--- Begin Message ---
Sorry leuts,
version nummer 3 (ispell hat mir noch n streich gespielt ;)
Ste
On Mon, Sep 02, 2002 at 10:55:29AM +0000, S.Aeschbacher wrote:
> sorry, die Sektion ueber Linux war doch gar arg kurz ;)
>
> Ste
>
> On Mon, Sep 02, 2002 at 10:48:26AM +0000, S.Aeschbacher wrote:
> > Hallo Liste
> > nun die bald finale version des papers zur Revision.
> >
> > Gruss
> >
> > ste
> >
> >
> > On Wed, Aug 28, 2002 at 01:19:21PM +0000, S.Aeschbacher wrote:
> > > hier nun die 2te version.
> > > neu eine kleine sektion ueber Dateiformate
> > >
> > > mfg
> > >
> > > Ste
> > >
> > >
> > > On Mon, Aug 26, 2002 at 11:48:13AM +0000, S.Aeschbacher wrote:
> > > > Hi
> > > > wie bereits hier besprochen, habe ich eine erste Version des Papers f�r den
> > > > Eidgen�ssischen Datenschutzbeauftragten geschrieben. Ich moechte euch bitte:
> > > >
> > > > - Rechtschreibfehler korrigieren
> > > > - Unklarheiten aufzeigen (das Paper wird vor allem von Laien gelesen werden!)
> > > > - Vergessene Punkte melden damit ich noch was dazu schreiben kann
> > > > - Beispiele sammeln
> > > > - Refernzen checken/hinzufuegen
> > > > - Mit XXX gekennzeichnete Punkte speziell beachten
> > > > - andere Kommentare machen
> > > >
> > > > Gruss
> > > >
> > > > Ste
> > [several old version deleted]
Datenschutz und Freie-Software
==============================
Copyright
*********
Copyright (c) 2002 by S.Aeschbacher, bTurtle GmbH
Permission is granted to copy, distribute and/or modify this document
under the terms of the GNU Free Documentation License, Version 1.1
or any later version published by the Free Software Foundation;
A copy of the license is included in the section entitled "GNU
Free Documentation License".
Inhalt
******
Begriffe
Einleitung
Sicherheit der Software
Potential zur Sicherheit
Zertifikate
Schutz der Daten
Kryptographie in FS
Qualit�t der Kryptographie
Haltbarkeit von Daten
Schutz des Endbenutzers
Schutz vor Spionage
Rechtliche Aspekte
Analyse der aktuellen Situation
Zusammenfassung
Referenzen
Begriffe
++++++++
Closed Source Software bei der nur das Programm, nicht aber der
Source-Code zur Verf�gung steht
Kryptographie Die Wissenschaft des Verschl�sselns von Informationen,
so das sie von dritten nicht gelesen werden k�nnen.
Steganographie Die Wissenschaft vom Verstecken von Daten in anderen
Informationen, so das sie nicht entdeckt werden k�nnen. Beispiel:
Daten k�nnen in einem Bild versteckt werden. Jeder der das Bild
betrachtet, sieht nur das Bild, nur der Eingeweihte weiss von den
im Bild versteckten Daten.
Trojaner Ein Programm das sich auf dem Computer eines Opfers installiert und
dem Angreifer die Kontrolle �ber diesen Computer gibt.
Open Source Software bei der der Quelltext frei verf�gbar ist,
beliebig verbreitet werden kann und Modifikationen erlaubt sind.
N�here Informationen zu opensource gibt es unter:
http://www.opensource.org
Quelltext Quelltext ist der Programmtext, der von Menschen (Programmierern)
in einen Computer eingegeben wird. Der Computer kann aus dem
Quelltext mit Hilfe spezieller Programme (z.B. Compiler) ausf�hrbare
Programme erzeuge.
Einleitung
**********
Datenschutz betrifft verschiedene Aspekte von Software und Software-Design.
Ein wichtiger Aspekt ist die Sicherheit der eingesetzten Software, ein
anderer die Transparenz der Software und der Schutz vor Spionage.
In diesen Punkten kann der Einsatz von Freier Software (FS) Vorteile
bringen. Im folgenden werden die verschiedenen Punkte einzeln betrachtet.
Betriebsysteme werden nicht vereinzelt betrachtet, wenn von Programm die
Rede ist, kann es sich auch um ein Betriebsystem handeln.
