computerwoche.de

Web

US-Geheimdienst NSA startet Linux-Sicherheits-Projekt

08.03.2001
Erstaunlicherweise reagiert die Open-Source-Szene ohne Aufregung, zum Teil sogar mit großem Interesse, auf ein Linux-Projekt für Hochsicherheitsarchitekturen des US-Hightech-Geheimdienstes NSA.

Von CW-Redakteur Ludger Schmitz

MÜNCHEN (COMPUTERWOCHE) - Erstaunlicherweise reagiert die Open-Source-Szene ohne Aufregung, zum Teil sogar mit großem Interesse, auf ein Linux-Projekt für Hochsicherheitsarchitekturen des US-Hightech-Geheimdienstes NSA.

Jahrelang war der auf elektronische Spionage spezialisierte US-Geheimdienst National Security Agency dermaßen im Verborgenen tätig, dass sein Akronym NSA üblicherweise als "No such Agency" übersetzt wurde. Ausgerechnet diese Einrichtung macht jetzt in Open-Source-Software, begründet ein Community-Projekt, gibt quelloffenen Code heraus, spricht von Zielen und fordert Entwickler zur Mitarbeit auf.

Die NSA hat den Prototypen einer Software zur Verbesserung der Sicherheit von Linux unter der GNU General Public License (GPL) quelloffen verfügbar gemacht. Bei "Security Enhanced Linux" (SE-Linux) handelt es sich nicht um eine Version mit neuen Verschlüsselungsalgorithmen, extremem Zugriffsschutz oder Ähnlichem. Dazu gibt es bereits Linux-Projekte wie "khaOS", "Secure Linux" oder "Bastille Linux". Das Ziel besteht auch nicht darin, eventuelle Linux-Fehler zu finden und solche Sicherheitslücken zu stopfen.

SE-Linux erweitert der Kernel

SE-Linux - mancherorts auch als SEL abgekürzt und wie "seal" gesprochen - ist eher ein Zusatz zum Linux-Kernel. Die Programmautoren haben allerdings das Ziel, ihren Beitrag nach Fertigstellung zum Bestandteil des Betriebssystem-Kerns zu machen. Im Prinzip bewirkt die Software verbesserte Sicherheit in zwei Schritten.

Das Release erfordert die Festlegung einer Sicherheitspolitik mit ihren Zielen und hilft, diese in die bestehende Systemkonfiguration umzusetzen. Die Ziele lassen sich jederzeit neu definieren und geänderten Installationen oder Bedingungen anpassen. Die entsprechenden Regeln werden als ein Objekt, das dem Betriebssystem-Kernel beigefügt wird, in Programmlogik gefasst. Diesen Teil nennt man "Security Server".

In zweiter Linie stehen dann ebenfalls flexibel einsetzbare Sicherheitsmechanismen, so genannte "Object Manager", zur Verfügung. Diese unterscheiden zwischen "type enforcement" und "role-based access". Bei Ersterem ist jeder Systemprozess mit einer Domain und jedes Objekt mit einem Typ verbunden. In den Konfigurations-Files eines Systems wird zwingend festgelegt, wer mit wem und wann in Interaktion treten darf. Die rollenbasierten Zugangsregeln weisen jedem Prozess eine Rolle zu: Die mit den als wichtiger eingetragenen Rollen dürfen mehr, sie sind privilegiert.

Dieses System übernimmt also die aus gängigen Unix-Systemen bekannte Zuordnung von Usern und Privilegien, geht aber weit darüber hinaus, indem sie diese mit Prozessen und Objekten verknüpft. Darüber hinaus werden Zugriffsrechte auf Programme und Daten nicht mit dem Log-in erteilt, sondern zur Laufzeit bei jedem Zugriff validiert. Die Regeln dafür lassen sich ad hoc ändern.

Dadurch lassen sich auch die Zugriffsrechte einzelner Anwender sehr fein definieren. Selbst ein "Superuser", der als Systemadministrator uneingeschränkten Systemzugang hat, kann auf eng definierte Rechte beschränkt werden. Das hat in einer sicherheitsempfindlichen Umgebung, die streng zwischen Abteilungen, Sicherheitslevel und Aufgabenbereichen trennt, zugleich aber Methoden, Wege und Regeln für den grenzüberschreitenden Informationsfluss festlegen muss, durchaus Sinn und beschränkt die Möglichkeiten von Hackern.

