Anonym im Netz Schütze Deine Identität
  • facebook

Äh … ja … nee, is’ klar: Die NSA veröffentlicht ein Tool zum Härten der Systemsicherheit. Hatte da etwa Der Postillon die Finger im Spiel? Ich musste so lachen „smile“-Emoticon (vza) #nsa #systemsicherheit
P.S.: So etwas gehört tatsächlich schon lange zu den Aufgaben der NSA, aber wer nimmt denen das noch ab? Da es Open Source ist, lassen sich wenigstens keine Hintertüren darin verstecken.

heise.de

Mit SIMP hat die NSA einen Betriebssystem-Aufsatz zum Härten von RHEL und CentOS entwickelt, den sie nun unter der Apache-Lizenz freigibt.
link

NSA veröffentlicht Automatisierungstool zur Systemsicherheit
Bewerten Sie diesen Beitrag

Comments (7)

  1. Alexander Schestag said on 16-07-2015

    Daniel Neumann da hast du sicher Recht. Aber in der Praxis nützt uns das faktisch nicht. Für OpenSSL sind jetzt die Reviews gesichert – ausgerechnet durch eine Großspende von Facebook. Aber dennoch besteht hier ein grundsätzliches strukturelles Problem. Und von Heartbleed und ähnlichen Lücken in OpenSSL wissen wir mittlerweile, dass sie lange bekannt waren – in bestimmten Kreisen, die das natürlich auch nicht an die große Glocke gehängt haben, unter anderem bei den Diensten, die diese Lücken wahrscheinlich ausgenutzt haben. Das ist dasselbe Problem, das du für ClosedSource beschreibst, in grün. Ohne Code-Reviews, die faktisch nicht stattfinden, ist nichts gewonnen.

  2. Daniel Neumann said on 16-07-2015

    sehe ich anders. firmen werden immer mit Diensten kooperieren einfach weil sie durch die tatsache das es ihr lebensunterhalt ist erpressbar sind. bei blackbox software kannst du eben zu keinem zeitpunkt sicher sein, das dort keine hintertür drin ist, egal wie oft es reviews gab.
    auch bei großer blackbox software wo milliarden drinstecken und ständig verbessert und geupdated wird ist nicht gesagt das es sicher ist.
    Sicherheitslücken die von dritten gefunden werden, werden meist von den betreffenden firmen gekauft und versucht dies möglichst klein zu halten.

    Bei opensource hingegen stimmt was du sagst, so lange kein review stattgefunden hat, kann man nicht sicher sein. wenn jedoch eins stattgefunden hat ist es immer sicherer als blackbox software, weil oben genanntes eben nicht auf opensource übertragbar ist.

    Man stelle sich mal vor openssl wäre blackbox software, denkste denn im ernst dann wäre diese Lücke an die große Glocke gehangen worden? Nein sie wäre entweder an die firma selbst oder an irgend nen geheimdienst verkloppt worden, so wie es überall anders auch der fall ist.

  3. Alexander Schestag said on 16-07-2015

    Daniel Neumann theoretisch ist OpenSource sicherer, praktisch NICHT! Diese Erkenntnis ist nach dem Heartbleed-Desaster schmerzlich gereift. Warum ist das so? Weil OpenSource nur dann sicherer ist, wenn es regelmäßige und professionelle Code-Reviews gibt. Und die fehlen bei den meisten und eben auch leider bei den meisten weit verbreiteten sicherheitsrelevanten OpenSource-Projekten. Sie existieren einfach nicht. Oder wie ruedi es in seinem sehr guten Vortrag “Kryptographie nach Snowden” auf dem 30C3 sinngemäß ausgedrückt hat: Es reicht nicht, dass eine Software quelloffen ist. Es muss auch jemand reinschauen. Und das passiert nicht. Und deswegen ist OpenSource in der Praxis genauso sicher oder unsicher wie ClosedSource. Die Ursache dafür sind fehlende finanzielle und personelle Ressourcen in den Projekten.

  4. Daniel Neumann said on 16-07-2015

    Nuja auch bei blackbox bzw. Firmen weiß man nicht in wie weit dort infiltriert wurde, und dort würde es eben nicht an die große Glocke gehangen bzw. schnell darauf reagiert. open source ist nach wie vor sicherer als alles andere, aber 100% sicherheit gibts nun mal nicht.

  5. Alexander Schestag said on 16-07-2015

    In Linux ist schon lange SELinux drin, das ebenfalls zum Härten dient, und auch das wurde von der NSA entwickelt.

  6. Gerrit Kupferfeld said on 15-07-2015

    Shellshock war ja auch gut in open sauce versteckt

  7. Daniel Neumann said on 15-07-2015

    >lassen sich wenigstens keine Hintertüren darin verstecken.
    bevor das nicht von ner milliarde leute gegengecheckt is würde ich das nich sagen.

Leave a Reply

Your email address will not be published.