Sicherheit der Software
***********************
Die Sicherheit eines Programms h�ngt von verschiedenen Dingen ab.
FS ist nicht per-se sicherer als Closed Source Software. Sie bietet aber
bessere M�glichkeiten die Sicherheit eines Programmes zu untersuchen und
zu verbessern.
Potential zur Sicherheit
Verschieden Aspekte von FS erh�hen das Potential ein sicheres Produkt zu
erstellen.
Durch das Offenliegen des Quelltextes ist es jedermann m�glich, das
Programm zu analysieren und nach Sicherheitsproblemen zu durchsuchen. Diese
M�glichkeit alleine erh�ht die Sicherheit eines Programmes nicht solange
niemand den Quelltext liest und nach Fehlern durchsucht.
Wenn ein Sicherheitsloch in einem Programm gefunden wird, sollte dieses so
schnell wie m�glich korrigiert werden. Es ist zwar m�glich gewisse
Sicherheitsprobleme durch andere Massnahmen zu l�sen, der einzig richtige
Ort f�r eine Sicherheitskorrektur ist aber in der Software selbst.
Aus verschiedenen Gr�nden ist die Korrektur eines solchen Loches im FS
Bereich h�ufig schneller als im kommerziellen Bereich.(XXX Beispiele!)
Der Kommunikationsweg zwischen der Person die das Problem entdeckt und
der Person die f�r das betroffene Programm zust�ndig ist, ist, vor allem beim
Vergleich mit Grossfirmen, extrem viel k�rzer. Bei den meisten FS-Projekten
kann jedermann direkt Kontakt mit dem Entwickler aufnehmen der f�r den Fehler
zust�ndig ist und Ihm das Problem unterbreiten.
Bei (Gross)Firmen muss eine Fehlermeldung h�ufig viele Etappen durchlaufen bis
sie zu den zust�ndigen Personen gelangt.
Im Kommerziellen wie im FS-Umfeld kann es vorkommen, das der Hersteller des
Produktes nicht oder nur wenig daran interessiert ist, Sicherheitsprobleme
zu l�sen.
Wenn ein Programmierer in einem FS-Programm ein Sicherheitsproblem entdeckt,
kann er den Fehler selbst beheben. Sobald er den Fehler behoben hat, kann er
die Korrektur entweder selber publizieren, oder sie den Entwicklern zukommen
lassen. Der Entwickler muss sich in solch einem Fall nur noch darum k�mmern,
ob die L�sung des Problems korrekt ist. So wird die Wahrscheinlichkeit erh�ht,
dass die Korrektur in der "offiziellen" Version des Programmes eingef�gt wird.
Diese M�glichkeit besteht in einem Closed Source-Programm nicht. Es
besteht f�r Dritte keinerlei Weg, einen Fehler selbst zu beheben oder den
Entwicklern mit einer L�sung unter die Arme zu greifen. Bei den meisten
kommerziellen Lizenzen ist dies sogar ausdr�cklich verboten.
Innerhalb von Firmen existieren Richtlinien, welche die Entwicklung
von Software betreffen. Diese Richtlinien k�nnen gute wie schlechte
Auswirkungen auf die Qualit�t und damit die Sicherheit von Programmen haben.
Richtlinien, die Design betreffen, gehen h�ufig in die falsche Richtung. So
kann man sich fragen wie es kommt, das noch am selben Tag als Microsoft
Windows XP herausgegeben hat, ein 18Megabytes grosses Update der �ffentlichkeit
zur Verf�gung gestellt([SWDesign]). Solche Ereignisse lassen auf grobe Fehler
in den Designrichtlinien schliessen, sonst w�re es nie zu diesem peinlichen
Vorfall gekommen. Solche Richtlinien sind offensichtlicherweise sehr
kontraproduktiv f�r die Qualit�t der Software.
Da solche Richtlinien im FS Bereich weitgehend nicht existieren (Ausnahmen
sind z.B. FS die innerhalb einer kommerziellen Firma geschrieben wird),
kann der Entwickler frei bestimmen wie er seine Software schreiben will.
Hingegen besteht das Risiko, dass das Fehlen von allf�lligen "guten"
Richtlinien die Qualit�t der Software verschlechtern kann.
Ein h�ufiger Grund f�r Fehler in Software ist Termindruck, welcher auf den
Entwicklern lastet. Im FS-Umfeld programmiert jeder die Software, wozu er
Lust hat und stellt das Produkt zu dem Zeitpunkt fertig, den er w�nscht.
