Betriebssystem aus Pjöngjang So funktioniert Nordkoreas Apple-Kopie

Es basiert auf Linux und sieht aus wie Apples Mac OS X: Deutsche Sicherheitsforscher haben Red Star untersucht, ein Betriebssystem aus Nordkorea. Beim Hackertreffen 32C3 präsentieren sie ihre Erkenntnisse.

Von

Grunow/Schiess

Wenn die IT-Sicherheitsforscher Florian Grunow und Niklaus Schiess über ihr vielleicht exotischstes Untersuchungsobjekt sprechen, klingen sie mitunter beeindruckt. "Da ist schon viel Hirnschmalz reingeflossen", sagt Niklaus Schiess, "das waren nicht die typischen Amateure, die mit einer Technologie von vor 15 Jahren arbeiten."

Grunow und Schiess haben gemeinsam ein Betriebssystem namens Red Star OS 3.0 (Red Star) analysiert, eine Software des staatlichen Korea Computer Centers mit Hauptsitz in Pjöngjang. Nordkoreas Staats-Windows könnte man vereinfacht sagen, wobei der Vergleich doppelt hinkt: einerseits, weil Red Star auf Linux basiert. Anderseits, weil die Version 3.0 optisch und von der Bedienung her unverkennbar Mac OS X ähnelt, dem Betriebssystem von Apple. Einige Eindrücke vermittelt unsere Fotostrecke.

Dass Nordkorea ein eigenes Betriebssystem entwickelt hat, ist seit einigen Jahren bekannt - und für Grunow und Schiess so faszinierend wie konsequent. Denn während Nordkoreas Bürgern wohl vor allem Windows XP oder 7 im Einsatz haben, ist bei Regierungsrechnern vermutlich mehr Vorsicht nötig.

"Nordkorea muss sich wohl immer die Frage stellen, wo seine Windows-Versionen gekauft oder heruntergeladen wurden", sagt Grunow, "und ob es in der entsprechenden Version vielleicht Hintertüren für die amerikanische Regierung gibt. Aus diesem Grund ergebe es "total Sinn, selbst ein System zu bauen, in das die Regierung vollen Einblick hat oder das sie zumindest so abschotten kann, dass sie ihm mehr trauen kann als Windows oder Mac OS".

Internetsurfen ist möglich

Vor gut einem Jahr ist erstmals eine Installationsdatei von Red Star 3.0 im Netz aufgetaucht: Experten schätzen, dass das System zwischen 2011 und 2013 gebaut wurde. Der Installationsdatei widmete unter anderem "Golem" einen Artikel. "Obwohl Red Star OS einige Eigenarten hat, konnten wir das System weitgehend so anpassen, dass wir damit sogar in englischer Sprache im weltweiten Internet surfen konnten", schrieb das "Tech-Magazin" im Januar.

"In den meisten Berichten und Blogposts ging es vor allem darum, wie das System aussieht und was man damit machen kann", erinnert sich Florian Grunow, der wie Schiess beim Heidelberger IT-Sicherheitsdienstleister ERNW arbeitet. "Wir wollten aber tiefer hineingucken und Fragen beantworten wie: Ist da was zur Überwachung oder zur Nachverfolgung eingebaut?"

Red-Star-Wallpaper: Keine Sternstunde der professionellen Bildbearbeitung
Grunow/Schiess

Red-Star-Wallpaper: Keine Sternstunde der professionellen Bildbearbeitung

Geschätzt einen Monat Arbeitszeit haben Grunow und Schiess mittlerweile mit dem Analysieren von Red Star OS verbracht, daraus ergab sich unter anderem ein Blogpost. In Hamburg stehen die Forscher jetzt beim Hackertreffen 32C3 auf der Bühne, um von ihrer Arbeit zu berichten.

