# Muss Gentoo den Staatstrojaner installieren?

## freifunk_connewitz

Liebe Gentoo-Gemeinde,

ich weiß nicht, ob Ihr es mitbekommen habt: die Koalition aus CDU/CSU und SPD hat letzte Woche im Bundestag beschlossen, dass die Bundespolizei und alle "Verfassungsschutz"[*]-Ämter auch ohne jeden Tatverdacht Spionagesoftware auf Endgeräten installieren dürfen. Obendrauf sollen nach dem beschlossenen Gesetz die ISPs und alle möglichen sonstigen IT-Dienste verpflichtet sein, bei dieser Infizierung von Computern und Handys zu helfen. 

Das Gesetz ist dermaßen skandalös, dass sich im Vorfeld sogar Player wie Google, Facebook und der CCC genötigt gesehen haben, ein gemeinsames (!) Statement dagegen zu veröffentlichen. Das Gesetz wird sicher in ein paar Jahren vom Verfassungsgericht kassiert, aber bis dahin dürfen diese Behörden Schaden damit anrichten. Meine Frage: Ist Gentoo davon betroffen? Also: muss Gentoo beispielsweise auf Aufforderung einer deutschen Schnüffelbehörde manipulierte Pakete ausliefern beim Update, um meinen Rechner mit Behörden-Malware zu infizieren? Oder sind wir sicher davor? Kennt sich jemand von Euch damit aus?

Bestes,

freifunk_connewitz

[*] ja, genau die Ämter, die auch schon mal Daten über alle Landtagsabgeordneten in Sachsen sammeln oder den NSU ermöglicht haben.

----------

## schmidicom

Ich würde mir eher darüber sorgen machen wozu die USA die "Gentoo Foundation" zwingen könnte denn genau dort ist der Hauptsitz registriert.

 *https://www.gentoo.org/inside-gentoo/contact/#mail-foundation wrote:*   

> Gentoo Foundation Inc.
> 
> 500 Westover Dr. #10605
> 
> Sanford, NC, 27330
> ...

 

----------

## Christian99

hm, demnächst wird es wahrscheinlich ein Paket app-misc/staatstrojaner geben, dann bekommst du einen Brief von der entsprechenden Behörde, und dann musst du das paket installieren. Muss nur noch geklärt werden, ob der staat den quellcode für gentoo zur verfügung stellt, dass man das selber kompilieren kann, oder ob das ein bin paket wird  :Razz: 

ne, spaß beiseite:

selbst wenn die Behörden das wollen würden, wäre es für "gentoo", wer auch immer das dann ist, relativ schwierig.

im tree stehen die cheksums der source pakete. damit nicht alle das manipulierte paket bekommen, müsste ja dann github/microsoft (mein tree wird über den github mirror gesynced) ja spezifisch mich herausfinden, was schwierig wird, da das syncen ohne login stattfindet. dann müsste das ganze auch nochmal auf den downloadservern passieren, die auch ohne login sind. Als gegenmaßnahme könnte man dann noch in portage einbauen, dass man vom gentoo download server und vom original server das paket runterläd und noch mal die beiden vergleicht. wenn die dann unterschiedlich sind und nur das vom downloadserver mit der checksum übereinstimmt, dann sieht man auch, dass man ein problem hat...

Das Gesetzt zielt eher auf so dienste wie appstores ab, wo man immer mit login unterwegs ist. Unter Desktop windows, wo man auch immer mehr gedrängt wird, sich online zu registrieren, geht das vielleicht auch noch.

Aber bei Gentoo und anderen Linuxen, BSDs oder ähnlichen ist das eher nicht relevant.

In der Politik herrscht bedauerlicherweise weit verbreitetes technisches Unverständnis, da denkt man, blos weil es im Gesetz steht, ist es so, ohne sich um die echte Welt zu kümmern. Wenn dieses Gesetzt so angewendet und umgesetzt wird, sind zwar die meisten Menschen davon betroffen, weil die meisten Telefone einen Google oder Apple login haben, und auf dem desktop ein windows betriebssystem haben.

Aber ich glaube auch nicht, dass Apple und evtl auch Google da mitmachen. Die sind da mächtig genug, sich dagegen zu wehren.

