Fotostrecke

Red Star OS 3.0: So sieht das Betriebssystem aus Nordkorea aus

Foto: Grunow/Schiess

Betriebssystem aus Pjöngjang So funktioniert Nordkoreas Apple-Kopie

Es basiert auf Linux und sieht aus wie Apples Mac OS X: Deutsche Sicherheitsforscher haben Red Star untersucht, ein Betriebssystem aus Nordkorea. Beim Hackertreffen 32C3 präsentieren sie ihre Erkenntnisse.
Von Markus Böhm

Wenn die IT-Sicherheitsforscher Florian Grunow und Niklaus Schiess über ihr vielleicht exotischstes Untersuchungsobjekt sprechen, klingen sie mitunter beeindruckt. "Da ist schon viel Hirnschmalz reingeflossen", sagt Niklaus Schiess, "das waren nicht die typischen Amateure, die mit einer Technologie von vor 15 Jahren arbeiten."

Grunow und Schiess haben gemeinsam ein Betriebssystem namens Red Star OS 3.0 (Red Star) analysiert, eine Software des staatlichen Korea Computer Centers mit Hauptsitz in Pjöngjang. Nordkoreas Staats-Windows könnte man vereinfacht sagen, wobei der Vergleich doppelt hinkt: einerseits, weil Red Star auf Linux basiert. Anderseits, weil die Version 3.0 optisch und von der Bedienung her unverkennbar Mac OS X ähnelt, dem Betriebssystem von Apple. Einige Eindrücke vermittelt unsere Fotostrecke.

Dass Nordkorea ein eigenes Betriebssystem entwickelt hat, ist seit einigen Jahren bekannt - und für Grunow und Schiess so faszinierend wie konsequent. Denn während Nordkoreas Bürgern wohl vor allem Windows XP oder 7 im Einsatz haben , ist bei Regierungsrechnern vermutlich mehr Vorsicht nötig.

"Nordkorea muss sich wohl immer die Frage stellen, wo seine Windows-Versionen gekauft oder heruntergeladen wurden", sagt Grunow, "und ob es in der entsprechenden Version vielleicht Hintertüren für die amerikanische Regierung gibt. Aus diesem Grund ergebe es "total Sinn, selbst ein System zu bauen, in das die Regierung vollen Einblick hat oder das sie zumindest so abschotten kann, dass sie ihm mehr trauen kann als Windows oder Mac OS".

Internetsurfen ist möglich

Vor gut einem Jahr ist erstmals eine Installationsdatei von Red Star 3.0 im Netz aufgetaucht: Experten schätzen, dass das System zwischen 2011 und 2013 gebaut wurde. Der Installationsdatei widmete unter anderem "Golem" einen Artikel. "Obwohl Red Star OS einige Eigenarten hat, konnten wir das System weitgehend so anpassen, dass wir damit sogar in englischer Sprache im weltweiten Internet surfen konnten", schrieb das "Tech-Magazin" im Januar. 

"In den meisten Berichten und Blogposts ging es vor allem darum, wie das System aussieht und was man damit machen kann", erinnert sich Florian Grunow, der wie Schiess beim Heidelberger IT-Sicherheitsdienstleister ERNW arbeitet. "Wir wollten aber tiefer hineingucken und Fragen beantworten wie: Ist da was zur Überwachung oder zur Nachverfolgung eingebaut?"

Red-Star-Wallpaper: Keine Sternstunde der professionellen Bildbearbeitung

Red-Star-Wallpaper: Keine Sternstunde der professionellen Bildbearbeitung

Foto: Grunow/Schiess

Geschätzt einen Monat Arbeitszeit haben Grunow und Schiess mittlerweile mit dem Analysieren von Red Star OS verbracht, daraus ergab sich unter anderem ein Blogpost . In Hamburg stehen die Forscher jetzt beim Hackertreffen 32C3 auf der Bühne, um von ihrer Arbeit zu berichten.