In gr�sseren Projekten existieren gewisse Termine (wenn z.B. eine neue
Version herausgegeben wird), wenn aber ein Programmierer nicht zu dem Termin
fertig ist, kann er sein Programm einfach zur�ckhalten. Termindruck ist in
der FS-Entwicklung also weitgehend inexistent. Somit entf�llt hier eine sehr
grosse Fehlerquelle.
Zertifikate
Zertifikate von bekannten Instituten werden von vielen Firmen und Beh�rden als
Qualit�tsgarantie gewertet. Dies ist auch im Sicherheitsbereich der Fall.
Das Fehlen eines oder mehrerer solcher Zertifikate wird oft als Mangel an
Qualit�t gewertet. Da FS-Produkte kaum zertifiziert sind, kann der Verdacht
aufkommen, dass sie eine solche Zertifizierung nicht bestehen w�rden.
Die Gr�nde warum Zertifikate im FS-Bereich so selten sind liegen aber vor
allem in anderen Bereichen.
Zertifizierungen sind generell sehr teuer.
Weil solche Zertifikate meist von kommerziellen Organisationen vergeben
werden, welche Fachpersonal f�r die Verifizierung bezahlen m�ssen,
sind die Zertifikate sehr kostspielig.
Da die meiste FS-Arbeit auf freiwilliger Basis erbracht wird, ist
das Geld f�r ein solches Zertifikat h�ufig nicht vorhanden.
Etliche FS-Produkte w�rden aber die Kriterien f�r sehr hohe
Zertifizierungsgrade erf�llen ([OpenBSD], [TrustedBSD] (in Arbeit),
[Trustix]).
Viele Standard-Produkte w�ren an sich auch Zertifizierbar.
Zertifizierungen gelten immer nur f�r eine Version.
Sobald etwas am zertifizierten Programm ge�ndert wird, muss neu
Zertifiziert werden. Dies ist im Sinne eines Zertifikates eine sehr
sinnvolle Einschr�nkung, da mit jeder �nderung neue Fehler eingef�hrt
werden k�nnen.
Viele FS-Projekte sind sehr bestrebt, die Sicherheit ihrer Produkte
hoch zu halten. Aus diesem Grund werden Sicherheitsfehler sehr
schnell behoben und immer weitere Sicherheitserweiterungen eingebaut.
Dies f�hrt dazu, das eine Zertifizierung sehr schnell nicht mehr
g�ltig w�re.
Schutz der Daten
****************
Sobald Daten von einem Ort zum anderen transportiert werden oder an
einem "unsicheren" Ort gelagert werden, m�ssen die Daten durch entsprechende
Massnahmen gesch�tzt werden. Methoden, um dies zu tun, sind vor allem in der
Kryptographie oder der Steganographie zu finden.
Kryptographie in FS
Es gibt eine breite Palette von Software welche kryptographische Methoden
implementiert. F�r die meisten Probleme, die mit Kryptographie l�sbar sind, gibt
es ein Produkt, das die entsprechenden kryptographischen Methoden zur
Verf�gung stellt. [OpenSSL] [OpenSSH].
Qualit�t der Kryptographie
Kryptographie ist eine ungenaue Wissenschaft. Aussagen zur Sicherheit sind
immer nur relativ zum aktuellen Wissenstand. Gewisse Sachverhalte lassen
sich formal beweisen, diese sind aber in der Minderheit.
Trotz dieser Einschr�nkungen sind gewisse absolute Aussagen zur Sicherheit
einer Methode machbar. Man unterscheidet zwischen starker und schwacher
Kryptographie. Methoden die als stark bezeichnet werden, haben eine Vielzahl
von Tests und Analysen ohne nennenswerte Beeintr�chtigung der Sicherheit
bestanden. Methoden, die mit solchen Tests und Analysen "geknackt" worden
sind oder werden k�nnen, bezeichnet man als schwach. Solche Methoden bieten
zwar Schutz vor zuf�lligem Entdecken, einem gezielten Angriff halten sie
aber nicht stand (selbst wenn die Methode nicht bekannt ist und nur der
verschl�sselte Text vorhanden ist).
Da FS von jedermann geschrieben werden kann, werden auch verschiedenste
kryptographische Methoden eingesetzt. Die M�glichkeit die eingesetzten Methoden
zu verschleiern besteht nicht, da ja jerdermann den Quelltext einsehen kann.
