Unter der Haube von Redstar OS: Nordkoreas totalitäres Betriebssystem

Das Ziel eines jeden totalitären Regimes ist es, die absolute Kontrolle über alle Grundlagen des Lebens zu erlangen: Informationen, Infrastruktur, Ressourcen und alltägliche Versorgung. Im 21. Jahrhundert bedeutet das auch, allmächtig über den Code zu herrschen, den die Computer des Landes nutzen.

Die nordkoreanische Regierung hat zu diesem Zweck längst ihr eigenes Betriebssystem entwickelt: RedStar OS. Das Betriebssystem ist nicht nur so angelegt, dass es Nutzer rigoros ausspäht, es verhindert auch, dass ein Nutzer die Funktionen und Einstellungen seines Computers modifizieren oder steuern kann. Paradoxerweise basiert RedStar OS auf Linux, einem Open-Source-System, das dezidiert dafür entwickelt wurde, dass jeder die grundlegende Software seines Rechners frei und unabhängig ganz nach seinen Wünschen anpassen kann.

Am Sonntagnachmittag präsentierten Niklaus Schiess und Florian Grunow auf dem Chaos Communication Congress in Hamburg ihre umfassende Untersuchung der dritten Version von RedStar. Die beiden Forscher wollten das Innenleben des nordkoreanischen OS dokumentieren und analysieren, da die Implementierung von Linux und anderer freier Software für RedStar jeglichen Prinzipen der Open-Source-Bewegung widerspricht. „[Die Nordkoreaner] nutzen hier etwas, das eigentlich dazu gemacht wurde, die Meinungsfreiheit zu stärken", erklärte Grunow gegenüber Motherboard vor dem Talk.

Auf den ersten Blick sieht RedStar aus wie „ein reguläres, vollständiges Desktop-Betriebssystem", führte Schiess aus. Es basiert auf Fedora 11, einer populären Linux-Version aus dem Jahr 2009, während der Kernel, das Herz des Betriebssystems, aus dem Jahr 2011 stammt. RedStar bietet dabei eigentlich alles, was ein normaler Computernutzer braucht—vom Textverarbeitungsprogramm bis zum Musikproduktionsprogramm und einem modifizierten Firefox-Browser. Die Programme, der Desktop und die Dateiorganisation orientieren sich dabei klar an einem Vorbild: Mac OS X, dem Betriebssystem von Apple.

Spätestens hier hören die Gemeinsamkeiten jedoch auf, und RedStar zeigt sich von seiner totalitären Seite. So überwacht das Betriebssystem beispielsweise vollständig jegliche Änderungen, die vom Nutzer vorgenommen werden und kreiert „Wasserzeichen" auf allen Dateien, die über einen USB-Stick mit dem System in Berührung kommen: Jedes Mal, wenn ein Stick mit dem Computer verbunden wird, auf dem sich Dokumente, Fotos oder Videos befinden, brennt RedStar in die Dateien eine verschlüsselte Version der aktuellen Festplatten-Seriennummer ein.

Das eigenartige Tool dient dazu, „zu tracken, wer Dateien erstellt, wer welche Dateien besitzt und wer sie öffnet", erklärte Schiess. Die Untersuchung der beiden Hacker geht jedoch auch über das Watermarking-Feature hinaus, über das bereits von einigen Monaten berichtet wurde, und stellt die bis dato ausführlichste Analyse des nordkoreanischen Betriebssystems dar, seit es vor knapp einem Jahr als Torrent geleakt wurde.

„RedStar ist in vielerlei Hinsicht eine maßgeschneiderte Lösung", erklärte Schiess. „Sie haben auch zahlreiche Features hinzugefügt, die die Sicherheit des Systems verbessern. Dazu zählen unter anderem eine vorinstallierte Firewall, ein besonderer Schutz zentraler Systemdateien und ein kleines Programm, das nur dazu dient, konstant zu überwachen, ob an diesen Dateien Veränderungen vorgenommen wurden. Das Kontrollprogramm nutzt dazu eine Liste mit MD5 Hashes, eine Art kryptographischer Fingerabdrücke. „Sobald das Hintergrundprogramm erkennt, dass die Dateien in irgendeiner Weise bearbeitet wurden, wird das gesamte System sofort neugestartet", erklärt Schiess. Unter Umständen kann sich der Computer dabei auch in einem ewigen Kreislauf von Neustarts aufhängen und unbenutzbar werden.

RedStar wartet auch mit seinem eigenen Anti-Virus-System auf—inklusive einer graphischen Benutzeroberfläche, die ihre Updates—wenig überraschend—von einem Server in Nordkorea bezieht. All diese Modifizierungen und Ergänzungen des Linux-Systems dürften nicht dazu gedacht sein, dass System vor Hacking-Angriffen von Außen zu schützen, sondern vor seinen eigenen Nutzern.

Es ist unklar, ob RedStar überhaupt dafür entwickelt wurde, außerhalb Nordkoreas genutzt zu werden, da der interne Browser genauso wie das Anti-Virus-Programm, auf den von außen gar nicht zugegriffen werden kann, stets auf IP-Adressen innerhalb des Landes verweisen. Tatsächlich gibt es auch eine RedStar-Version, die genutzt wird, um zwei öffentlich und weltweit einsehbare nordkoreanische Websites zu betreiben.

An dem nordkoreanischen Betriebssystem haben vermutlich zehn verschiedene Entwickler gearbeitet: Die beiden deutschen Sicherheitsforscher stießen während ihrer Untersuchung im systeminternen Changelog (dem spezifischen Änderungsprotokoll der Version) auf die internen E-Mail-Adressen der Programmierer.

Die technische Abschottung von RedStar zeigt sich auch in den vom System verwendeten, angepassten Verschlüsselungsanwendungen, die auf bekannten Krypto-Algorithmen wie AES basieren, aber diese modifizieren. Warum die Entwickler modifizierte Krypto-Verfahren anwendeten, konnten Schiess und Grunow nicht abschließend klären. Sie könnten sowohl Sorge vor Backdoors in den standardisierten Verfahren gehabt oder auch geglaubt haben, die Krypto-Systeme tatsächlich noch einmal zu verbessern. Fest steht, dass „sie nicht mal der ausländischen Verschlüsselung vertrauen wollten", betonte Grunow.

„Die Entwickler kontrollieren einfach jeden Aspekt dieses Systems", betonte Grunow.