[Backdoor Memos... ]

[Textaris(txt*bot)]

[...] Backdoor (auch Trapdoor oder Hintertür) bezeichnet einen (oft vom Autor eingebauten) Teil einer Software, der es Benutzern ermöglicht, unter Umgehung der normalen Zugriffssicherung Zugang zum Computer oder einer sonst geschützten Funktion eines Computerprogramms zu erlangen.

...

http://de.wikipedia.org/wiki/Backdoor (7. Dezember 2010)


-.-

[...] A Perfect Spy? It seems that ZoneAlarm Security Suite has been phoning home, even when told not to. Last fall, InfoWorld Senior Contributing Editor James Borck discovered ZA 6.0 was surreptitiously sending encrypted data back to four different servers, despite disabling all of the suite’s communications options. Zone Labs denied the flaw for nearly two months, then eventually chalked it up to a “bug” in the software -- even though instructions to contact the servers were set out in the program’s XML code. A company spokesmodel says a fix for the flaw will be coming soon and worried users can get around the bug by modifying their Host file settings. However, there’s no truth to the rumor that the NSA used ZoneAlarm to spy on U.S. citizens.

From: " ZoneAlarm phones home, Apple throws Intel a bone - Does crabby columnist deserve a raise, or is he just being shellfish?" - By Robert X. Cringely® (January 13, 2006)
Quelle: http://www.infoworld.com/article/06/01/13/73792_03OPcringley_1.html

-.-

[...] Eine der beliebtesten Firewalls ist ZoneAlarm. Die Freeware-Version bietet Privatanwendern einen effizienten Schutz und ist zudem einfach zu bedienen. Die Firewall überwacht permanent die Internet-Verbindung und warnt, wenn ein nicht autorisiertes Programm darauf zugreifen will. Erst nach erfolgter Bestätigung durch den Anwender wird der Zugriff frei gegeben. Integriert ist auch eine Funktion zur sofortigen Blockierung aller Internet-Verbindungen von Programmen. Darüber hinaus bietet die kostenpflichtige erweiterte Version ZoneAlarm Pro einen wirkungsvollen Schutz von persönlichen Daten wie Kennwörter, PINs und Kreditkartennummern. Der Anwender wird gewarnt und kann die Übertragung blockieren, wenn persönliche Informationen den Computer über das Internet oder per E-Mail verlassen.

Aus: "Spionage und Hacker-Attacken abwehren mit Firewalls" (Jason's Weekly 322 vom 18.12.2003)
Quelle: http://www.zdnet.de/downloads/weekly/16/weekly_322-wc.html

-.-

[...] Die verbreitete Firewall ZoneAlarm, mittlerweile in israelischem Besitz, verschickt verschlüsselte Daten an ihren Hersteller. Der bekannte IT-Kolumnist Robert X. Cringely verbreitet derzeit Informationen über Unstimmigkeiten der verbreiteten Desktop-Firewall ZoneLabs. Diese würde, zumindest in der Pro-Version, verschlüsselte Daten an die Hersteller-Webadresse senden. Eine Sprecherin des Unternehmens dementierte diese Gerüchte: es handle sich um einen Software-Bug, der in Kürze behoben würde.

...

Aus: "Firewall unter Spionageverdacht" (23.01.2006)
Quelle: http://www.gmx.net/de/themen/computer/hightech/software/1832204,cc=000000149100018322041YLVyc.html

[Textaris(txt*bot)]

[...] Der OpenBSD-Gründer Theo de Raadt weist in einer Mail auf eine mögliche Hintertür in der Implementierung des IPSec-Stacks zum Aufbau von VPNs hin. Da weitere Open-Source-Projekte den Code übernommen haben, könnte die Hintertür dort ebenfalls enthalten sein. Die Hintertür soll in den Jahren 2000 bis 2001 Eingang in den Code gefunden haben, als OpenBSD-Entwickler im Auftrag der US-Regierung den Code manipuliert haben sollen.

In einer von de Raadt beigefügten Mail des Softwareentwicklers und nach eigenen Angaben ehemaligen OpenBSD-Contributors Gregory Perry wird namentlich der Entwickler Jason Wright als Beteiligter erwähnt. Wright ist beziehungsweise war einer der führenden Köpfe von OpenBSD.