F�r eine sachkundige Person ist das absch�tzen der Sicherheit eines FS Produktes
erheblich einfacher als bei einem Closed Source-Programm.
Es ist g�ngige Praxis in Closed Source-Programmen schwache Methoden zu
verwenden und sich auf die "Unbekanntheit" der Methode zu verlassen.
Diese Methode wird in der Fachwelt als "security through obscurity" bezeichnet,
also "Sicherheit durch Verdunkelung" [Obscurity]. Damit ist das Geheimhalten des
Verschl�sselungsverfahrens gemeint. Dies ist insofern problematisch, als das
die Kryptographie keine genau Wissenschaft ist und es deshalb besser ist wenn
viele Personen (Kryptographen) das Verfahren nach Fehlern durchsuchen.
Diese Kernaussage der Kryptographie wurde bereits 1883 von Kerckhoff publiziert
[Kerckhoff] um so tragischer ist es, das es heute noch Firmen gibt, die mit
"Sicherheit durch Verdunkelung" Kunden k�dern.
Ein Paper zu diesem Thema kann unter [Crypto] gefunden werden.
Beispiele:
Funknetzwerke
Die heute verf�gbaren Funknetzwerke sind ein gutes Beispiel was man mit
Kryptographie alles falsch machen kann. Von zu kurzer Schl�ssell�nge bis zu
Programmierfehlern wurde bei der Sicherheit dieser Technologie sehr viel
falsch gemacht. Auch heute noch sind viele Produkte unsicher und gaukeln einem
einen falschen Sinn von Sicherheit vor ([WLAN]).
PPTP
PPTP ist ein Protokoll zum Verbinden von mehreren Netzwerken.
Microsoft benutzt in ihrem PPTP-Protokoll mehrere Techniken die zu kompliziert
und unsicher sind. Viele dieser Fehler wurden zwar im Verlauf der Zeit behoben,
das gravierendste Problem von allen haben sie aber nicht gel�st. Sie benutzen
f�r die Verschl�sselung immer noch Passw�rter die von Benutzern generiert werden.
Da die meisten Benutzer nicht in der Lage sind ein "gutes" Passwort zu
erstellen, ist das eine sehr grosse Schwachstelle die die Sicherheit von
allen miteinander verbundenen Netzwerken gef�hrdet ([PPTP]).
Haltbarkeit von Daten
*********************
Ob Daten nach l�ngerer Zeit noch gelesen werden k�nnen h�ngt von der Art ab wie
diese gespeichert werden.
Wenn Daten gespeichert werden geschieht das in einem sogenannt Dateiformat.
Um die Daten wieder lesen zu k�nnen muss man dieses Format kennen oder
herausfinden (was sehr schwierig sein kann).
Viele kommerzielle Firmen behalten ihre Dateiformate f�r sich, es ist deshalb
nur m�glich, Dateien in solch einem Format mit einem Programm dieser Firma
zu lesen. Sollte es die Firma oder das Programm nicht mehr geben, kann man
auf die Daten nicht mehr zugreifen. Eine M�glichkeit w�re, das man die m�hsame
Arbeit auf sich nimmt das Dateiformat herauszufinden. In vielen F�llen wird das
aber durch die Lizenz des Programmes explizit verboten.
Wenn das Dateiformat f�r jerdermann verwendbar publiziert wird, spricht man von
einem offenen Dateiformat. Ist dies mit einem Format der Fall, kann man
jederzeit ein neues Programm schreiben, das Daten die in diesem Format
gespeichert wurden, lesen kann.
Bei FS-Programmen kann man mit dem entsprechenden Fachwissen die Programmteile
die f�r das Speichern und Lesen dieses Dateiformats aus dem Quelltext entnehmen
und in ein neues (aktuelles) Programm einbauen.
Schutz vor Spionage
*******************
Mit der zunehmenden Vernetzung erh�ht sich auch das Risiko der permanenten oder
sporadischen Spionage. Im Closed Source Bereich ist es h�ufig der Fall, das
ein Programm oder ein Betriebsystem (vertrauliche) Informationen an den
Hersteller sendet [Spyware].
Gewisse Firmen (ganz speziell Microsoft, siehe [Palladium]) planen eine
extreme Ausweitung ihrer Datensammlungs- und Benutzerkontrollsysteme die sie
in ihre Produkte einbauen.
