Muss Gentoo den Staatstrojaner installieren?

[freifunk_connewitz]

Liebe Gentoo-Gemeinde,

ich weiß nicht, ob Ihr es mitbekommen habt: die Koalition aus CDU/CSU und SPD hat letzte Woche im Bundestag beschlossen, dass die Bundespolizei und alle "Verfassungsschutz"[*]-Ämter auch ohne jeden Tatverdacht Spionagesoftware auf Endgeräten installieren dürfen. Obendrauf sollen nach dem beschlossenen Gesetz die ISPs und alle möglichen sonstigen IT-Dienste verpflichtet sein, bei dieser Infizierung von Computern und Handys zu helfen.

Das Gesetz ist dermaßen skandalös, dass sich im Vorfeld sogar Player wie Google, Facebook und der CCC genötigt gesehen haben, ein gemeinsames (!) Statement dagegen zu veröffentlichen. Das Gesetz wird sicher in ein paar Jahren vom Verfassungsgericht kassiert, aber bis dahin dürfen diese Behörden Schaden damit anrichten. Meine Frage: Ist Gentoo davon betroffen? Also: muss Gentoo beispielsweise auf Aufforderung einer deutschen Schnüffelbehörde manipulierte Pakete ausliefern beim Update, um meinen Rechner mit Behörden-Malware zu infizieren? Oder sind wir sicher davor? Kennt sich jemand von Euch damit aus?

Bestes,
freifunk_connewitz



[*] ja, genau die Ämter, die auch schon mal Daten über alle Landtagsabgeordneten in Sachsen sammeln oder den NSU ermöglicht haben.

[schmidicom]

Ich würde mir eher darüber sorgen machen wozu die USA die "Gentoo Foundation" zwingen könnte denn genau dort ist der Hauptsitz registriert.

[Christian99]

hm, demnächst wird es wahrscheinlich ein Paket app-misc/staatstrojaner geben, dann bekommst du einen Brief von der entsprechenden Behörde, und dann musst du das paket installieren. Muss nur noch geklärt werden, ob der staat den quellcode für gentoo zur verfügung stellt, dass man das selber kompilieren kann, oder ob das ein bin paket wird

ne, spaß beiseite:
selbst wenn die Behörden das wollen würden, wäre es für "gentoo", wer auch immer das dann ist, relativ schwierig.
im tree stehen die cheksums der source pakete. damit nicht alle das manipulierte paket bekommen, müsste ja dann github/microsoft (mein tree wird über den github mirror gesynced) ja spezifisch mich herausfinden, was schwierig wird, da das syncen ohne login stattfindet. dann müsste das ganze auch nochmal auf den downloadservern passieren, die auch ohne login sind. Als gegenmaßnahme könnte man dann noch in portage einbauen, dass man vom gentoo download server und vom original server das paket runterläd und noch mal die beiden vergleicht. wenn die dann unterschiedlich sind und nur das vom downloadserver mit der checksum übereinstimmt, dann sieht man auch, dass man ein problem hat...

Das Gesetzt zielt eher auf so dienste wie appstores ab, wo man immer mit login unterwegs ist. Unter Desktop windows, wo man auch immer mehr gedrängt wird, sich online zu registrieren, geht das vielleicht auch noch.
Aber bei Gentoo und anderen Linuxen, BSDs oder ähnlichen ist das eher nicht relevant.
In der Politik herrscht bedauerlicherweise weit verbreitetes technisches Unverständnis, da denkt man, blos weil es im Gesetz steht, ist es so, ohne sich um die echte Welt zu kümmern. Wenn dieses Gesetzt so angewendet und umgesetzt wird, sind zwar die meisten Menschen davon betroffen, weil die meisten Telefone einen Google oder Apple login haben, und auf dem desktop ein windows betriebssystem haben.
Aber ich glaube auch nicht, dass Apple und evtl auch Google da mitmachen. Die sind da mächtig genug, sich dagegen zu wehren.

Unterm strich mach ich mir tatsächlich um staatliche Stellen in Computersachen nicht so viele Gedanken, wegen Mangel an Kompetenz in diesen Bereich. Da ist eher so wenig Kompetenz, dass ich mir keine Sorgen um meine Geräte mache, sondern eher wegen mangelnden Schutz von Infrastruktur.

In Bezug auf mich selbst mach ich mir eher Gedanken um Tracking durch schon oben erwähnete (und andere) Unternehmen. Die haben nämlich entsprechende Kompetenz solche Daten zu erheben und entsprechend zur Gewinngenerierung einzusetzen.

