32C3: Red Star OS - ein Betriebssystem für eine Diktatur

Inhaltsverzeichnis

Das von der nordkoreanischen Regierung herausgegebene linuxbasierte Betriebssystem Red Star OS hat mit seinem unbeholfenen Versuch, die Oberfläche von Windows und MacOS X nachzuahmen, in den vergangenen Jahren vor allem für Heiterkeit gesorgt. Doch eine nähere Analyse zeigt: Das System ist ein Werkzeug eines totalitären Überwachungsstaates.

"Wir waren überrascht, dass es keine nähere Analyse des Systems gibt", sagte Security-Analyst Florian Grunow auf dem Chaos Communication Congress in Hamburg. Zwar wurde Version 3.0 des staatlichen Betriebssystems bereits vor einem Jahr im Internet geleakt, doch die meisten Berichte kratzen allenfalls an der Oberfläche. Zusammen mit Niklaus Schiess analysierte Grunow daher das System im Detail, um mehr darüber zu erfahren, wie eine Diktatur die IT-Systeme ihrer Bürger kontrollieren will.

Viele Programme, viele Eingriffe

Erste Erkenntnis der Hacker: Das Red-Star-OS-Programmpaket ist überraschend umfangreich. Das auf Fedora beruhende System enthält neben Büroanwendungen und der MacOS X nachempfundenen Oberfläche auch Medienplayer, ein Programm zum Komponieren von Musik und sogar ein Programm zur Festplattenverschlüsselung. Auch das Network-Intrusion-Detection-System Snort ist im Standardumfang enthalten. Mitgeliefert wird ebenfalls ein Tool, um Root-Rechte zu erlangen - allerdings mit deutlichen Warnungen, es nicht zu benutzen.

Gleichzeitig wurde aber auch klar: Die Programmierer des "Korea Computer Center" haben tief in das System eingegriffen und fast kein Paket unangetastet gelassen. Der enthaltene Firefox-basierte Browser ist außerhalb Nordkoreas weitgehend nutzlos. So sind Proxy- und andere Einstellungen nur auf das interne Netz Nordkoreas zugeschnitten, das aus dem Ausland nicht erreichbar ist.

Viel Wert auf Integrität

"Die Programmierer haben sehr viel Wert auf die Integrität des Systems gelegt", erklärte Grunow. So existiert ein eigener Dienst, der beim Start eine Liste von Dateien samt deren Checksummen überprüft. Kommt er zu dem Ergebnis, dass eine wichtige Datei verändert wurde, bootet der Desktop ohne Rückfrage neu. Sicherheitsforscher werden also schnell in Reboot-Spiralen gefangen.

Einer der so geschützten Dienste erinnert an ein Anti-Viren-Programm, durchsucht aber im Hintergrund die Dateien auf dem Computer nach bestimmten Textmustern. "Es sieht für uns aus, als ob der Scanner nicht wirklich nach Schadprogrammen sucht, sondern nach Dateien, die die Regierung nicht verbreitet sehen will", erläuterte Schiess.

Wasserzeichen verfolgen Nutzer

Noch beunruhigender ist der Umgang des Betriebssystems mit Datenträgern. Schließt man einen USB-Stick an das System an, scannt es nicht nur die enthaltenen Dateien, sondern verändert sie auch ungefragt. Eine nähere Analyse der Veränderung ergab: Alle Mediendateien werden mit einem Wasserzeichen versehen, das aus der Seriennummer der Festplatte des Computers errechnet wird. Die Programmierer haben diese Funktion sehr bewusst angelegt. So werden Binärdateien nicht angerührt, das Wasserzeichen wird je nach Dateityp auf andere Weise implementiert. Gibt der Nutzer die Datei weiter, wird auch die Signatur des nächsten Nutzers angefügt. "So kann man nicht nur nachvollziehen, wo eine Datei ihren Ursprung genommen hat, sondern auch jeden einzelnen Nutzer identifizieren, der mit der Datei in Berührung gekommen ist", erklärte Schiess.

In einer Hinsicht wurden die Erwartungen von Grunow und Schiess allerdings enttäuscht. Eine offensichtliche staatliche Backdoor konnten sie auf Red Star OS nicht entdecken. "Vielleicht haben die Programmierer eingesehen, dass solche Backdoors blödsinnig sind", spekulierte Grunow - es sei aber auch möglich, dass etwaige Hintertüren erst über Updates eingespielt werden. In der Gesamtschau ist Grunow aber unmissverständlich: "Red Star OS missbraucht freie Software, um freie Rede zu behindern", schließt der Security-Analyst. Für weitere Analysen haben die Hacker Binaries der Überwachungsdienste auf Github veröffentlicht. (ur)