Nat�rlich sind auch FS-Programme nicht davor gefeit, als Spyware eingesetzt zu
werden. Dies f�llt aber meistens sehr schnell auf und kann auch behoben werden.
Weiter stellt es kein Problem dar, bestehend auf der als Spyware konzipierten
Software (die vielleicht sehr n�tzliche Funktionen zur Verf�gung stellt), eine
neue Version ohne die Spionagefunktionen zu erstellen und der �ffentlichkeit
zur Verf�gung zu stellen.
Weiter kann man sich vor passiver Spionage (abh�ren von Kommunikationen) mit
Hilfe von kryptographischen Hilfsmitteln sch�tzen, dies wurde in der
vorhergehenden Sektion behandelt.
Schutz des Endbenutzers
***********************
Die meisten bereits erw�hnten Punkte dienen nat�rlich auch dem Schutz des
Endbenutzers, es gibt aber gewisse Aspekte, die gesondert betrachtet werden
sollten.
Schutz vor Fehlmanipulationen
Ein sehr h�ufiger Grund f�r Sicherheitsprobleme sind Fehlmanipulationen von
Seiten des Benutzers. So werden zum Beispiel "lustige" Programme �ber Email
versandt und ohne dar�ber Nachzudenken ausgef�hrt. Das solch ein Programm einen
Trojaner installieren oder die Festplatte l�schen k�nnte ist vielen
nicht bewusst.
Im FS-Betriebsystembereich sind auf UNIX-Gedankengut basierende Betriebsysteme
die Regel [LinuxDistros], [Tribug]. In diesen ist eine Trennung von
Administration und Benutzung seit Jahrzehnten gang und g�be. Der Nutzer
kann h�chstens seine eigene Arbeitsumgebung gef�hrden. Dieser Schutz gilt
nat�rlich ganz speziell f�r Viren die vor allem auf Einzelbenutzer-
Betriebsystemen sehr gef�hrlich sind.
Standardkonfiguration
Kommerzielle Softwarehersteller aber auch gewisse FS-Hersteller (wie [SUSE])
haben das Ziel, das Betriebsystem so zu konfigurieren, das der User
m�glichst alles machen kann was er zu tun w�nscht, ohne von
Sicherheitsmassnahmen behindert zu werden.
Diese Vorgehensweise kann vielen Angreifern T�r und Tor �ffnen.
Es gibt aber einige FS-Projekte die auf diese "Verkaufbarkeit durch einfache
Benutzung" verzichten ([Debian],[Gentoo],[OpenBSD]) und einem versierten
Benutzer oder Administrator eine sehr gute Basis bieten, eine sehr sichere
Installation zu erstellen. Unerfahrene Anwender laufen in einer solchen
Installation nicht Gefahr, ihr System durch Unkenntnis unn�tigen Gefahren
auszusetzen.
Rechtliche Lage
***************
Viele L�nder wie z.B. die USA, haben rechtliche Bestimmungen was den Export von
kryptographischen Produkten betrifft. Produkte die aus solchen L�ndern stammen
stehen meist nur mit abgeschw�chter Kryptographie anderen L�ndern zur Verf�gung.
Da FS-Entwicklung nicht an ein konkretes Land gebunden ist, steht f�r die
meisten FS-Produkte starke Kryptographie zur Verf�gung.
Produkthaftung wird von FS- wie von Kommerziellen-Lizenzen grunds�tzlich
abgelehnt. Rechtlich bieten kommerzielle Lizenzen generell keine h�here
Leistung verglichen mit den Lizenzen von freier Software.
Analyse der aktuellen Situation
*******************************
In den Vorhergehenden Teilen wurde Freie Software als allgemeines Konzept
betrachtet. Im folgenden soll anhand von verschiedenen Beispielen einzelne
Produkte vorgestellt werden und zum Teil mit ihren kommerziellen verglichen
werden.
Linux
Wohl der prominenteste Vertreter der Freien Software ist das Betriebsystem
Linux (auch GNU/Linux genannt). Es existieren eine grosse Anzahl von
verschiedenen sogenannten Distributionen. Diese bieten alle einen durchwegs
guten Schutz der Benutzer und der Dienste die darauf laufen. Viren sind auf
diesem Betriebsystem weitgehend inexistent.