[freifunk_connewitz]

Danke, Christian99, für die hilfreiche Erklärung. Ich bin ja nun auch schon seit mehr als 15 Jahren Gentoo-Nutzer, aber hab mir noch nie so genaue Gedanken um die Serverstruktur gemacht. Und ja, dass die staatlichen Stellen da eher unfähig sind, kann man täglich erleben, siehe Luca-Fail. Aber Du hast völlig recht, es gefährdet insgesamt die IT-Sicherheit der ganzen Gesellschaft, weil wichtige Strukturen noch angreifbarer sind, weil die GeheimDienste Löcher schaffen/nicht schließen/geheim halten, um ihren Trojaner unterzubringen.

Ich mache mir übrigens um tracking auf smartphone weniger Sorgen, seit ich meins mit entgoogeltem Android betreibe (/e/.OS, siehe e.foundation).

Besten Gruß, lasst Euch nicht überwachen und verschlüsselt immer schön Eure Backups

[ChrisJumper]

Staatstrojaner mag ich auch nicht, aber es ist weniger eine Bedrohung. Der Bundestrojaner wurde jetzt ja schon eingeschränkt und kommt so nicht. Geheimdienste können es von mir aus tun. An der Stelle hab ich weniger zu verbergen. Es muss eine Instanz geben die mich kontrollieren darf.

Was aber gar nicht geht, sind Apple, Google, Facebook, Amazon und ein General-Zugriff durch Hardware Hersteller wie Intel, oder nicht die eigenen Geheimdienste. Ich mach mir da weniger Sorgen vor den staatlichen Institutionen als vor dem Macht und Profit-Interesse der Überwachungskapitalisten. Ja bei jedem Unternehmen und in jedem Land arbeiten Menschen, die Software entwickeln und die wollen für sich und ihres Gleichen halt einfach vertrauliche Software. Von daher hab ich da sehr viel Zuversicht.

Minimale Software ist immer gut, ganz besonders Open Source und Hardware ist eher schwierig. Wie sehr, sieht man bei den Smartphones und Routern, von immer noch closed source Binaries, einen Treiber bereit stellen. Wir sind umgeben von Systemen die uns beobachten. Besser wir gewöhnen uns dran, das wird nicht mehr weg gehen.

Aber wie gesagt, um Gentoo mach ich mir weniger Sorgen. Eher hat es Zero-Day Lücken, oder wie letztens wo ein Angreifer eventuell Zugang zu wichtigen Systemen hatten, wie Build-Server oder dem Portage.

Github ist noch da und wurde nicht durch Microsoft ersetzt, und Portage macht mit der Signatur, doch bestimmt immer noch Probleme oder, so das man die Pakte mit gemako immer noch manuell verifizieren muss?

[Erdie]

Ich würde mit eher Sorgen machen, was mit Hardware und Firmware passiert z. B. UEFI Bios, was ich für ziemlich überflüssig halte. Hier sehe ich das Potential, Dinge einzuschleusen, die wir nicht kontrollieren können. Auch ist die http Verschlüsselung gegenüber den Möglichkeiten der Geheimdienste machtlos (Stichwort: Root Zertifikate).
_________________
Desktop AMD Ryzen 9 5900X 32GB RAM, Asus GF GTX 1060.
Notebook Tuxedo Pulse 15 Gen1 AMD Ryzen 7 4800H mit Radeon Vega 7
Raspberry Pi 1 + 2 + 3B+ + Zero W

[mike155]

[uhai]

Das Thema interessiert mich auch. ich habe letztes Jahr mein Android FP3 auf /e/ umgestellt um Goggle & Co loszuwerden.

BTW: Ich habe eine App bezahlt, die ich weiter nutzen möchte, geht aber nicht ohne Googles APP-Store. Der Entwickler zuckt nur mit den schultern... kennt sich jemand aus, gibt es da Möglichkeiten den Store zu faken?

Für meine Gentoo-Rechner würde ich da auch gerne mehr "Sicherheit" haben.... macht da der Wechsel zu hardened Sinn? Oder gibt es da irgendwo Konfigurationstips, einen "Security-Thread"? Das fände ich sehr hilfreich....

uhai

[pietinger]

[Christian99]

[Erdie]

[ChrisJumper]

Doch doch, das nennt sich dann Schreibmaschine. Hat gerade die NSA noch mal einige gekauft bevor die vom Markt verschwinden. ;)

Zur Info, Google hat wohl auch die Intel ME, zumindest reduziert. Das kann man ganz einfach in dem man da die Dateien löscht und probiert ob das Mainboard/CPU trotzdem noch startet.