Die grundsätzlichen Erkenntnisse ihrer Arbeit haben die Forscher SPIEGEL ONLINE bereits vorab verraten:

  • Das Betriebssystem wurde mit viel Aufwand programmiert. "In Red Star steckt sehr viel Custom Code und eigener Code", sagt Florian Grunow. "Die Entwickler wollen eigene Dinge machen". Gut könne man das im Bereich Kryptografie sehen, etwa an einem mitgelieferten Programm zur Festplatten- und Dateiverschlüsselung. Red Star habe eigene Krypto-Algorithmen im Einsatz oder zumindest Algorithmen, die speziell für das System abgewandelt wurden.

  • Das System ist alltagstauglich. "Red Star ist ein vollumfängliches Desktop-Betriebssystem", sagt Niklaus Schiess, gedacht sei es für den Einsatz im nordkoreanischen Intranet. "Die Tools funktionieren gut miteinander, mit dem System würde sich wohl gut arbeiten lassen. Vorab hatte ich vermutet, das System wäre technisch auf einem niedrigen Stand."

    Florian Grunow sagt, die Red-Star-Entwickler hätten "das Look und Feel vom Mac" imitiert, gleichzeitig aber versucht, "ihren eigenen Touch drüberzulegen und eigene Werkzeuge auszuliefern". So habe das System ein eigenes Schreibprogramm und eine Musiksoftware an Bord, mit der man Noten zusammenklicken und so Lieder komponieren kann.

  • Ein Ziel der Entwickler war die Abschottung des Systems. Immer wieder fiel den Forschern auf, wie stark und effektiv das System gegen Veränderungen geschützt war. "Viele Prozesse beobachten und schützen sich gegenseitig", sagt Florian Grunow. "Für normale Nutzer ist es daher schwierig, sie zu deaktivieren. Geht man dabei nicht in der richtigen Reihenfolge vor, startet zum Beispiel einfach das System neu. Die Entwickler dachten sich wohl, das Betriebssystem solle im Zweifel lieber unbrauchbar werden, als dass man es aus der Hand gibt."

    Bemerkenswert finden die Forscher auch, dass das System schon im Auslieferungszustand eine restriktive Firewall mitbringt, ebenso einen eigenen Virenscanner, der sich offenbar auch für Zensur nutzen lässt. "Wir vermuten, dass der Scanner in Kombination mit einer schwarzen Liste verwendet werden kann, um die Verbreitung bestimmter Dokumente zu verhindern", sagt Schiess. "Sobald ein bestimmtes Dokument entdeckt wird, wird es sofort vom Rechner gelöscht. Der Nutzer selbst hat keinen Zugriff auf die schwarze Liste."
  • Red Star hinterlässt Spuren. Ein automatisch laufender Prozess, den die meisten Nutzer wohl lieber deaktiviert wissen würden, ist ein sogenanntes Watermarking-Tool. Das Werkzeug registriert etwa, welche .docx-Textdokumente, .jpg-Bilddateien oder .avi-Videodateien auf einem Red-Star-Rechner gespeichert oder geöffnet werden.

    "Wird zum Beispiel eine .docx-Word-Datei von einem USB-Stick geöffnet, nimmt das System eine abgewandelte Seriennummer der eigenen Festplatte, verschlüsselt die Daten und baut diese in das Dokument ein", erklärt Florian Grunow. "Für eine Regierung wie die von Nordkorea ist es natürlich toll, nachvollziehen zu können, welches Dokument auf welchem Rechner gewesen ist, weil sich dieser mehr oder weniger eindeutig über die Festplattennummer identifizieren lässt. Wird das Dokument auf mehreren Rechnern geöffnet, finden sich sogar gleich mehrere Watermarks in einer Datei. So lassen sich zum Beispiel Verteilungswege von Dateien genau nachvollziehen."

