin) zur Hilfe nehmen. Es wäre dann aber ratsam, diese Sprachen zu beherrschen, damit man sieht, ob auch wirklich die eigenen Anforderungen erfüllt sind. Ggf. muss man dann auch etwas Zeit mit dem Beweisen verbringen. Forschung in diese Richtung gibt es, aber fertige Produkte sind noch in weiter Ferne. Ich sehe auch leider nicht, dass sich das in nächster Zeit ändert, der Aufwand und die Entwicklungszeit würde bei solchen Produkten dramatisch steigen. Wenn es so etwas denn einmal geben sollte, ergibt es aber wiederum nur als Open Source für den Kunden Sinn.


Thomas Bliesener
23.3.2014 21:43
Kommentarlink

@Hadmut: “Ein gut ausgebildeter und motivierter Programmierer findet heute auch nicht mehr alle Schwächen (sonst gäb’s nicht so viele), und der macht das auch nur, wenn er dafür bezahlt wird. Dann aber ist es nicht mehr open source”

Warum sollte es dann nicht mehr Open Source sein? Linux oder Programme von Mozilla (Browser, Mailclient etc.) fallen auch unter die Open-Source-Definition, obwohl der meiste Code von bezahlten Programmierern geschrieben wird.

“Wie willst Du prüfen, ob die Software im Router wirklich mit dem Quelltext übereinstimmt?”

Kompilieren und hochladen?


Hadmut
24.3.2014 7:59
Kommentarlink

@Thomas Bliesener: Und woher willst Du dann wissen, dass der Compiler nur das rzeugt, was im Quelltext steht und der Router nur das ausführt, was Du hochlädst?

Hast Du auch den Quelltext des Compilers gelesen? Und womit hast Du den compiliert? Und woher weisst Du , dass der Rechner, auf dem der Compiler läuft, sauber ist?


Andy
23.3.2014 23:10
Kommentarlink

Ich kenn mich mit den versch. open source Lizenzen wenig aus. Gibt es keine Möglichkeit für Hersteller von Plasteroutern sich die relevanten Teile einer stabilen linuxoiden Distribution für den Router rauszupicken und in ein kommerzielles Produkt zu verpacken? Also den tcp/ip stack, iptables, n webserver daemon usw?

Ich denke aus einer geänderten Lizenzierung für diese Teile würden alle Nutzen ziehen, auch wenn es einigen OS-Verfechtern sauer aufstossen wird das ein kapitalisitischer Unternehmen halt Kohle mit den Erzeugnissen anderer macht, Aber letztlich wäre IMO der Gewinn für alle, also die netizens, so höher. Jeder angreifbare Router ist ein Gewinn für Botnetzbetreiber, für lauschende Agenturen und Dienste, usw.

Also warum keine neue Lizenz schaffen damit Asus, Netgear usw einen hochstabilen Router-OS Kern bekommen? Das OS kein Allheilmittel ist klar. Aber eine bekannte Distribution, da kann man doch davon ausgehen das etliche Entwickler Augen auf dem Code hatten. Idealerweise könnten die Unternehmen die das nutzen auch den Trend umkehren der dazu führt das exploits auf den 0daymarket verhökert werden. Indem sie halt mehr bieten und somit ein Feedback von der Industrie in das OS Lager kommt.


Phil
24.3.2014 10:17
Kommentarlink

@Andy du kannst die BSD Lizenzen verwenden, wenn Code auch kommerziell genutzt werden soll. Alternativ geht weitestgehend auch die Apache Lizenz, sowie alle abgeleiteten Lizenzen.
Für Hersteller ist sicher auch die LGPL interessant.

Niemand verbietet dir mit GPL Software viel (“kapitalistisches”) Geld zu verdienen, siehe auch Redhat, Novel, etc. Selbst Microsoft verdient an einigen GPL Produkten mit.

Allerdings sollte (IMHO) auch nur dann Geld gezahlt werden, wenn tatsächlich gearbeitet wird, also für Programmierung und Support und nicht – wie bei Künstlern – ein ganzen Leben lang für einen kurzen verkifften Moment.

Es gibt übrigens viele Router und andere Netzwerkkomponenten, welche auf den BSD Kernel basieren, andere basieren auf Linux. Das löst jedoch keine Probleme, weil immer noch derjenige, welcher die Firmware backt, darauf achten muss, dass alles zusammen passt und das keine versehentlichen (oder absichtlichen) Lücken eingebaut werden.
Außerdem Routen richtige Router in Hardware und nicht in Software. Insofern ist der Softwareteil eher irrelevant im Bezug auf Backdoors.
Und in Hardware lassen sich noch viel einfacher Backdoors implementieren als in Software. Die Rate der zufälligen Entdeckungen von Hardwarebackdoors dürfte auch gegen Null gehen – zumindest habe ich noch nicht viel davon gehört.
Siehe auch: http://media.ccc.de/browse/congress/2013/30C3_-_5443_-_en_-_saal_g_-_201312281830_-_introduction_to_processor_design_-_byterazor.html


Thomas Bliesener
24.3.2014 15:38
Kommentarlink

@Hadmut: Ok, ich bin nicht paranoid genug (es fehlt noch: arbeitet die Hardware wie dokumentiert?) und ziehe mich auf die Position zurück: man kann es einem Angriefer zumindest schwer machen. 🙁


Thomas Bliesener
24.3.2014 15:49
Kommentarlink

@Andy: Viele Hersteller machen das schon, und wenn es eine OS-Lizenz ist, ist das auch von dieser gedeckt. Auch Netgear macht dies:
http://kb.netgear.com/app/answers/detail/a_id/2649/kw/source%20code

Es stößt auch keinem ernsthaften OS-Verfechter auf, wenn ein Unternehmen damit Geld verdient, im Gegenteil. “Open Source” ist schließlich ein Begriff, der extra für die Wirtschaft erfunden wurde, um sie nicht mit “Freie Software” abzuschrecken.

Was sauer aufstößt, ist nicht das Geldverdienen, sondern das sind häufige Lizenzverstöße: http://gpl-violations.org/


wie bei BSD
24.3.2014 19:57
Kommentarlink

Ist das Problem denn Open- oder Closed Source? Kommt das nicht aufs selbe raus? Man weiß doch dass die NSA Programmierer mit Hintertüren einschleust, egal ob Open- oder Closed Source.


Phil
24.3.2014 20:55
Kommentarlink

@wie bei BSD

Wer sich direkt mit der NSA anlegt hat eh kaum ein Chance. Ansonsten hängt die Sicherheit des Codes immer von dem Programmierer und den Reviewern ab.
Viele OpenSource Projekte reviewen besser als manch kommerzielle Software. Wird jedoch kommerzielle Software wirklich reviewed, dann ist sie genauso gut wie OS Software, manchmal sogar besser.

Der Vorteil von OS liegt eher in der besseren Dokumentation (eh, der Quelltext liegt ja vor) und der etwas einfacheren Anpassbarkeit. Sofern Anpassungen überhaupt gewünscht sind.


wie bei BSD
26.3.2014 19:19
Kommentarlink

Aber selbst wenn die Programmierer nicht für die NSA arbeiten oder den Reviewern das auffällt, also gegenteilig wie bisher, hätt eman immer noch das Problem dass die NSA inzwischen die Build-Systeme infiziert.