Historisch gewachsen aus "Fluke" und "Flask"

Das vorliegende Sicherheitssystem geht zurück auf eine seit 1992 bestehende Zusammenarbeit der NSA-Codeknacker mit der Firma Secure Computing Corp. und der "Flux"-Forschungsgruppe der Universität Utah. Ergebnis war zunächst eine "Fluke"-Architektur, aus der das "Flask"-System hervorgegangen war. Im Jahre 1999 hatte man sich entschlossen, die erarbeiteten Sicherheitskonzepte auch auf Linux zu übertragen.

Auf den Grund weist Jeffrey Hunker, von der NSA ins Weiße Haus delegierter "Senior Director for Critical Infrastructure" hin: "Open-Source-Software spielt eine immer wichtigere Rolle bei den IT-Systemen der Bundesverwaltung." Das Open-Source-System hat sich in öffentlichen Verwaltungen der USA schneller ausgebreitet als in der Wirtschaft. Immer mehr staatliche Einrichtungen machen Behördengänge per Internet möglich. Über Apache auf den Web-Servern sind sie auf Linux gekommen. Die Ämter haben kein Geld, aber langwierige Beschaffungswege und viele alte Computer, was dank Open-Source-Software ein weniger großes Problem ist.

Das SE-Linux-Projekt ist technisch noch lange nicht vollendet. Es dürfte einmalig sein, dass ein US-Geheimdienst öffentlich macht, was er in Sachen IT-Sicherheit kann, aber noch nicht geschafft hat und nun anstrebt. Auf der entsprechenden Website gibt es eine "To-do"-Liste, die neben der Dokumentation diverse technische Projekte aufführt. Herausragend sind dabei Portierungen auf den neuen Linux-Kernel 2.4 und auf andere Linux-Versionen mit entsprechenden Tests genannt. Die vorliegende Version eignet sich nur für den Kernel 2.2.12 und wurde für die Linux-Version 6.1 von Red Hat samt deren Utilities entwickelt und getestet.

Die Open-Source-Welt staunt

Ebenso einmalig dürfte die Einladung der NSA sein: "Wir freuen uns darauf, auf Basis der bisherigen Entwicklung mit der Linux-Gemeinde zusammenzuarbeiten." Die Szene rieb sich verwundert die Augen, das Ansinnen der NSA rief auf den Nachrichtendrehscheiben der Open-Source-Fans, zum Beispiel bei Linuxtoday.com, keineswegs einen Sturm der Entrüstung oder Ablehnung hervor.

Zwar erinnerte man sich an die Entdeckung möglicher NSA-Schlupflöcher in Windows-Programmen, aber die meisten Reaktionen liefen abwartend darauf hinaus, man solle den unverhofften Sourcecode durchaus als vielleicht nützlichen Beitrag unter die Lupe nehmen. Marc Torres, President der Techie-Messe "Annual Linux Showcase" und Mitglied in der Anwender- und Programmierervereinigung Usenix, unterstützt das Projekt: "Nach den ersten Reaktionen wird es in der Entwicklergemeinde begrüßt."

Anscheinend, so ein zunächst skeptischer Kommentator, habe die NSA vor, sich die Aversion der Linux-Gemeinde gegen "Backdoor-ware" zunutze zu machen. Frei nach der Devise: Der Feind meines Feindes ist mein Freund. "Ich verstehe das [SE-Linux-Projekt] als indirekten Beleg dafür, dass die NSA nicht glaubt, Verschleierung bringe Sicherheit." Sicherlich habe der Geheimdienst, so ein anderer Kommentar, ein Interesse, "seine goldenen Eier zu schützen", aber diesmal profitiere davon jeder.

Der auf Sicherheitssysteme spezialisierte Buchautor und Journalist Larry Loeb schrieb in der CW-Schwesterpublikation "ITworld.com", eine Linux-Orientierung der NSA habe er niemals für möglich gehalten. Es sei ein Einschnitt in der Geschichte dieses Geheimdienstes und von größter Bedeutung für die Linux-Gemeinde: "Die NSA hat einen Dschinn aus der Flasche gelassen, und es gibt jetzt keine Möglichkeit, den Geist wieder in die Flasche zu stopfen."

WEITERE INFORMATIONEN

Larry Loeb, Autor von "Secure Electronic Transactions", hat einen weiterführenden Artikel zu SE Linux geschrieben, den man im "Developerworks"-Bereich von IBMs Webauftritt nachlesen kann. Mit einem Zitat möchten wir Ihnen Appetit auf mehr (Lektüre) machen:

"Die Aktion der NSA ist das Krypto-Gegenstück zum Papst, der in Rom vom Balkon steigt, ein paar Brote und Fische verteilt und dann jedermann einlädt, rüber in seine Wohnung zu kommen, das Fußballspiel im Fernsehen anzuschauen und dabei ein paar Bier zu trinken."