Experten raten zur Offenlegung des Carnivore-Quellcodes

Die fünf unabhängigen IT-Sicherheitsexperten, die das US-Justizministerium bei der Beurteilung des FBI-Schnüffel-Tools Carnivore beraten, empfehlen die Offenlegung der Carnivore-Quellen. Steven M. Bellovin, Matt Blaze, David J. Farber, Peter Neumann und Eugene Spafford von der Purdue University legten gestern eine Analyse des vorläufigen Berichtes über die Untersuchung von Carnivore durch das Illinois Institute of Technology Research Institute (IITRI) vor. Das FBI-Tool soll bei Internet-Providern eingesetzt werden und kann Mail- und Surf-Daten von Verdächtigen mitprotokollieren, ohne dass Empfänger und Sender der Daten davon etwas mitbekommen.

Das US-Justizministerium (DoJ) hatte die Untersuchung durch das IITRI angeordnet, nachdem vor allem Bürgerrechtsgruppierungen massive Datenschutzbedenken geäußert und eine gerichtliche Verfügung gegen das FBI erwirkt hatten. Der vorläufige Bericht des IITRI wurde Mitte November veröffentlicht – allerdings ohne Informationen über die Software-Struktur und die Funktionsprinzipien von Carnivore; diese wurden nur dem DoJ, nicht aber der Öffentlichkeit zugänglich gemacht.

Die fünf Sicherheitsexperten kritisieren nun unter anderem, dass ihre Kollegen vom IITRI nicht genügend Zeit hatten, systematisch nach potenziellen Sicherheitslücken in Carnivore zu suchen. Standard-Schwachstellen wie Buffer-Overflows seien nicht systematisch geprüft worden und auch die Wechselwirkung mit verschiedenen Betriebssystem-Oberflächen hätte geprüft werden müssen: "Die begrenzte Natur der bisherigen Analyse erlaubt keine Aussage darüber, ob Carnivore konsistent ist mit gesetzlichen Bestimmungen", urteilen die Sicherheitsfachleute in ihrem Papier und raten dem US-Justizministerium, eine Offenlegung der Carnivore-Quellen "ernsthaft in Erwägung zu ziehen". Der Abschlußbericht des IITRI soll Ende des Monats vorliegen. (wst)