Sicherheitselite kritisiert Carnivore-Bericht

Alles, was unter Sicherheitsexperten Rang und Namen hat, hat eine zum Wochenanfang in den USA veröffentlichte Kritik am kürzlich veröffentlichten Untersuchungsbericht zum Überwachungssystem Carnivore unterschrieben. Sie erkannten den „guten Willen“ der untersuchenden Wissenschaftler zwar an, nannten den Bericht aber unvollständig. „Wir haben weiterhin schwere Bedenken hinsichtlich Carnivores“, schrieben unter anderem Steve Bellovin und Matt Blaze von den AT&T Labs, David Faber von der Universität Pennsylvania, Peter Neumann von SRI International und Gene Sappord von der Purdue Universität.

Der Untersuchungsbericht sei „ein guter Anfang“, aber: „Es ist einfach nicht möglich, ein aussagekräftige Schlussfolgerung über ein Stück isolierter Software zu ziehen, ohne das Netzwerk, die Userumgebung und die Installation miteinzubeziehen.“

Unter anderem kritisierten die Sicherheitsgurus, dass ein allmächtiger Administrator über das Carnivore-System wacht. Diese Konfiguration kann ihrer Ansicht nach schnell nach hinten losgehen, wenn ein unauthorisierter User die Kontrolle übernimmt. Auch die Wahrscheinlichkeit und Häufigkeit von Buffer Overflows, bei denen Angreifer das System übernehmen können, ist den Sicherheitsexperten noch nicht hinreichend geklärt.

Weitere Schwachpunkte: PC anywhere, mit dem sich die ermittelnden Beamten einloggen, sei für diesen Zweck zu unsicher und die Rechtfertigung nach dem