    Die Forscher fanden allerdings auch heraus, dass das Watermarking vergleichsweise leicht zu bemerken ist. "Normalerweise wird das Watermark an ganz bestimmten Stellen in den Dateien abgelegt", sagt Grunow, "bei .avi-Videos zum Beispiel ans Dateiende." Wer den Mechanismus kennt, kann das Wasserzeichen also wieder entfernen - etwa, bevor er den USB-Stick mit der .docx-Datei weitergibt.

  • Den Entwicklern ging es wohl weniger ums Ausspähen. Bislang haben die Forscher zumindest noch kein Tool entdeckt, das Dritten einen direkten Zugriff auf den Rechner erlauben würde. Grunow und Schiess haben aber den Verdacht, dass es einen zweiten, wohl schwieriger zu erkennenden Watermarking-Mechanismus gibt, der erst nach System-Updates über das nordkoreanische Intranet aktiviert wird.

    "Red Star OS wirkt so gebaut, als wolle man das System und den Nutzer dahinter schützen", bilanziert Florian Grunow. "Bei einigen Systemmanipulationen wird der Nutzer zum Beispiel gewarnt oder indirekt durch einen Rechnerneustart darauf aufmerksam gemacht. Würde man solche Mechanismen einbauen, wenn man den Nutzer beobachten will?"

Von einer Nutzung der Software über die Forschung hinaus raten die Experten trotzdem ab. "In meinem privaten Freundkreis sagten einige Leute, in Red Star gebe es doch bestimmt keine NSA-Hintertüren", erzählt Florian Grunow. "Man muss jedoch bedenken, dass an dem System viel verändert worden ist: Es ist durchdrungen von Code, den die Nordkoreaner geschrieben haben. Da lässt sich nicht einfach so sagen, dass alles gut und sauber ist; wir können ja nicht in den Quellcode schauen. Benutzen würde ich es daher auf keinen Fall."

Mit ihrem Vortrag beim 32C3 wollten die Forscher nun auch andere Experten und Hacker motivieren, sich mit dem Betriebssystem zu beschäftigen - etwa im Hinblick auf Hintertüren, die sich noch tiefer im System verstecken könnten, im sogenannten Kernel. Damit der Einstieg leichter fällt, werden Grunow und Schiess ihre bisherigen Ergebnisse online zur Verfügung stellen.

Fotostrecke

32C3: Hacker-Congress in Hamburg

Foto: Thorsten Schroeder

Mehr lesen über

32c3 Nordkorea Chaos Computer Club Computersicherheit Apple Betriebssysteme

Verwandte Artikel

Die Wiedergabe wurde unterbrochen.
10 Bilder Red Star OS 3.0: So sieht das Betriebssystem aus Nordkorea aus
1 / 10

Red Star OS 3.0: Das Betriebssystem made in Nordkorea sieht aus wie Apples Mac OS X, basiert aber auf Linux. Entwickelt wurde die Software vom staatlichen Korea Computer Center. Die Vorversion Red Star OS 2.0 erinnerte optisch noch stark an Windows.

Foto: Grunow/Schiess
2 / 10

Die Sicherheitsforscher Florian Grunow und Niklaus Schiess haben das System zusammen rund einen Monat lang analysiert. Die Sprache konnten sie relativ unkompliziert auf Englisch umstellen.

Foto: Grunow/Schiess
3 / 10

Red Star hat eine eigene Schreibsoftware an Bord, im Stil von Programmen wie Microsoft Word.

Foto: Grunow/Schiess
4 / 10

Ebenso gibt es eine Musiksoftware, mit der sich eigene Lieder komponieren lassen.

Foto: Grunow/Schiess
5 / 10

Im Hilfebereich des Kalenders findet sich ein Link auf Apple.com. Grunow und Schiess vermuten, dass die Nordkoreaner sich einfach bei einem Hilfetext von Apple bedient haben.

Foto: Grunow/Schiess
6 / 10

Der Browser von Red Star heißt Naenara und basiert auf einer alten Firefox-Version. Er ist für die Nutzung im nordkoreanischen Intranet gedacht.