Die Vorwürfe wiegen schwer, de Raadt hatte nach eigenen Angaben seit über zehn Jahren keinen Kontakt mehr mit Perry und stellt deshalb die Mail von Perry öffentlich zur Diskussion – auch um nach eigener Aussage nicht Teil dieser Verschwörungstheorie zu werden. De Raadt weist auch darauf hin, dass in den vergangenen zehn Jahren der betroffene Code mehrfach gepatcht, überarbeitet und neu geschrieben wurde. Daher ließe sich schwer einschätzen, ob die Hintertür überhaupt noch vorhanden sei.

Perry hat sich nach eigener Aussage erst jetzt an den OpenBSD-Gründer gewandt, weil seine Verschwiegenheitsvereinbarung mit dem FBI nach zehn Jahren ausgelaufen sei. Als Mitarbeiter des Unternehmens Netsec haben er damals eine FBI-Abteilung beraten, die sich unter anderem mit dem Einbau von Hintertüren und Key-Recovery (Key Escrow) in Smartcards beschäftigt habe. Daher wisse er, dass das FBI seinerzeit erfolgeich mehrere Hintertürchen und Möglichkeiten für Seitenkanal-Angriffe im OpenBSD Crypto Framework (OCF) platziert habe.

Laut Perry sei dies auch der Grund für den urplötzlichen Förderstopp des US-Verteidigungsministeriums für das OpenBSD-Projekt Anfang 2003 gewesen. Die DARPA hätte Wind von den Backdoors bekommen und deshalb weitere Finanzierungen eingestellt. Perry holt aber noch weiter aus: Auch der Virtualisierungsspezialist Scott Lowe soll auf der Gehaltsliste des FBI stehen. Dieser propagiere derzeit die Implementierung von OpenBSD für VPN- und Firewall-Lösungen in virtuellen Umgebungen.

Ob IPSec in OpenBSD nun wirklich noch eine Hintertür enthält, müssen Code-Reviews zeigen. Auch andere Projekte, die OpenBSD-Code verwenden, müssen ihren Code kontrollieren. Andere IPSec-Implementierungen wie KAME, das seine Wurzeln in Japan hat, dürften vermutlich nicht betroffen sein – es sei denn, es hätte einen siginifikanten Codeaustausch zwischen den Projekten gegeben. KAME ist Bestandteil von Mac OS X, NetBSD und FreeBSD – aber ab Version 2.7 auch in OpenBSD zu finden. Daneben gibt es noch strongSwan; Linux enthält die eigene Netkey-Implementierung im Kernel, unterstützt aber auch andere Lösungen. (dab)

15. Dezember 2010 21:25
Wie gut, daß man einen Code Review machen kann.
lizzarddude

Unabhängig, ohne Geldkoffer und von Leuten, die was vom Code
verstehen. Am Schluss werden die FBI-Kollaborateure enttarnt und vom
Projekt ausgeschlossen.

Danke OSS.

Aus: "FBI-Backdoor in IPSec-Implementierung von OpenBSD?" (15.12.2010)
Quelle: http://www.heise.de/newsticker/meldung/FBI-Backdoor-in-IPSec-Implementierung-von-OpenBSD-1153180.html

[Textaris(txt*bot)]

[...] Der indische Hacker Atul Alex hat sich an der Firmware für Symbian-S60-Smartphones zu schaffen gemacht und ihr eine Hintertür eingepflanzt. Er modifizierte die Version 5 der Original-Software – die beispielsweise auf Geräten läuft wie Nokia 5800, Nokia X6, Nokia 5530XM, Sony Ericsson Satio oder Sony Ericsson Vivaz – und integrierte eine Backdoor in Form einer Reverse Shell, inklusive Unterstützung für Perl-Skripte. Damit lassen sich alle Funktionen der Smartphones aus der Ferne steuern, inklusive der Kamera. Die Backdoor selbst hat Alex in Python geschrieben. Der Hacker will die Firmware in Kürze kostenlos zum Download bereit stellen.

Zur Installation der modifizierten Betriebssoftware muss ein Angreifer ein Smartphone jedoch für einige Minuten in die Hände bekommen und etwa per USB-Kabel mit einem Rechner verbinden. Einmal installiert, meldet sich die Backdoor beim Angreifer per Funkschnittstellen und überträgt die aktuelle IP-Adresse des Geräts. Die Shell lauscht auf Port 5530 und beherrscht Funktionen wie netcat, mkdir oder wget. Sie soll zudem die Over-the-Air-Installation von weiteren Anwendungen beherrschen.