Die grundsätzlichen Erkenntnisse ihrer Arbeit haben die Forscher SPIEGEL ONLINE bereits vorab verraten:

  • Das Betriebssystem wurde mit viel Aufwand programmiert. "In Red Star steckt sehr viel Custom Code und eigener Code", sagt Florian Grunow. "Die Entwickler wollen eigene Dinge machen". Gut könne man das im Bereich Kryptografie sehen, etwa an einem mitgelieferten Programm zur Festplatten- und Dateiverschlüsselung. Red Star habe eigene Krypto-Algorithmen im Einsatz oder zumindest Algorithmen, die speziell für das System abgewandelt wurden.

  • Das System ist alltagstauglich. "Red Star ist ein vollumfängliches Desktop-Betriebssystem", sagt Niklaus Schiess, gedacht sei es für den Einsatz im nordkoreanischen Intranet. "Die Tools funktionieren gut miteinander, mit dem System würde sich wohl gut arbeiten lassen. Vorab hatte ich vermutet, das System wäre technisch auf einem niedrigen Stand."

    Florian Grunow sagt, die Red-Star-Entwickler hätten "das Look und Feel vom Mac" imitiert, gleichzeitig aber versucht, "ihren eigenen Touch drüberzulegen und eigene Werkzeuge auszuliefern". So habe das System ein eigenes Schreibprogramm und eine Musiksoftware an Bord, mit der man Noten zusammenklicken und so Lieder komponieren kann.

  • Ein Ziel der Entwickler war die Abschottung des Systems. Immer wieder fiel den Forschern auf, wie stark und effektiv das System gegen Veränderungen geschützt war. "Viele Prozesse beobachten und schützen sich gegenseitig", sagt Florian Grunow. "Für normale Nutzer ist es daher schwierig, sie zu deaktivieren. Geht man dabei nicht in der richtigen Reihenfolge vor, startet zum Beispiel einfach das System neu. Die Entwickler dachten sich wohl, das Betriebssystem solle im Zweifel lieber unbrauchbar werden, als dass man es aus der Hand gibt."

    Bemerkenswert finden die Forscher auch, dass das System schon im Auslieferungszustand eine restriktive Firewall mitbringt, ebenso einen eigenen Virenscanner, der sich offenbar auch für Zensur nutzen lässt. "Wir vermuten, dass der Scanner in Kombination mit einer schwarzen Liste verwendet werden kann, um die Verbreitung bestimmter Dokumente zu verhindern", sagt Schiess. "Sobald ein bestimmtes Dokument entdeckt wird, wird es sofort vom Rechner gelöscht. Der Nutzer selbst hat keinen Zugriff auf die schwarze Liste."
  • Red Star hinterlässt Spuren. Ein automatisch laufender Prozess, den die meisten Nutzer wohl lieber deaktiviert wissen würden, ist ein sogenanntes Watermarking-Tool. Das Werkzeug registriert etwa, welche .docx-Textdokumente, .jpg-Bilddateien oder .avi-Videodateien auf einem Red-Star-Rechner gespeichert oder geöffnet werden.

    "Wird zum Beispiel eine .docx-Word-Datei von einem USB-Stick geöffnet, nimmt das System eine abgewandelte Seriennummer der eigenen Festplatte, verschlüsselt die Daten und baut diese in das Dokument ein", erklärt Florian Grunow. "Für eine Regierung wie die von Nordkorea ist es natürlich toll, nachvollziehen zu können, welches Dokument auf welchem Rechner gewesen ist, weil sich dieser mehr oder weniger eindeutig über die Festplattennummer identifizieren lässt. Wird das Dokument auf mehreren Rechnern geöffnet, finden sich sogar gleich mehrere Watermarks in einer Datei. So lassen sich zum Beispiel Verteilungswege von Dateien genau nachvollziehen."

    Die Forscher fanden allerdings auch heraus, dass das Watermarking vergleichsweise leicht zu bemerken ist. "Normalerweise wird das Watermark an ganz bestimmten Stellen in den Dateien abgelegt", sagt Grunow, "bei .avi-Videos zum Beispiel ans Dateiende." Wer den Mechanismus kennt, kann das Wasserzeichen also wieder entfernen - etwa, bevor er den USB-Stick mit der .docx-Datei weitergibt.

