News Mozillas CTO fordert Prüfsystem für Firefox

[fethomm]

Brendan Eich, Technikchef und Andreas Gal, Chef der Entwicklungsabteilung bei Mozilla werfen in einem Blogeintrag die Frage auf, wie vertrauenswürdig Browser im Angesicht der NSA-Enthüllungen heute noch sind. Als Beispiel greifen sie den Fall von Lavabit auf, in dem die NSA rechtmäßig die SSL-Masterkeys eingefordert hatte.

Zur News: Mozillas CTO fordert Prüfsystem für Firefox

 

[RagingBlast]

LavaBit war ja amerikanisch. Was passiert denn, wenn ich auf den .to-Inseln mein Geschäft dann anmelde?

 

[Balduin88]

klingt ein wenig so nach dem motto :
wir dürfen ja nicht drüber reden das bei uns ne hintertür im firefox steckt , aber schaut doch mal nach

 

[highks]

Ich dachte eigentlich, dass bei Open Source Software sowieso die Community immer über den Code schaut - weshalb muss man das extra fordern?

@RagingBlast, also die beiden Jungs von TOR haben neulich auf der 30C3 gesagt, dass sie den Behörden mehr oder weniger den Mittelfinger gezeigt haben, weil sie kein Unternehmen sind, sondern ein Non-Profit.
Von daher sollte ein Unternehmen mit Sitz in Tuvalu auch nicht verpflichtet sein - aber mach das erst mal juristisch wasserdicht! Wenn du, sagen wir mal US Staatsbürger bist, und in den USA von deinem Computer aus irgend eine Software oder einen Dienst anbietest - die lassen dich das nicht einfach so virtuell auf die Kayman Inseln verlegen, da haben die Behörden schon rein steurlich was dagegen!
Ich denke also, ein ernsthaftes, nicht betrügerisches, Unternehmen im fernen Ausland zu betreiben, ohne dass du selbst auch wirklich im Ausland bist, dürfte schwierig werden.

@Balduin88, ich denke nicht, dass sie das so gemeint haben. Aber die Gefahr besteht natürlich tatsächlich, das ist keine paranoide Wahnvorstellung mehr, sondern absolut die Realität. Ich denke, eine Anfrage (oder zwei) werden sie bei Mozilla bestimmt schon bekommen haben (s. mein Hinweis auf das TOR Projekt oben, die haben eine solche "Anfrage" bekommen. Und zwar nach dem Motto: ihr müsst das tun, sonst seid ihr keine guten Amerikaner, und ihr seid auch gesetzlich verpflichtet. Worauf von TOR wie gesagt der Mittelfinger kam, weil sie kein Unternehmen sind)
Deshalb wäre es schon angebracht, sich Methoden einfallen zu lassen, wie man solche Hintertüren zumindest bei Open Source Software schnell und verlässlich aufdecken könnte.

 

[Hot Dog]

Sehr schick, freut mich!
Ich weiß, warum ich beim Firefox und Thunderbird bleibe

 

[etking]

Wenn der CTO das fordert, dann wohl nicht ohne Grund. Außerdem mag der Browser ja sicher sein, alle besuchten URLs des Safebrowsing-Features, sowie die Cloud-Funktionen und -Schlüssel der Bookmark- und Passwortsync-Funktion landen aber mit 99,9% Sicherheit trotzdem bei der NSA, wenn dort Leute sogar WoW zocken um die Chatkommunikation abzufangen. Ein Audit des FF-Quellcodes geht also komplett am Problem vorbei, da die Daten in der Cloud abgefangen werden und nicht im Browser.

Anstatt zu glauben das alles generell sicher ist, bis das Gegenteil per Enthüllung eines Whistleblowers bewiesen ist, sollte man nach den NSA-Enthüllungen immer genau umgekehrt vorgehen: Alles ist unsicher.

 

[riDDi]

Bei Chrome vielleicht. Firefox lädt stündlich eine aktuelle Sperrliste von Google herunter und prüft dann lokal. Und was meinst du was die Zahlen sollen, die man zum Syncen auf dem anderen Gerät eingeben muss? Die werden auch nirgends hin gesendet.

 

[[SoD]r4z0r]

klingt ein wenig so nach dem motto :
wir dürfen ja nicht drüber reden das bei uns ne hintertür im firefox steckt , aber schaut doch mal nach

Überprüfung kann natürlich nie schaden, aber irgendwie klingt das echt so wie ein Wink mit dem Zaunpfahl.

Habe mir mal die Quelle durchgelesen:

We have no information that any browser vendor has ever received such a directive. However, if that were to happen, the public would likely not find out due to gag orders.

[h=3]Call to Action[/h] To ensure that no one can inject undetected surveillance code into Firefox, security researchers and organizations should:

• regularly audit Mozilla source and verified builds by all effective means;
• establish automated systems to verify official Mozilla builds from source; and
• raise an alert if the verified bits differ from official bits.

In the best case, we will establish such a verification system at a global scale, with participants from many different geographic regions and political and strategic interests and affiliations.

Through international collaboration of independent entities we can give users the confidence that Firefox cannot be subverted without the world noticing, and offer a browser that verifiably meets users’ privacy expectations.

Quelle: https://brendaneich.com/2014/01/trust-but-verify/

Weiß immer noch nicht was ich jetzt davon halten soll...

 

[Novasun]

Ich dachte eigentlich, dass bei Open Source Software sowieso die Community immer über den Code schaut - weshalb muss man das extra fordern?