Außerdem bringt die Backdoor noch Optionen mit zum Auslesen der E-Mail-, Telefonlisten- und SMS-Speicher, zum Anfertigen von Screenshots oder Fotografieren mit der integrierten Digitalkamera des Smartphones oder zum Mitschneiden von Telefonaten. Übertragen werden die geklauten Daten per GPRS/UMTS oder WLAN auf einen Fileserver des Angreifers.

Gegenüber heise Security erklärte Atul Alex, dass er eine eigens entwickelte Technik verwendet, um den Backdoor-Prozess vor dem systemeigenen Taskmanager der Geräte zu verstecken. Taskmanager von Drittanbietern sind laut Alex zwar prinzipiell in der Lage, den Prozess anzuzeigen. Da er aber auf Ebene des Systems läuft, gibt es keine Möglichkeit, den Task zu beenden. Entfernen lässt sich das Einfallstor laut Alex nur durch ein Überschreiben der Firmware mit der Originalsoftware von Symbian.


(Uli Ries) / (dab)

Aus: "Hacker pflanzt Backdoor in Symbian-Firmware" (08.12.2010)
Quelle: http://www.heise.de/newsticker/meldung/Hacker-pflanzt-Backdoor-in-Symbian-Firmware-1149741.html

[Textaris(txt*bot)]

[...] Unbekannte sind in den Projektserver des quelloffenen FTP-Servers ProFTPD eingedrungen und haben eine Backdoor im Programmcode versteckt. Durch die platzierte Hintertür erhalten die Angreifer vollen Zugriff auf Systeme, auf denen die modifizierte Version des Servers installiert wurde. Um den Tätern die Installation der verseuchten Version zu melden, kontaktiert der Server eine IP aus dem saudi-arabischen Raum. Nach Eingabe des Befehls "HELP ACIDBITCHEZ" präsentiert der kompromittierte Server seinem Gegenüber eine Root-Shell.

Pikanterweise nutzten die Täter für ihren Einbruch eine Zero-Day-Lücke in ProFTPD, das die Entwickler selbst für die Bereitstellungen der Quellen nutzten. Der Einbruch hat am 28. November stattgefunden und wurde am 1. Dezember entdeckt. Kurz darauf haben die Entwickler die Änderungen rückgängig gemacht. Da es sich um den Hauptserver des Projekts handelt, der über rsync auch die Mirrors speist, wurde der verseuchte Code vermutlich noch bis einschließlich heute auch über die offiziellen Spiegelserver ausgeliefert.

Ob man eine verseuchte Version des Quellcodes heruntergeladen hat, kann man anhand der MD5-Hashes und PGP-Signaturen feststellen. Zu der für den Einbruch auf den Projektserver genutzten Lücke haben die Entwickler unterdessen keine Angaben gemacht. Möglicherweise haben die Eindringlinge die nach wie vor ungepatchte Sicherheitslücke im SQL-Modul genutzt, auf die das Hackermagazin Phrack Mitte November aufmerksam gemacht hat. (rei)

Aus: "Backdoor in FTP-Server ProFTPD" (02.12.2010)
Quelle: http://www.heise.de/newsticker/meldung/Backdoor-in-FTP-Server-ProFTPD-1146211.html

[Textaris(txt*bot)]

[....] Analysen des Crypto- und IPSec-Codes von OpenBSD haben bislang keine Hinweise geliefert, dass das System Backdoors zum Belauschen verschlüsselter VPN-Verbindungen enthält. Die OpenBSD-Entwickler hatten die Analysen begonnen, um Vorwürfe von Gregory Perry, ehemals Technik-Chef des Krypto-Herstellers Netsec, zu prüfen. Perry hatte in einer Mail an den OpenBSD-Gründer Theo de Raadt die Entwickler Jason Wright und andere beschuldigt, Hintertüren in den IPSec-Stack eingebaut zu haben. De Raadt hatte Perrys Mail veröffentlicht und die Vorwürfe zur Diskussion gestellt.