Unterm strich mach ich mir tatsächlich um staatliche Stellen in Computersachen nicht so viele Gedanken, wegen Mangel an Kompetenz in diesen Bereich. Da ist eher so wenig Kompetenz, dass ich mir keine Sorgen um meine Geräte mache, sondern eher wegen mangelnden Schutz von Infrastruktur.

In Bezug auf mich selbst mach ich mir eher Gedanken um Tracking durch schon oben erwähnete (und andere) Unternehmen. Die haben nämlich entsprechende Kompetenz solche Daten zu erheben und entsprechend zur Gewinngenerierung einzusetzen.

----------

## freifunk_connewitz

Danke, Christian99, für die hilfreiche Erklärung. Ich bin ja nun auch schon seit mehr als 15 Jahren Gentoo-Nutzer, aber hab mir noch nie so genaue Gedanken um die Serverstruktur gemacht. Und ja, dass die staatlichen Stellen da eher unfähig sind, kann man täglich erleben, siehe Luca-Fail. Aber Du hast völlig recht, es gefährdet insgesamt die IT-Sicherheit der ganzen Gesellschaft, weil wichtige Strukturen noch angreifbarer sind, weil die GeheimDienste Löcher schaffen/nicht schließen/geheim halten, um ihren Trojaner unterzubringen.

Ich mache mir übrigens um tracking auf smartphone weniger Sorgen, seit ich meins mit entgoogeltem Android betreibe (/e/.OS, siehe e.foundation).

Besten Gruß, lasst Euch nicht überwachen und verschlüsselt immer schön Eure Backups  :Smile: 

----------

## ChrisJumper

Staatstrojaner mag ich auch nicht, aber es ist weniger eine Bedrohung. Der Bundestrojaner wurde jetzt ja schon eingeschränkt und kommt so nicht. Geheimdienste können es von mir aus tun. An der Stelle hab ich weniger zu verbergen. Es muss eine Instanz geben die mich kontrollieren darf.

Was aber gar nicht geht, sind Apple, Google, Facebook, Amazon und ein General-Zugriff durch Hardware Hersteller wie Intel, oder nicht die eigenen Geheimdienste. Ich mach mir da weniger Sorgen vor den staatlichen Institutionen als vor dem Macht und Profit-Interesse der Überwachungskapitalisten. Ja bei jedem Unternehmen und in jedem Land arbeiten Menschen, die Software entwickeln und die wollen für sich und ihres Gleichen halt einfach vertrauliche Software. Von daher hab ich da sehr viel Zuversicht.

Minimale Software ist immer gut, ganz besonders Open Source und Hardware ist eher schwierig. Wie sehr, sieht man bei den Smartphones und Routern, von immer noch closed source Binaries, einen Treiber bereit stellen. Wir sind umgeben von Systemen die uns beobachten. Besser wir gewöhnen uns dran, das wird nicht mehr weg gehen.

Aber wie gesagt, um Gentoo mach ich mir weniger Sorgen. Eher hat es Zero-Day Lücken, oder wie letztens wo ein Angreifer eventuell Zugang zu wichtigen Systemen hatten, wie Build-Server oder dem Portage.

Github ist noch da und wurde nicht durch Microsoft ersetzt, und Portage macht mit der Signatur, doch bestimmt immer noch Probleme oder, so das man die Pakte mit gemako immer noch manuell verifizieren muss?

```
# gemato verify -K /usr/share/openpgp-keys/gentoo-release.asc $(portageq get_repo_path / gentoo)
```

----------

## Erdie

Ich würde mit eher Sorgen machen, was mit Hardware und Firmware passiert z. B. UEFI Bios, was ich für ziemlich überflüssig halte. Hier sehe ich das Potential, Dinge einzuschleusen, die wir nicht kontrollieren können. Auch ist die http Verschlüsselung gegenüber den Möglichkeiten der Geheimdienste machtlos (Stichwort: Root Zertifikate).

----------

## mike155

 *Erdie wrote:*   

> Ich würde mit eher Sorgen machen, was mit Hardware und Firmware passiert z. B. UEFI Bios, was ich für ziemlich überflüssig halte. Hier sehe ich das Potential, Dinge einzuschleusen, die wir nicht kontrollieren können. Auch ist die http Verschlüsselung gegenüber den Möglichkeiten der Geheimdienste machtlos (Stichwort: Root Zertifikate).