  • Den Entwicklern ging es wohl weniger ums Ausspähen. Bislang haben die Forscher zumindest noch kein Tool entdeckt, das Dritten einen direkten Zugriff auf den Rechner erlauben würde. Grunow und Schiess haben aber den Verdacht, dass es einen zweiten, wohl schwieriger zu erkennenden Watermarking-Mechanismus gibt, der erst nach System-Updates über das nordkoreanische Intranet aktiviert wird.

    "Red Star OS wirkt so gebaut, als wolle man das System und den Nutzer dahinter schützen", bilanziert Florian Grunow. "Bei einigen Systemmanipulationen wird der Nutzer zum Beispiel gewarnt oder indirekt durch einen Rechnerneustart darauf aufmerksam gemacht. Würde man solche Mechanismen einbauen, wenn man den Nutzer beobachten will?"

Von einer Nutzung der Software über die Forschung hinaus raten die Experten trotzdem ab. "In meinem privaten Freundkreis sagten einige Leute, in Red Star gebe es doch bestimmt keine NSA-Hintertüren", erzählt Florian Grunow. "Man muss jedoch bedenken, dass an dem System viel verändert worden ist: Es ist durchdrungen von Code, den die Nordkoreaner geschrieben haben. Da lässt sich nicht einfach so sagen, dass alles gut und sauber ist; wir können ja nicht in den Quellcode schauen. Benutzen würde ich es daher auf keinen Fall."

Mit ihrem Vortrag beim 32C3 wollten die Forscher nun auch andere Experten und Hacker motivieren, sich mit dem Betriebssystem zu beschäftigen - etwa im Hinblick auf Hintertüren, die sich noch tiefer im System verstecken könnten, im sogenannten Kernel. Damit der Einstieg leichter fällt, werden Grunow und Schiess ihre bisherigen Ergebnisse online zur Verfügung stellen.


Fotostrecke

24  Bilder
32C3: Hacker-Congress in Hamburg

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 67 Beiträge
Alle Kommentare öffnen
Seite 1
taube88 27.12.2015
1. das die so etwas überhaupt schaffen
Da sprechen wir täglich von den gewaltigen Vorteilen des Kapitalismus gegenüber der komm. Korea und das es da allenfalls Hungersnöte und Militärtechnik gibt. Wenn ein so kleines völlig isoliertes Land es überhaupt schafft in dieser Breite etwas zustande zu bringen, für mich erstaunlich. Man überlege nur mal, wir müssten wirklich Alles selbst entwickeln und produzieren, was das in dieser globalisierten Welt für ein Nachteil wäre und auf welch lange industrielle Entwicklung blicken wir zurück.
Sonnenschein11 27.12.2015
2. Eindeutige ID in Dokumenten
---Zitat von spiegel.de--- "Wird zum Beispiel eine .docx-Word-Datei von einem USB-Stick geöffnet, nimmt das System eine abgewandelte Seriennummer der eigenen Festplatte, verschlüsselt die Daten und baut diese in das Dokument ein", ---Zitatende--- Das macht in übrigen MS-Office schon seit der Version 97. Also seit der Version weiß ich davon
123567091 27.12.2015
3.
Naja, die lassen bestimmt auch ein paar gute Leute im Ausland studieren und haben dann das internationale Know-how vor Ort.
aha47 27.12.2015
4. Belege?
Zitat von Sonnenschein11Das macht in übrigen MS-Office schon seit der Version 97. Also seit der Version weiß ich davon
Festplattenseriennummern versteckt in Word-Dateien? Belege bitte.
caneslunarum 27.12.2015
5. Naja
So beeindruckend ist die Leistung nun auch wieder nicht, Linux und Umgebung liegen ja quelloffen vor. Schön das trotzdem ein wenig Eigeninitiative eingeflossen ist. Wie ist das eigentlich mit
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.