In einer weiteren Mail schreibt de Raadt nun, dass Netsec zwar offenbar für das FBI Hintertüren programmiert habe, dieser als "Spende" verteilte Code es nach seiner Ansicht aber nicht in den OpenBSD-Code geschafft habe. De Raadts Mail versucht zudem die Rolle der beschuldigten Entwickler Jason Wright und Angelos Keromytis zu klären. Beide sollen für Netsec gearbeitet haben, [Update]wobei de Raadt nach eigenen Angaben bislang nicht bekannt war, dass das Unternehmen für das FBI tätig war. [/Update]

Anhand der Revisionsverwaltung lässt sich im Nachhinein aber feststellen, welcher Entwickler an welchen Codeteilen gearbeitet hat. Demnach hat Wright hauptsächlich Treiber programmiert und mit dem OpenBSD Crypto Framework (OCF) nichts zu tun gehabt. Allerdings habe er an Teilen des IPSec-Stacks gearbeitet. Wright selbst hat die Vorwürfe, Hintertüren in den OpenBSD-Code eingebaut zu haben, in einer Mail bestritten. De Raadt beklagt allerdings, dass Wright selbst keine Stellung zu seiner Arbeit bei Netsec bezieht.

Statt Wright gerät jetzt offenbar mehr Angelos Keromytis in den Mittelpunkt des Interesses, der laut de Raadt quasi der Architekt und führende Entwickler des IPSec-Stack von OpenBSD war. Keromytis soll aber erst später bei Netsec angeheuert haben. Während dieser Zeit habe das Konzept unsicherer Initalisierungsvektoren Eingang in den OpenBSD-Code gefunden, das später aber wieder entfernt wurde. Kurz darauf wurden jedoch Padding-Oracle-Schwachstellen bekannt, mit der sich verschlüsselte Daten ohne Kenntnis eines Schlüssels entschlüsseln lassen. Die Schwachstelle wurde seinerzeit zumindest im Crypto-Layer beseitigt.

Bei den aktuellen Audits hat man aber laut de Raadt zwei Bugs gefunden. So sei die (CBC-)Padding-Oracle-Schwachstelle in Zusammenhang mit Initalisierungsvektoren offenbar nicht in den Netzwerktreibern beseitigt worden, man gehe aber von einem Versehen aus. Der andere Fehler betrifft eine Anweisung in einem Hardwaretreiber. Daneben erwähnt de Raadt ein Problem im Subsystem zur Zufallszahlenerzeugung, auf das er jedoch nicht näher eingeht.

De Raadts Aussagen dürften zwar Anhänger von OpenBSD und darauf aufbauender Projekte zunächst beruhigen, von einer Entwarnung kann jedoch noch keine Rede sein. Weiterhin gibt es zu viele Ungereimtheiten. Ob sich zudem durch wenige Tage Codereview geschickt eingebaute Hintertüren entdecken lassen, ist fraglich. Eine wie zuletzt im Quellcode von ProFTPD eingebaute Backdoor mit dem auffälligen Passwort "HELP ACIDBITCHEZ" (sic!) dürfte bei FBI-gesteuerten Manipulationen kaum Einsatz finden.

Wie gut sich Schadcode verstecken lässt, zeigt der Underhanded C Contest aus 2008 sehr anschaulich: Dort galt es, eine Bilddatei zu manipulieren, ohne dass dies auch bei genauer Betrachtung des Quellcodes zu entdecken ist. Der Code des Gewinners, Mr. Meacham, war so gut, dass nicht einmal die Veranstalter des Wettbewerbs schlüssig beschreiben konnten, wie er arbeitet – der Entwickler musste die Erklärung später selbst in seinem Blog liefern.

Selbst wenn sich letztlich bestätigt, dass OpenBSD frei von Nachschlüsseln und Hintertüren ist, bleibt ein schaler Nachgeschmack: Bei wievielen anderen Open-Source- und Closed-Source-Projekten waren staatliche Stellen mit ihren Manipulationen erfolgreich? (dab)

Aus: "OpenBSD: Audits liefern keine Anzeichen für Backdoors [Update]" (23.12.2010)
Quelle: http://www.heise.de/newsticker/meldung/OpenBSD-Audits-liefern-keine-Anzeichen-fuer-Backdoors-Update-1158501.html