 

Du bist auf dem richtigen Weg, Erdie... Aber warum sollte sich ein Staatstrojaner die Mühe machen, Firmware oder BIOS zu kaperen? Das könnte man doch leicht überprüfen... Na ja, vielleicht nicht Lieschen Müller - aber einem fortgeschrittenen Gentoo-User würde eine solche Modifikation schon auffallen...

Glücklicherweise ist eine Modifikation von Firmware oder BIOS nicht erforderlich. Schließlich gibt es auf den CPUs einen weiteren Mikroprozessor, der sich bei Intel Management Engine (ME) nennt - und den man vermutlich so modifizieren kann, dass niemand es merkt oder überprüfen kann...

Was? Wie? ME modifizieren können nur die USA? Weil Intel eine US-amerikanische Firma ist - und Intel per NSL o.ä. möglicherweise dazu verpflichtet ist, amerikanischen Behörden den Zugang zur ME zu ermöglichen? Na ja, macht nichts... Gut, dass man mit den USA befreundet ist - dann kann man zumindest mit Goodwill und Zustimmung der Amerikaner gelegentlich Zugang zur ME erhalten...

Fazit: Leute, gebt es auf: Euer PC ist nicht Euer Rechner, sondern ein Spionage-Device in Euren Privaträumen, das nach Belieben benutzt werden kann, um Euch auszuspionieren. Falls Ihr das nicht glaubt: einfach mal die Berichte von Edward Snowden lesen. Das Erschreckende für mich war nicht, dass sie das können. Das Erschreckende war, in welchem industriellen Ausmaß diese Überwachungstechniken bereits eingesetzt werden. Und das war 2013! Mittlerweile dürfte es noch viel schlimmer sein...

----------

## uhai

Das Thema interessiert mich auch. ich habe letztes Jahr mein Android FP3 auf /e/ umgestellt um Goggle & Co loszuwerden.

BTW: Ich habe eine App bezahlt, die ich weiter nutzen möchte, geht aber nicht ohne Googles APP-Store. Der Entwickler zuckt nur mit den schultern... kennt sich jemand aus, gibt es da Möglichkeiten den Store zu faken?

Für meine Gentoo-Rechner würde ich da auch gerne mehr "Sicherheit" haben.... macht da der Wechsel zu hardened Sinn? Oder gibt es da irgendwo Konfigurationstips, einen "Security-Thread"? Das fände ich sehr hilfreich....

uhai

----------

## pietinger

 *uhai wrote:*   

> [...] Oder gibt es da irgendwo Konfigurationstips, einen "Security-Thread"? Das fände ich sehr hilfreich....

 

Schau' doch mal in die "Deutsche Dokumentation" ...  :Wink: 

----------

## Christian99

 *ChrisJumper wrote:*   

> Staatstrojaner mag ich auch nicht, aber es ist weniger eine Bedrohung. Der Bundestrojaner wurde jetzt ja schon eingeschränkt und kommt so nicht. Geheimdienste können es von mir aus tun. An der Stelle hab ich weniger zu verbergen. Es muss eine Instanz geben die mich kontrollieren darf.
> 
> [/code]

 

Mag sein, die Frage ist nur, welche weiteren Folgen das hat:

Die entsprechende Kontrollinstanz muss eine Zugangsmöglichkeit haben ("Nachschlüssel" oder wie auch immer man das nennen will), und es gibt keine Garantie, dass die Kontrollinstanz in der Lage ist, diese "Nachschlüssel" zu schützen. (siehe TSA Locks: https://en.wikipedia.org/wiki/Transportation_Security_Administration#Checked_baggage)

 *mike155 wrote:*   

> Das könnte man doch leicht überprüfen... Na ja, vielleicht nicht Lieschen Müller - aber einem fortgeschrittenen Gentoo-User würde eine solche Modifikation schon auffallen... 

 

Wie denn? ich wüsste nicht wie...

