DARPA sagt Hintertüren den Kampf an

Mit einem Aufruf, Vorschläge für neue Testverfahren für Software und IT-Gebrauchsgüter einzureichen, sagt die Defense Advanced Research Projects Agency (DARPA) des US-Verteidigungsministeriums den weit verbreiteten Hintertüren den Kampf an. Mit den verfügbaren Kapazitäten sei es nicht machbar, die Sicherheit jedes Geräts des Verteidigungsministeriums zeitnah zu überprüfen. Das von DARPA aufgelegte VET-Programm soll neue Ansätze entwickeln, wie sicherzustellen ist, dass IT-Produkte frei von Hintertüren oder geheimem Schadcode sind.

Neben Computern beziehungsweise deren Software sollen insbesondere Handys, Router, Drucker und ähnliche Gerätschaften systematischen Tests unterzogen werden. In einer Veranstaltung am 12. Dezember will die DARPA das Projekt interessierten Firmen im Rahmen eines "Proposers’ Day" näher bringen.

Hersteller bauen oft spezielle Zugänge in ihre Geräte ein, etwa um den Support zu vereinfachen. Diese werden dann oft unzureichend oder gar nicht dokumentiert, so dass selbst sicherheitsbewusste Administratoren kaum eine Chance haben, die Hintertüren zu entdecken und für höhere Sicherheitsanforderungen zu verriegeln.

Doch die Informationen bleiben selten geheim; irgendwann sprechen sie sich dann doch im Netz herum und immer wieder entdecken Sicherheitsforscher bei ihren Analysen undokumentierte Accounts oder Zusatzfunktionen. Im besten Fall informieren sie die Hersteller und diese reagieren mit Updates, die die Hintertür verriegeln. Nicht selten versuchen die aber auch, das Problem einfach auszusitzen. (ju)