Foto: Grunow/Schiess
7 / 10

Wer dachte das Wort "Privatsphäre" würde bei einem System aus Nordkorea nicht auftauchen, den belehrt ein Krypto-Tool eines Besseren: Mit ihm lassen sich Festplatten und Dateien verschlüsseln: "This allows the user to store his/her privacy data with encrypted", heißt es im Englischen.

Foto: Grunow/Schiess
8 / 10

Das nordkoreanische Betriebssystem hat einige offensichtlich bearbeitete Bilder als Wallpaper an Bord. Es gibt friedliche Motive...

Foto: Grunow/Schiess
9 / 10

...aber auch Bilder, auf denen Waffen zu sehen sind - in diesem Fall sogar im Schnee.

Foto: Grunow/Schiess
10 / 10

Standardmäßig hat Red Star auch einen Virenscanner an Bord, der eventuell auch zur Zensur genutzt wird. Entdeckt der Scanner etwas, spielt er ein von Kaspersky-Virenscannern bekanntes (und verhasstes) Geräusch ab, das an ein sterbendes Tier erinnert.

Foto: Grunow/Schiess
24 Bilder 32C3: Hacker-Congress in Hamburg
1 / 24

Congress Center Hamburg am Tag vor der Eröffnung: Sonntag bis Mittwoch wird hier zwischen den Jahren gebastelt, gelernt, diskutiert und gefeiert. 12.000 Besucher hat der Chaos Computer Club zur diesjährigen Jahreskonferenz (32C3) erwartet.

Foto: Thorsten Schroeder
2 / 24

Lichtkunst: Besucher vor einer Kunstinstallation aus erleuchteten Plastikboxen.

Foto: Axel Heimken/ picture alliance / dpa
3 / 24

Feierzone: Am Vorabend des 32C3 sind die meisten Bars noch geschlossen. In den folgenden Tagen kann der ein oder andere IT-Spezialist nach diesem Jahr aber wohl einen starken Drink gebrauchen.

Foto: Thorsten Schroeder
4 / 24

Kabelbaum: Die Treffen der Hacker sind bekannt für ihre ausgefallenen Kunstwerke und Beleuchtungskonzepte. Diesmal ist es ziemlich grün im Hamburger Congress-Centrum: Bäume und Pflanzen machen das große Tagungsgebäude zum Garten - oder zum Dschungel?

Foto: Thorsten Schroeder
5 / 24

Vorträge, Vorträge, Vorträge: Zeitgleich erklären in mehreren Sälen parallel die Experten, woran sie das Jahr über gearbeitet haben. Hier zu sehen ist der Sicherheitsforscher Sergey Gordeychik, der sprich über mögliche Angriffe im Schienenverkehr.

Foto: Axel Heimken/ picture alliance / dpa
6 / 24

Viele Diskokugeln: Es blinkt und funkelt im Congress Centrum. Mit jedem Tag kommen mehr Lichter und Kunstprojekte hinzu.

Foto: Thorsten Schroeder
7 / 24

In der Lounge: Hier wird nachts gefeiert. Diesmal haben die Veranstalter einen futuristischen Campingplatz aufgebaut, mit Wohnwagen und Wohnmobilen. Das erinnert nicht nur an den Film "Spaceballs", sondern manchen Partygast vielleicht auch an das Hacker-Camp, das ebenfalls in diesem Jahr stattgefunden hat.

Foto: Thorsten Schroeder
8 / 24

Ab geht die Post: Wie in den Vorjahren gibt es auf dem Gelände ein Rohrpostsystem, das unter dem Namen Seidenstraße bekannt ist.

Foto: SPIEGEL ONLINE
9 / 24

Hacker-Halle: In diesem Jahr ist das Congress Center besonders gut besucht und restlos ausverkauft. Nicht jeder, der ein Ticket wollte, hat auch eins bekommen.

Foto: Axel Heimken/ picture alliance / dpa
10 / 24

Zu sehen gibt es auch Pixelkunst - in diesem Fall passen sich die Pixel dem Geschehen vor dem Bildschirm an. "Zeig mir deine Farben und Lichter. Ich mache Farben und Lichter draus", steht auf dem Zettel hinter der Apparatur, die aus einer Kamera, Papierröhren und einem Fernseher besteht.