----------

## Erdie

 *mike155 wrote:*   

>  *Erdie wrote:*   Ich würde mit eher Sorgen machen, was mit Hardware und Firmware passiert z. B. UEFI Bios, was ich für ziemlich überflüssig halte. Hier sehe ich das Potential, Dinge einzuschleusen, die wir nicht kontrollieren können. Auch ist die http Verschlüsselung gegenüber den Möglichkeiten der Geheimdienste machtlos (Stichwort: Root Zertifikate). 
> 
> Du bist auf dem richtigen Weg, Erdie... Aber warum sollte sich ein Staatstrojaner die Mühe machen, Firmware oder BIOS zu kaperen? Das könnte man doch leicht überprüfen... Na ja, vielleicht nicht Lieschen Müller - aber einem fortgeschrittenen Gentoo-User würde eine solche Modifikation schon auffallen...
> 
> Glücklicherweise ist eine Modifikation von Firmware oder BIOS nicht erforderlich. Schließlich gibt es auf den CPUs einen weiteren Mikroprozessor, der sich bei Intel Management Engine (ME) nennt - und den man vermutlich so modifizieren kann, dass niemand es merkt oder überprüfen kann...
> ...

 

Und wie heißt das bei AMD CPUs? Vielleicht ist das ja sicher, mit einem Raspberry Pi zu kommunizieren. Da ist die Technik zu mindest etwas simpler und es würde schnelle aufffallen?

EDIT: Habs gefunden, steht ja in der Wikipedia.

Tja, das heißt, wirklich sichere Systeme gibt es nicht. Zumindest welche, die nicht mühelos von der NSA kontrolliert werden können. Supi ..

----------

## ChrisJumper

Doch doch, das nennt sich dann Schreibmaschine. Hat gerade die NSA noch mal einige gekauft bevor die vom Markt verschwinden. ;)

Zur Info, Google hat wohl auch die Intel ME, zumindest reduziert. Das kann man ganz einfach in dem man da die Dateien löscht und probiert ob das Mainboard/CPU trotzdem noch startet.

Wie es bei moderneren Systemen ausschaut und ob das angepasst wurde, da bin ich mir nicht sicher. Generell kann man halt wie beim Librem auf eine CPU setzen die nicht von Intel oder Microsoft entwickelt wurde. Ich meine auch das purism, also ohne zu viel Werbung machen zu wollen, bei ihren Laptops auch die ME entfernt und mit Coreboot die Laptops startet. Diese Variante sollte natürlich auch Linux wie gewohnt booten können, also auch Gentoo.

Warum ich mir da aber einen Kopf machte war einfach weil Sicherheit ja nie vollkommen ist und zudem wenn die Patches nicht Zeitnah gefixed werden, sondern erst mal bei den Geheimdiensten hängen, wird es halt unbequem.

Dafür ist Linux auch fast schon zu komplex, auch wenn man sich mit Linux from Strech, ein Minimales System basteln kann. Das meinte ich halt mit, es ist immer gut wenn man da bescheiden ist und letztlich etwas mit wenig Code hat.

Persönlich mach ich mir da wenig Gedanken, weil ich es bestimmt noch erleben werde das Quantencomputer die bisher bekannte Crypto bricht.

Überall dort wo es nicht schon geschehen ist, sind die Metadaten und Telemetriedaten schon so umfangreich. Denn genau genommen ist jedes Auto und jedes Smartphone schon ein Computer der durch Anwesendheit schon Daten sammelt. Ich hab einfach aufgegeben diesen Punkt der außerhalb der eigenen Kontrolle leigt, kontrollieren zu wollen.

Die ganze Security mache ich natürlich trotzdem, aber in erster Linie hoffe ich Trojaner und Malware draußen zu halten. Wichtige Unterlagen bekommen ein Backup auf einem Offliensystem.

@uhai

Ich verwene nur Open Source Apps aus dem f-droid Store und hab natürlich ein Google-Freies Android. Weil Google ist genau wie Microsoft und Co. Die bauen ihre Systeme und Bibliotheken so das automatisch viele relevanten Daten aus der Laufzeit der Programme rausfällt. In etwa wie bei den Trackern, auf einer Internetseite welbe bei einem Besuch bei 120 anderen Systemen nach fragt und oder Skripte nach lädt.

Beispiel: Die Browser-Eingabe, schickt in Default jede eingegebene URL im Zuge des Safebrowsering zum Abgleich an eine Liste usw..

Wenn du die App weiter nutzen möchtest, am besten auf einem Zweit-Smartphone, zum Beispiel. Alternativ zum testen, könntest du aber euch Anbox installieren und die App dort verwenden. Kommt natürlich auf die App an und ob man die Unterwegs braucht, ob die Positionsdaten braucht usw... oder ob man die App mag und sie wie ein Spiel oder eine Podcast-App auch einfach am PC nutzen würde.

