|
|
Backdoor
|
|
|
“Als Backdoor (auch Trapdoor, selten Hintertür) bezeichnet man einen (oft vom Autor eingebauten) Teil eines Computerprogrammes, der es Benutzern ermöglicht, unter Umgehung der normalen Zugriffssicherung Zugang zum Computer (oder einem Computerprogramm) zu erlangen.
Eine Variante besteht darin, in einem System fest vorgegebene, nur dem Ersteller des Systems bekannte Passwörter oder andere versteckte Funktionen, die ein Login ohne die sonst übliche Authentifizierung ermöglichen, einzubauen. Bekanntes Beispiel hierfür ist wohl das von Award Software über mehrere Jahre vergebene BIOS-Universalpasswort „lkwpeter“. Publikumswirksam demonstriert wurde der Einsatz einer Hintertür auch im Kinofilm Jurassic Park.
Als ein Vorteil quelloffener Software wird deshalb von der Open-Source-Bewegung oft angeführt, dass der Quelltext eines potenziell schädlichen Programms nach derartigen Hintertüren leicht von jedem selbst durchsucht werden könnte. Im Gegensatz dazu seien proprietäre Anwendungen nicht für jedermann einsehbar.
Auch findet der Begriff Backdoor Anwendung als Bezeichnung für z. B. durch Trojaner nachträglich installierte Programmpakete, die Benutzern über das Internet Zugriff auf Computersysteme gewähren. Hierzu zählen z. B. Programme wie Sub Seven und Back Orifice.”
Originalartikel: Wikipedia > Backdoor (2007-01-05)
|
|
|
Verschlüsselungsstandard unter Backdoor-Verdacht
Der Krypto-Guru Bruce Schneier wies in seiner Kolumne für Wired auf eine mögliche Backdoor in einem neuen US-Standard zur Erzeugung von Zufallszahlen hin. Einer der vier in dem Dokument "Special Publication 800-90" (PDF-Datei) des National Institute for Standards und Technology (NIST) veröffentlichten Zufallszahlengeneratoren – Dual_EC_DRBG – weiche auffällig von den anderen ab.
Auf der Konferenz Crypto 2007 hatten Nils Ferguson und Dan Shumow eine Schwäche des Generators (PDF-Datei) beschrieben, die laut Schneier als "Backdoor" einzustufen sei: Der in Dual_EC_DRBG verwendete Algorithmus beruhe auf elliptischen Kurven, die durch eine Reihe von Konstanten beschrieben würde. Diese Konstanten seien zwar im Anhang des NIST-Dokuments aufgeführt, aber nicht näher erläutert, wie sie zustande kämen. Ferguson und Shumow zeigten, dass diese Konstanten in Bezug zu einem nicht bekannten zweiten Satz von Zahlen stehen müssten. Verfügt jemand über diesen zweiten Satz, könne er ihn mit verhältnismäßig wenig Aufwand als eine Art Generalschlüssel verwenden.
Ferguson und Shumow unterstellten dabei ausdrücklich nicht, dass der Autor des Algorithmus sich der Schwachstelle bewusst gewesen sei oder gar "NIST absichtlich eine Backdoor in den Generator eingebaut" habe. Es ist nach Schneiers Darstellung auch nicht bekannt, ob NSA oder NIST über den zweiten Zahlensatz verfügen. Auch sei es möglich, Dual_EC_DRBG in einer Weise zu implementieren, dass das Backdoor-Problem nicht mehr besteht. Dies ist auch im NIST-Dokument als optionale Methode beschrieben.
Schneier stellt allerdings die Frage, warum sich der US-Geheimdienst NSA mit Nachdruck für die Aufnahme von Dual_EC_DRBG in den Standard eingesetzt habe, obwohl das seiner Meinung nach in mehrfacher Hinsicht keinen Sinn ergebe. Unter anderem sei der Zufallszahlengenerator um mehrere Größenordnungen langsamer als die anderen drei zur Wahl stehenden. Der Experte empfiehlt, von der Verwendung von Dual_EC_DRBG abzusehen und stattdessen CTR_DRBG oder Hash_DRBG einzusetzen. (pem/Telepolis).
Original-News: Heise (2007-01-05)
|
|
|
Trau keinem Algorithmus den du nicht selbst entwickelt hast!
Noyx, noyx@chello.at (mehr als 1000 Beiträge seit 01.12.04)
Ich hab da ein kleines Verständnisproblem => Kann nicht _jeder_ 'öffentliche' Algorithmus mit entsprechender Zeit oder heute eher Rechenpower wieder entschlüsselt werden?
Unter 'öffentlich' verstehe ich => Ich habe den Status vor der Verschlüsselung, den Status nach der Verschlüsselung und demnach irgendwann den zugrundeliegenden Algorithmus.
Was hindert nun jemanden daran den Schlüssel 'zurückzurechnen'?
Irgendwann ist doch alles nur mehr aus Nullen oder Einsen?!
Ich meine nicht, dass jetzt drei Versuche reichen alles zu entschlüsseln, aber wenn ich mir ansehe, welch Rechenpower manch eine Institution hat, ist es doch ein Farce, oder?
Original-Kommentar: Heise (2007-01-05)
|
|
|
FBI schleust Trojaner zur Online-Durchsuchung ein
Von Britta Widmann ZDNet mit Material von pte 19. Juli 2007, 13:58 Uhr
Antiviren-Hersteller werden verdächtigt, mit Behörden zusammenzuarbeiten
Hierzulande ist die heimliche Online-Durchsuchung noch umstritten, in den USA wird sie bereits praktiziert. Wie jetzt in einem konkreten Fall bekannt wurde, schleust das FBI eigens entwickelte Trojaner auf Computer strafverdächtiger Personen ein. Ein richterlicher Durchsuchungsbefehl, der den Eingriff auf dem Computer eines amerikanischen Schülers genehmigte, ist nun an die Öffentlichkeit gelangt. Das FBI schleuste die Spyware auf dem PC des jungen Mannes ein, nachdem er mehrere Bombendrohungen über die Kommunikationsplattform Myspace verschickt hatte.
Die vom FBI eingesetzte Spyware namens Cipav (Computer and Internet Protocol Address Verifier) durfte dem richterlichen Beschluss zufolge nur die IP-Adresse des Anwenders sowie eine Liste über die laufenden Programme, Benutzerinfos aus Registry-Einträgen und aufgespürte Seriennummern von installierter Hard- und Software übermitteln. Da zu diesem Zweck aber die gesamte Festplatte durchsucht werden muss, gilt als wahrscheinlich, dass die Spyware technisch auch in der Lage ist, Informationen über Dokumenteninhalte und Online-Kommunikationsvorgänge an die Ermittler weiterzuleiten.
Ebenfalls unklar ist die Frage, wie die FBI-Spyware es schaffte, sich an installierter Firewall und Antivirenprogrammen vorbeizuschleusen.
In diesem Zusammenhang geraten zunehmend auch etablierte Antiviren-Hersteller unter Verdacht, mit den Behörden für derartige Geheimmissionen zusammenzuarbeiten.
Werden die Signatur-Datenbanken auf das Auftauchen eines derartigen Spyware-Programmes "vorbereitet", würde die Spyware auf dem Computer unentdeckt bleiben. Bisher haben aber alle etablierten Security-Anbieter offiziell stets versichert, dass auch für Behörden keine Ausnahmen gemacht werden.
Original-News: ZDNet
|
|
|