Sorry, wenn das so wäre, wieso hat es dann "Jahre" gedauert bis man im Linuxkernel den Bug gefunden hat der dafür sorgte, dass bei einer neueren Reeadon nur eine [mist Name vergessen] Einheit angesprochen wurde und nicht alle?

Genau diese Einstellung - ist open source wird doch ständig kontrolliert - ist falsch.

Gut das er dazu aufruft dass dies nun häufiger passieren soll.

 

[Bigfoot29]

Open Source WIRD nicht ständig kontrolliert. Dazu gibt es viel zu viele Commits. Und wenn man einen der Maintainer eingekauft hat, kann man beliebigen Code in ein Projekt schleusen. ABER: Open Source KANN kontrolliert werden. Und zwar sowohl der Source als auch die Binary Builds.

Was man nämlich kaum kontrollieren kann, sind die Build-Prozesse. Was spricht dagegen, wenn man vor den Compiler-Läufen noch automatisch ein paar weitere Code-Zeilen mit nem Backdoor einbindet? Das findet man nur raus, wenn man den kompletten Build-Prozess nachstellen kann. Es muss ja nicht JEDER machen. Aber wenn ein paar Leute das regelmäßig verifizieren und Alarm schlagen, wenn es Unterschiede gibt, wäre das mehr als ausreichend.

Ob das ein Hilferuf war, dass Mozilla bereits "unterwandert" ist, lasse ich mal so stehen. Es wird vermutlich eher um "wehret den Anfängen solange ihr noch könnt" gehen... Wenn der Build-Prozess einmal öffentlich ist und JEDER die Binaries gegenchecken kann, ist es jedenfalls schwieriger, eine einfache Hintertür einzubauen.

Regards, Bigfoot29

 

[DocWindows]

Am besten sollten solche Kompilate unter einer vertrauenswürdigen Plattform wie etwa Linux entstehen, wo auch den Compilern vertraut werden kann

Wieso sollte "die Plattform Linux" denn generell vertrauenswürdig sein? Genauso wie man lt. Artikel den Open Source Browsern nicht zwangsläufig vertrauen können soll, gilt das auch für z.B. Ubuntu, RedHat oder auch Fedora.

Wenn man den Grad an Vertrauen haben möchte der lt. Artikel wünschenswert ist, dann müsste man ganz vorne anfangen und sich bis zum fertigen Browser vorarbeiten.

1. Gesamten Quellcode von Linux und notwendigen Paketen lesen und verstehen um zu sehen ob er nicht schon manipuliert ist.
2. Pakete kompilieren und System damit aufsetzen
3. Quellcode des Browsers lesen und verstehen
4. Browser kompilieren

Es reicht nicht zu sehen ob aus dem Quellcode das gleiche rauskommt wie bei Mozilla um zu sagen das alles mit rechten Dingen zugeht. Wenn man den Quellcode gar nicht gelesen hat kann man nur sagen dass Mozilla genauso kompiliert wie man selbst, aber nicht ob der Code OK ist.

Schlussendlich muss auch noch jeder demjenigen Vertrauen der sich diese ganze Arbeit gemacht hat und sagt: Diese Software ist OK.

 

[Sukrim]

Falls sich jemand weiter für das Thema interessiert:

Es gibt z.B. das Projekt "gitian", das eine VM zur Verfügung stellt, in der man Code auf unterschiedlichen Maschinen so kompilieren kann, dass dann ein bitgleiches Binary rauskommt. Bitcoin verwendet das z.B. falls man sich die Configfiles anhand eines Beispieles ansehen will.

Deterministisches Kompilieren ist gar nicht mal so einfach, wie viele Leute glauben, mit "einfach die gleiche GCC Version verwenden!" ist es nicht getan.

 

[MacroWelle]

Sorry, wenn das so wäre, wieso hat es dann "Jahre" gedauert bis man im Linuxkernel den Bug gefunden hat der dafür sorgte, dass bei einer neueren Reeadon nur eine [mist Name vergessen] Einheit angesprochen wurde und nicht alle?

Naja in der News geht es ja nicht um den Quellcode sondern um die Erstellung der Software aus dem Quellcode. Der von dir angesprochene Bug kam durch eine fehlerhafte Ansteuerung der Hardware zustande. Diese hat mit einer im Quellcode versteckten Sicherheitslücken eigentlich nur gemeinsam, dass es sich in beiden Fällen um Bugs handelt

Wieso sollte "die Plattform Linux" denn generell vertrauenswürdig sein? Genauso wie man lt. Artikel den Open Source Browsern nicht zwangsläufig vertrauen können soll, gilt das auch für z.B. Ubuntu, RedHat oder auch Fedora.

[...]

Es reicht nicht zu sehen ob aus dem Quellcode das gleiche rauskommt wie bei Mozilla um zu sagen das alles mit rechten Dingen zugeht. Wenn man den Quellcode gar nicht gelesen hat kann man nur sagen dass Mozilla genauso kompiliert wie man selbst, aber nicht ob der Code OK ist.

Schlussendlich muss auch noch jeder demjenigen Vertrauen der sich diese ganze Arbeit gemacht hat und sagt: Diese Software ist OK.

Alles richtig, nur wenn BS und vor allem der Compiler nicht offen liegen kann man sich die Arbeit eigentlich gleich sparen.

Das ist im wesentlichen vergleichbar mit dem Fall, dass die Erstellung der Software aus dem Quellcode nicht dokumentiert ist. Denn auch in diesem Fall lässt sich ohne massiven Aufwand nichts verifizieren.