Wie es bei moderneren Systemen ausschaut und ob das angepasst wurde, da bin ich mir nicht sicher. Generell kann man halt wie beim Librem auf eine CPU setzen die nicht von Intel oder Microsoft entwickelt wurde. Ich meine auch das purism, also ohne zu viel Werbung machen zu wollen, bei ihren Laptops auch die ME entfernt und mit Coreboot die Laptops startet. Diese Variante sollte natürlich auch Linux wie gewohnt booten können, also auch Gentoo.

Warum ich mir da aber einen Kopf machte war einfach weil Sicherheit ja nie vollkommen ist und zudem wenn die Patches nicht Zeitnah gefixed werden, sondern erst mal bei den Geheimdiensten hängen, wird es halt unbequem.

Dafür ist Linux auch fast schon zu komplex, auch wenn man sich mit Linux from Strech, ein Minimales System basteln kann. Das meinte ich halt mit, es ist immer gut wenn man da bescheiden ist und letztlich etwas mit wenig Code hat.

Persönlich mach ich mir da wenig Gedanken, weil ich es bestimmt noch erleben werde das Quantencomputer die bisher bekannte Crypto bricht.

Überall dort wo es nicht schon geschehen ist, sind die Metadaten und Telemetriedaten schon so umfangreich. Denn genau genommen ist jedes Auto und jedes Smartphone schon ein Computer der durch Anwesendheit schon Daten sammelt. Ich hab einfach aufgegeben diesen Punkt der außerhalb der eigenen Kontrolle leigt, kontrollieren zu wollen.

Die ganze Security mache ich natürlich trotzdem, aber in erster Linie hoffe ich Trojaner und Malware draußen zu halten. Wichtige Unterlagen bekommen ein Backup auf einem Offliensystem.

@uhai
Ich verwene nur Open Source Apps aus dem f-droid Store und hab natürlich ein Google-Freies Android. Weil Google ist genau wie Microsoft und Co. Die bauen ihre Systeme und Bibliotheken so das automatisch viele relevanten Daten aus der Laufzeit der Programme rausfällt. In etwa wie bei den Trackern, auf einer Internetseite welbe bei einem Besuch bei 120 anderen Systemen nach fragt und oder Skripte nach lädt.
Beispiel: Die Browser-Eingabe, schickt in Default jede eingegebene URL im Zuge des Safebrowsering zum Abgleich an eine Liste usw..

Wenn du die App weiter nutzen möchtest, am besten auf einem Zweit-Smartphone, zum Beispiel. Alternativ zum testen, könntest du aber euch Anbox installieren und die App dort verwenden. Kommt natürlich auf die App an und ob man die Unterwegs braucht, ob die Positionsdaten braucht usw... oder ob man die App mag und sie wie ein Spiel oder eine Podcast-App auch einfach am PC nutzen würde.

@Christian99
Ja das ist ein wichtiger Punkt! Aber das geht wie nach dem Geheimdienst-Leak auch jetzt schon, wenn deren Werkzeugkisten (Exploitboxen) abhanden kommen. Die Gefahr besteht aber auch bei Sicherheitsfirmen, konkurrierenden Ländern oder Hackergruppen usw..
Aus dem Grund machen mir eher die Big5 sorgen, weil die ja ganz "legal" als Geschäftsmodell die Kundendaten auswerten. Der Vorteil, Linux und wir privaten Nutzer stehen nicht so sehr im Fokus. Also so lange Apple, Facebook, Google und Microsoft darum schlagen die Daten der Menschen in die Cloud zu bekommen und möglist viele, um da AI drauf zu werfen damit neue Neuronale Netzwerke trainiert werden. Mache ich mir wenig sorgen um unsere gute alte IT.
Aber die Linux Foundation setzt sich jetzt für einen offenen Standard für Sprach-Assistenten ein... tja. Mal schauen. :)

[Erdie]

Wie sieht es denn mit ARM basierten Systemen aus? Ist da mutmaßlich weniger Spionage drin?
_________________
Desktop AMD Ryzen 9 5900X 32GB RAM, Asus GF GTX 1060.
Notebook Tuxedo Pulse 15 Gen1 AMD Ryzen 7 4800H mit Radeon Vega 7
Raspberry Pi 1 + 2 + 3B+ + Zero W

[Fauchmatte]

[ChrisJumper]