DARPA will gegen Backdoors vorgehen
Die Defense Advanced Research Projects Agency (DARPA) des US-Verteidigungsministeriums hat dazu aufgerufen, ein neues Testverfahren zu entwickeln, um Hintertüren (Backdoors) in Soft- und Hardware zu entdecken. Schließlich deckt das US-Verteidigungsministerium seinen Bedarf an Hardware bei verschiedenen Herstellern weltweit.
Die DARPA hat zur Entdeckung von Backdoors und weiterer versteckter bösartige Funktionalität in kommerziellen IT-Produkten jetzt eigens das Programm VET aufgelegt. Das DoD befürchtet, da es wegen der benötigten Stückzahlen mehr und mehr auf den Massenmarkt beim Einkauf von Hardware angewiesen ist, dass unentdeckte Hintertüren oder Schadcode in Geräten großen Schaden zur Folge haben könnte, wie beispielsweise das Auslesen von kritischen Daten und die Sabotage von militärischen Operationen. Die Bestimmung der Sicherheit eines jeden einzelnen Gerätes ist mit den derzeitigen Verfahren nach Recherchen der DARPA in einem sinnvollen zeitlichen Rahmen nicht zu leisten.
Das „Vetting Commodity IT Software and Firmware“ (VET) Programm soll Verfahren entwickeln, um die gekauften IT-Produkte im großen Rahmen auf ihre Unbedenklichkeit in Sachen Sicherheit zu testen. Am 12. Dezember wird DARPA das neue Programm den an einer Mitarbeit interessierten Firmen im Rahmen einer Info-Veranstaltung (Proposers' Day) vorstellen.
Das jetzt im Fokus stehende Problem ist aber nicht nur dem DoD bekannt, sondern plagt auch Administratoren weltweit. Hersteller bauen schlecht oder gar nicht dokumentierte Hintertüren in ihre Produkte ein, um später eventuell den Support zu vereinfachen. Dies betrifft oft Netzwerk-Produkte, die über ein meist sehr generisches geheimes Passwort vom Hersteller im Bedarfsfall auf Auslieferungszustand zurückgesetzt werden können. Solche Hintertüren tauchen erfahrungsgemäß irgendwann im Internet auf und bedrohen dann die Sicherheit der betreffenden Geräte. Auch in Software werden immer öfter Hintertüren entdeckt, wie erst vor einigen Tagen in der der Webanalyse dienenden Open-Source-Software Piwick. Dort war nach einem Update bösartiger PHP-Code entdeckt worden, der unter anderem eine Backdoor öffnen sollte, um aus der Ferne jedweden PHP-Schadcode einschleusen zu können.