@Christian99

Ja das ist ein wichtiger Punkt! Aber das geht wie nach dem Geheimdienst-Leak auch jetzt schon, wenn deren Werkzeugkisten (Exploitboxen) abhanden kommen. Die Gefahr besteht aber auch bei Sicherheitsfirmen, konkurrierenden Ländern oder Hackergruppen usw..

Aus dem Grund machen mir eher die Big5 sorgen, weil die ja ganz "legal" als Geschäftsmodell die Kundendaten auswerten. Der Vorteil, Linux und wir privaten Nutzer stehen nicht so sehr im Fokus. Also so lange Apple, Facebook, Google und Microsoft darum schlagen die Daten der Menschen in die Cloud zu bekommen und möglist viele, um da AI drauf zu werfen damit neue Neuronale Netzwerke trainiert werden. Mache ich mir wenig sorgen um unsere gute alte IT.

Aber die Linux Foundation setzt sich jetzt für einen offenen Standard für Sprach-Assistenten ein... tja. Mal schauen. :)

----------

## Erdie

Wie sieht es denn mit ARM basierten Systemen aus? Ist da mutmaßlich weniger Spionage drin?

----------

## Fauchmatte

 *Christian99 wrote:*   

> hm, demnächst wird es wahrscheinlich ein Paket app-misc/staatstrojaner geben, dann bekommst du einen Brief von der entsprechenden Behörde, und dann musst du das paket installieren. Muss nur noch geklärt werden, ob der staat den quellcode für gentoo zur verfügung stellt, dass man das selber kompilieren kann, oder ob das ein bin paket wird 

 

Einfach app-misc/staatstrojaner in package.mask reinschreiben.  :Very Happy: 

----------

## ChrisJumper

 *Erdie wrote:*   

> Wie sieht es denn mit ARM basierten Systemen aus? Ist da mutmaßlich weniger Spionage drin?

 

Hmm. Man schau sich mal den Intel ME Artikel in der Wikipedia. Da sind wohl über die Jahre noch einige Dinge hinzu gekommen und sogar das BSI hatte 2015 davor gewarnt.

Ich sollte vielleicht meine Systeme langsam mal auf Coreboot und ARM (z.B. die Raspberry Pi und Co Boards) umstellen, wenn möglich.

Im Vergleich bei AMD Security Processor, auch wenn dieser Wikipedia-Artikel nicht so umfangreich ist. Bei AMD gibt es wohl einen dedizierten ARM-Prozessor der in der CPU integriert ist.

Wahrscheinlich wird es in Zukunft immer schwieriger diese Dinge zu bemerken, weil man sie einfach in die Bauteile integriert.

Ja ich klebe am Intel Laptop sofort wieder die Kamera zu! ;D

Dachte mit Linux ohne Treiber wäre ich sicher(er)... ;)

Aber auch wenn die Smartphones oft mit ARM laufen, allein wegen dem Stromverbrauch, traue ich gerade diesen am wenigsten, was aber an den Ganzen Blobs liegt und das diese oft zusammengeschusterte Hardware haben, bei der im Nachhinein entdeckt wird das die Modems noch AT-Befehle akzeptieren usw. diese dann oft nicht mehr Gepatched wurden.

Aber auch weil bei den Smartphones mehr Sensoren verbaut sind. Freue mich wenn Linux und Gentoo im besonderen da jetzt mehr Fortschritt macht. Ein Linux-Smartphone, ist abseits der Apps aktuell auf dem Vormarsch. (Pinephone, Librem usw.. - klar keine Apps im breiten Umfang, aber ich denke die meisten Gentoo Nutzer kommen auch mit Internetzugang und einem Terminal an alle Relevanten Informationen des Netzes ohne, Apps! ;)

Von daher denke ich es lohnt sich darüber nach zu denken, diese Bewegung bewusst zu Unterstützen, auch das die Smartphones als Hardware immer mehr in den Mittelpunkt rücken. Wird die Linux-Community die Systeme besser versorgen. Gnome und KDE haben ja auch schon angefangen die Interfaces dafür zu optimieren, genau wie die meisten Internetseiten fast nur noch auf die Auflösung der Smartphones zugeschnitten werden etc.

Was man aber auf jeden Fall machen sollte, wichtige und Langfristige Informationen die man behalten möchte, verschlüsselt auf den eigenen Systemen zu lagern.

----------

