Vom FBI beauftragte Backdoors im Open BSD IPsec?

Vom FBI beauftragte Backdoors im Open BSD IPsec?
Im Betriebssystem des Open BSD Projekts wurden zwei Fehler entdeckt, die die Implementierung von IPsec beeinträchtigen. Dies kann zu signifikanten Sicherheitsmängeln in jeglicher Software führen, die die betroffenen Module verwendet. Der ehemalige CTO eines nicht mehr bestehenden IT-Unternehmens sagte aus, dass sein Unternehmen vom FBI dafür bezahlt wurde, eine Backdoor in der IPsec Implementierung von Open BSD zu schaffen. Dafür arbeiteten mehrere Mitarbeiter des Unternehmens mit am Code von Open BSD. Das Projekt behauptet jedoch, dass dieser Backdoor-Code nie in die endgültigen Module integriert wurde und demensprechend keine Sicherheitslücken entstehen konnten. Spezialisten, die in Verbindung mit dem Projekt stehen, behaupten, dass der betroffene Code nach der angeblichen Implementierung der Backdoor mehrfach überprüft wurde, und dass in diesen Kontrollen jede potentielle Sicherheitslücke gefunden und entfernt worden sei. Sie zeigen zudem auf, dass eine solche Backdoor äußerst komplex und schwer zu verwenden sei: Daher bestehe kein Risiko für Großangriffe. All dies eliminiert jedoch nicht das Risiko, dass ein Spezialist sie verwenden könnte, um auf die geheimen Daten eines Unternehmens zuzugreifen, das schadhafte Sicherheitssoftware verwendet. Der Vorfall zeigt, dass Open Source Projekte mit hoher Wahrscheinlichkeit von Personen infiltriert werden können, die eine Sicherheitslücke schaffen wollen. Und obwohl Open BSD dementiert, dass ihre Software fehlerhaften Code enthält, konnten die Vermutungen nie ganz wiederlegt werden.

IPsec meist in Industrien mit hohen Sicherheitsansprüchen
Die Verwendung von IPsec-basierender Sicherheitssoftware, die Open Source Code verwendet, bringt viele Risiken mit sich. Wie das Beispiel oben zeigt, sind sich Unternehmen, die sich auf die Sicherheitsversprechen ihrer Softwareprovider verlassen, dessen oft nicht bewusst. Das potenzielle Sicherheitsrisiko ist ein großes Problem, da IPsec normalerweise für feste site-to-site Verbindungen mit höchstem Sicherheitsbedarf verwendet wird. Dazu gehört beispielsweise die Verbindung einer Bankhauptstelle mit ihren Zweigstellen. Deswegen sollten sich Unternehmen mit hohen Sicherheitsansprüchen auf einen Sicherheitssoftware-Anbieter verlassen, der für jeden Anwendungsfall die besten Lösungen bereitstellt. Lösungen von HOB können nicht nur an alle Situationen angepasst werden, sondern wurden auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nach Common Criteria EAL4+ zertifiziert.

Maximale Datensicherheit mit IPsec Lösungen von HOB
HOB bietet IPsec Lösungen für jedes Unternehmensszenario. So ist der HOBLink VPN Anywhere Client ein rein softwarebasierter, universell einsetzbarer IPsec VPN Client, der für Anwender einen VPN Tunnel einrichtet. Er wurde speziell entwickelt, um über IPsec den sicheren Zugriff auf zentralisierte Unternehmensapplikationen und -daten zu ermöglichen. Der HOBLink VPN Anywhere Client kann zentral administriert werden. So können ihn Mitarbeiter einfach von einem Webserver auf ihre Windows-Geräte herunterladen oder von einem externen Gerät wie einem USB-Stick kopieren, beziehungsweise direkt starten. Dieses installationsfreie Vorgehen hat auch den Vorteil, dass Mitarbeiter keine Administratorrechte benötigen. Die Verbindung kann hergestellt werden, egal welches VPN Gateway im Unternehmen verwendet wird. Dank NAT-T, NAT keepalive und UDP Kapselung können IPsec Verbindungen über jeden Router, Firewall oder WLAN Hotspot hergestellt werden. Alle Datenkommunikation ist durch die Verwendung von IPsec und IKE/ISAKMP Standards sowie durch starke Verschlüsselung und Authentifizierung geschützt.
Mit dem HOBLink VPN Gateway liefert HOB auch ein sicheres VPN Gateway, das sowohl die die Flexibilität eines Unternehmens steigert als auch seine Kommunikation über das Internet absichert. Die Hauptbestandteile IPsec VPN, NAT und starke Authentisierung sorgen für eine sichere Anbindung aller Standorte und Clients an die zentrale Unternehmensinfrastruktur. Das Gateway gewährleistet den Schutz der gesamten Datenkommunikation eines Unternehmens gemäß der IPsec und IKE/ISAKMP (RFC 2401-ff) Standards. Der integrierte Zertifikat Manager ermöglicht die umfassende Unterstützung digitaler Zertifikate und einer PKI. Lokale und browserbasierte Konfiguration erlauben höchste Flexibilität. Da das HOBLink VPN Gateway wie alle HOB Produkte eine reine Softwarelösung ist, ist es problemlos skalierbar und lässt sich jeder Geschäftssituation anpassen.

HOB GmbH & Co. KG ist ein mittelständisches deutsches Unternehmen, das mehrfach prämierte Software-Lösungen entwickelt und weltweit vermarktet. Die Kernkompetenzen des 1964 gegründeten und erfolgreichen Unternehmens umfassen Server-based Computing, sicheren Remote-Access sowie VoIP und Virtualisierung. HOB Produkte sind durch das BSI (Bundesamt für Sicherheit in der Informationstechnik) nach Common Criteria EAL4+ zertifiziert. HOB erhielt das Qualitätszeichen \“IT Security Made in Germany\“ für seine Remote Access Lösungen.

Kontakt
HOB GmbH & Co. KG
Tobias Eichenseer
Schwadermühlstrasse 3
90556 Cadolzburg
091037153289
tobias.eichenseer@hob.de
http://www.hob.de