Die Linuxgemeinde legt grossen Wert auf das Weiterentwikeln von Features
und neuen Programmen, die Sicherheit wird dabei aber nicht ausser acht
gelassen. [LinuxDistros]
OpenBSD [OpenBSD]
OpenBSD ist ein auf, wie der Name schon sagt, BSD basierendes Betriebsystem,
welches den Ruf hat, das sicherste erh�ltliche Betriebsystem zu sein. Die
Grundmaxime von OpenBSD ist robustes, d.h. fehlerfreies Programmieren. Im
Gegensatz zu vielen kommerziellen Betriebsystemen wird OpenBSD kontinuierlich
weiterentwickelt. So wird verhindert das die selben Fehler nicht mehrmals
passieren OpenBSD hat in den letzten 6 Jahren nur ein einziges bekanntes
Sicherheitsloch gehabt.
Apache vs. IIS
Apache ist ein FS-Web-Server der laut [Netcraft] zur Zeit der meistbenutzteste
Server der Welt ist (ca 60% der eingesetzten Webserver basieren auf Apache).
Sein st�rkster Konkurrent ist IIS von Microsoft. Die folgende �bersicht zeigt
einen Vergleich der Sicherheitsprobleme der beiden Programme in den vergangenen
Jahren. (Quelle: [SecurityFocus])
Sicherheitsprobleme von 1996 - August 2002
IIS Apache
Probleme: 102 32
Als Beispiel f�r die Unsicherheit von IIS kann code-red aufgef�hrt werden,
welcher innert 3 Tagen mehrere hunderttausend Windows-Server infiziert hat
und der bis heute noch aktiv ist. [CodeRed]
Outlook vs. Alle anderen Mailer
Es gibt wohl kaum eine Software die f�r soviele Sicherheitsprobleme zust�ndig
ist wie Microsoft Outlook. Die Integration von Makrosprachen und direktem
�ffnen von Dokumenten in diesem Programm (die die Benutzung sehr einfach mache)
�ffnet hunderte von Angrifsmethoden.
'I love you' und 'Meliassa' sind zwei der prominentesten Angrife auf Outlook.
Systeme, die andere Mail-Software benutzen, waren nicht betroffen.
Jedes FS-Mailprogramm ist sicherer als Outlook. Die von vielen Firmen begehrten
Funktionalit�ten von Outlook wie Terminverwaltung sind alle l�ngst als
Freie Software erh�ltlich.
Zusammenfassung
***************
Freie Software ist an sich ist keine Garantie f�r Sicherheit und Datenschutz.
Es gibt aber viele Punkte die diese Aspekte f�rdern. Die Realit�t zeigt das
Freie Software im Schnitt sicherer als das ensprechende kommerzielle Produkt
ist. Die M�glichkeiten solche Produkte zu analysieren und zu modifizieren
bieten ein sehr weites Mass an Freiheiten, die f�r den Datenschutz sehr
f�rderlich sind.
Sobald es zum Thema Schutz vor Spionage kommt, kann Freie Software aufgrund
seiner nat�rlichen Transparenz jedes Closed Source-Produkt in den Schatten
stellen.
Referenzen
**********
[CodeRed] http://www.caida.org/analysis/security/code-red/
[Crypto] http://www.counterpane.com/whycrypto.html
[Debian] http://www.debian.org
[Gentoo] http://www.gentoo.org
[gnupg] http://www.gnupg.org
[LinuxDistros] http://www.distrowatch.com/
[Netcraft] http://www.netcraft.com/survey/
[Obscurity] http://www.ietf.org/internet-drafts/draft-ymbk-obscurity-00.txt
[Kerckhoff] http://www.cl.cam.ac.uk/~fapp2/kerckhoffs/
[OpenBSD] http://www.openbsd.org
[OpenSSH] http://www.openssh.org
[OpenSSL] http://www.openssl.org
[Palladium] http://www.cl.cam.ac.uk/~rja14/tcpa-faq.html
[PPTP] http://www.counterpane.com/pptpv2-paper.html
[Spyware] http://www.spyware.co.uk
[SUSE] http://www.suse.de
[SWDesign] http://msnbc.com/news/768401.asp
[Tribug] http://www.tribug.org/bsd.html
[TrustedBSD] http://www.trustedbsd.org
[Trustix] http://www.trustix.net/
[WLAN] http://www.oreillynet.com/pub/a/wireless/2002/04/19/security.html
--- End Message ---
