Krautkanal.com

Veröffentlicht am 2015-08-30 13:30:15 in /prog/

/prog/ 7656: Sicherheit von Software

kuldarkalvik Avatar
kuldarkalvik:#7656

Wenn ich überlege, was bei unseren innerbetrieblichen Projekten mit wenigen Entwicklern manchmal für Fehler enthalten sind... bei quelloffenen Projekten, wo jeder Hinz und Kunz mitmachen kann, wird sicherlich so manch ein Käfer versteckt sein.

Sag mal, Bernd, wie wird so ein 'security audit' durchgeführt?

Bild verwandt: Wurde der Quellcode von TOR schonmal einer seriösen Sicherheitsüberprüfung unterzogen?

artcalvin Avatar
artcalvin:#7658

Die Situation bei so quelloffenen Dingern ist tatsächlich besser weil weniger Zeitdruck. So zumindest meine Erfahrung.
Sperrangelweitoffen ist natürlich beides.

orkuncaylar Avatar
orkuncaylar:#7673

Wenn man Kot an ein Quelloffenes Projekt übermittelt, so wird dieser für gewöhnlich nicht blind und gedankenlos rein kopiert und an die Distributionen verteilt.

Es gibt immer jemanden, der sich eingehende Patsche anschaut und sein Ok dazu gibt, ehe sie verwendet werden und dann meist auch einen Teil der Verantwortung dafür trägt.
Damit wird der Kot zumindest einmal gelesen und gewertet, was unter Umständen schon mehr ist, als bei einer Firma mit geschlossenen Quellen.

Was die Durchführung eines Sicherheitsaudits angeht, muss man erst mal um das Dröhnwort herum kommen und verstehen, was so eine Analyse alles beinhaltet und was sie überhaupt nützlich machen könnte. Wenn jemand zwei Stunden oder Wochen auf Kot starrt und dann einen lauten Kommentar abgibt, ist das ja überraschender Weise nicht automatisch fundiert oder so.
Das OfenBSD-team ist dafür bekannt so etwas regelmäßig durch zu führen, also könntest du dich dort mal umsehen und einlesen, aber das Thema ist sehr umfangreich.

Bezüglich Tor wird die Sache noch problematischer, die Entwicklung wird nämlich von der amerikanischen (wie auch der deutschen) Regierung finanziert(1) und beobachtet(2) und dieses Pack schiebt die schmutziken Finger ja gerne überall rein, was die Vertrauenswürdigkeit und damit den Nutzen einer Sicherheitsanalyse in Frage stellt.
1) https://www.torproject.org/about/sponsors.html
2) http://daserste.ndr.de/panorama/aktuell/nsa230_page-1.html

Und spätestens damit wird klar, warum die Frage zur Sicherheit von Tor dumm ist. Mal im ernst, wer würde schon auf die bescheuerte Idee kommen, dass man sich durch einen schnellen Daunload mit Geheimdiensten anlegen kann?
Aber was solls, Drogen und Kinderpornos (panem et circenses) sind für Bernd ja eh interessanter als Freiheit und also hat er auch nichts zu befürchten.

m4rio Avatar
m4rio:#7694

ITSec Bernd gibt jetzt auch mal seinen Senf dazu, da er mit Security Audits seine Brötchen verdient.

>>7656
>Sag mal, Bernd, wie wird so ein 'security audit' durchgeführt?
Ein Kunde heuert uns üblicherweise an wenn er sein eigenes Produkt testen möchte oder wenn er ein Produkt einer anderen Firma einsetzen möchte und wissen will worauf er sich da einlässt.
Wir bekommen dann eine Testumgebung vom Kunden in der wir uns austoben können. Je nach verwendeter Technologie wenden wir dann Netzwerksniffer, Decompiler, Ida Pro usw. an um dem Produkt auf den Zahn zu fühlen. Wenn wir ausnutzbare Schwachstellen finden entwickeln wir zu Demozwecken Proof of Concepts dazu. Das sind kleine Programme die die Schwachstelle ausnutzen. Zum Abschluss bekommt der Kunde einen Report mit allen Details (was war gut, was war schlecht, was konnte praktisch mittels Proof of Concept ausgenutzt werden) und Empfehlungen.

> Wurde der Quellcode von TOR schonmal einer seriösen Sicherheitsüberprüfung unterzogen?
Ja, vielen sogar. Es gibt jede Menge wissenschaftliche Arbeiten über TOR die sich mit der Sicherheit des TOR Netzwerks auseinandersetzen. Es gibt auch bekannte Schwachstellen, vor allem in Bezug auf Hidden Services, an denen derzeit gearbeitet wird.

> bei quelloffenen Projekten, wo jeder Hinz und Kunz mitmachen kann, wird sicherlich so manch ein Käfer versteckt sein.
Das kommt sehr auf das konkrete Projekt an, da gibt es gute und schlechte Beispiele. Es kann grundsätzlich jeder einen Patch submitten, aber ob der dann akzeptiert wird hängt von den Leitern des Projekts ab. Somit hängt die Codequalität stark von der Projektleitung ab.

>>7673
> Und spätestens damit wird klar, warum die Frage zur Sicherheit von Tor dumm ist.
Ach Bernd... Ja, TOR bekommt viel Geld von Staatlichen Behörden. Die wollen nämlich auch, dass ihre Mitarbeiter im Ausland auf die Sicherheit des Tor Netzwerks zurückgreifen können. Die Amerikanischen Behörden sind da per Definition in einer unpraktischen Lage, da z.B. die NSA die Aufgabe hat alle Daten abzuschnorcheln und gleichzeitig für Sicherheit der Amerikanischen IT-Landschaft zu sorgen. Diese Aufgaben widersprechen einander zumindest teilweise.
Alle bisherigen Hacks die irgendwie mit TOR zu tun hatten lassen nicht auf Schwachstellen im TOR Netzwerk schließen, es wurde bisher immer die Endpoint-Security zum Verhängnis, sprich es wurde nicht der Traffic über das TOR Netzwerk entschlüsselt, sondern die Software auf Client- oder Serverseite gehackt. (Mit wenigen Ausnahmen die sich auf wissenschaftliche Arbeiten im Bereich Hidden Services beschränken)