Foto: SPIEGEL ONLINE
11 / 24

Willkommen im Internetkurort: Als neuer Besucher kann man sich im Congress Center leicht verirren, das Gebäude ist recht weitläufig.

Foto: SPIEGEL ONLINE
12 / 24

Raumschiff-Optik: Ein Verbindungsgang im Erdgeschoss.

Foto: Axel Heimken/ picture alliance / dpa
13 / 24

Holzhütte mit Projektion: Vom lärmenden elektronischen Weihnachtsmann bis zum Wildschweinkopf ist beim 32C3 fast jedes Accessoire erlaubt.

Foto: SPIEGEL ONLINE
14 / 24

Etwas zum Anfassen und Anschauen: Die Kinder der Hacker können auf dem Gelände mit Sand spielen, der mit mehreren Farben angestrahlt wird. Ebenso gibt es ein Bällebad.

Foto: SPIEGEL ONLINE
15 / 24

Jahresrückblick des Chaos Computer Clubs: Frank Rieger, Constanze Kurz, Erdgeist, Nexus und Linus Neumann (v.l.) blicken auf die vergangenen zwölf Monate zurück.

Foto: Axel Heimken/ picture alliance / dpa
16 / 24

Aus CCH wird CCC: Jedes Jahr machen die Hacker schon am Gebäudenamen deutlich, wer dort gerade zu Gast ist.

Foto: SPIEGEL ONLINE
17 / 24

Und Sonntagabend wird sogar das benachbarte Radisson-Hotel genutzt, um auf den 32C3 aufmerksam zu machen. Dass auf unseren Bilder keine Menschen zu sehen, ist übrigens kein Zufall: Die Hacker haben relativ strikte Regeln, wenn es ums Fotografieren im Congress Centrum geht.

Foto: SPIEGEL ONLINE
18 / 24

Hacker-Spielzeug: Die Besucher haben alles mögliche mitgebracht, das sie vor Ort den anderen vorstellen und an dem sie gemeinsam herumbasteln können.

Foto: Axel Heimken/ picture alliance / dpa
19 / 24

Schattenspiele: Hier spielen Besucher mit ihrem digitalem Spiegelbild, das die von einer Kamera aufgenommenen Umrisse der Spieler in Steuerbefehlen für Computer darstellt.

Foto: Axel Heimken/ picture alliance / dpa
20 / 24

Saal 1: Der größte Vortragsraum wird regelmäßig rappelvoll, nicht nur zur Eröffnungsveranstaltung wie hier.

Foto: Axel Heimken/ picture alliance / dpa
21 / 24

Tüfteln: Der Congress ist aufgeteilt in verschiedene Bereiche und Nischen, in denen die Gruppen sich zum Teil mit ganz bestimmten Themen auseinandersetzen. Es wird an Hardware gelötet oder Code geschrieben, über Netzpolitik diskutiert oder Bier getrunken.

Foto: Axel Heimken/ picture alliance / dpa
22 / 24

Spaß am Gerät: Congress-Besucher beim Flippern.

Foto: Axel Heimken/ picture alliance / dpa
23 / 24

Held der Hacker: Teilnehmer haben mit einem 3D-Drucker eine Büste des Whistleblowers Edward Snowden ausgedruckt.

Foto: Axel Heimken/ picture alliance / dpa
24 / 24

Kreatives Chaos: Auf einem Tisch im CCH liegen Lötkolben, Netzstecker, Computerkabel und Leuchtkabel herum.

Foto: Axel Heimken/ picture alliance / dpa
Merkliste
Speichern Sie Ihre Lieblingsartikel in der persönlichen Merkliste, um sie später zu lesen und einfach wiederzufinden.
Jetzt anmelden
Sie haben noch kein SPIEGEL-Konto? Jetzt registrieren