NSA stoi za backdoorami w urządzeniach sieciowych?
Ledwie w internecie rozniosła się informacja o znalezieniu dwóch tylnych drzwi w urządzeniach sieciowych firmy Juniper Networks, a już wskazano prawdopodobnego winnego ich istnienia. Ralf-Philipp Weinmann, niemiecki ekspert ds. bezpieczeństwa komputerowego, twierdzi, że za backdoorami stoi NSA.
Jeden z dwóch backdoorów pozwala na odszyfrowanie ruchu przechodzącego przez urządzenia Junipera. Znajduje się on w ScreenOS 6.2.0r12 i innych wersjach firmware'u. Zdaniem Weinmanna to sposób, w jaki działa backdoor zdradza, że stoi za nim NSA. ScreenOS wykorzystuje, zatwierdzony przez instytucje rządowe, algorytm Dual_EC do generowania liczb losowych używanych do szyfrowania. Podejrzenia co do działalności tego algorytmu pojawiły się już w 2007 roku, a w roku 2013 Edward Snowden ujawnił projekt BULLRUN, w ramach którego NSA dążyła do celowego osłabienia narzędzi i standardów przemysłowych. Skupiała się przy tym szczególnie na Dual_EC. Następnie w latach 2014 i 2015 eksperci dowodzili, że celowe osłabienie Dual_EC przez NSA może zostać wykorzystane do umieszczenia tylnych drzwi i odszyfrowania danych.
W 2013 roku Juniper zapewnił, że Dual_EC nie jest podstawowym generatorem liczb losowych w jego urządzeniach. Ponadto firma dodała, że używa takiej wersji Dual_EC, która została zmieniona względem standardowej. To powinno zabezpieczyć przed backdoorem.
Teraz okazało się, ze od 2012 roku używana jest standardowa edycja Dual_EC. Zdaniem Weinmanna, ktoś bez zgody Junipera dokonał w oprogramowaniu takich zmian, by NSA mogła wykorzystać tylne drzwi. Niewykluczone, że dało to agencji dostęp do wszelkich danych przesyłanych za pośrednictwem urządzeń Junipera.
Komentarze (10)
lester, 28 grudnia 2015, 15:54
NSADodając do tego dążenie w USA do zablokowania możliwości zmiany firmware w urządzeniach sieciowych, jasne staje się kto odpowiada za obecne i przyszłe backdoory oraz nie pozostawia wątpliwości po co im one.
Przemek Kobel, 29 grudnia 2015, 10:49
To tak wygląda, jakby o instalowaniu tych wynalazków decydował średnio zorientowany księgowy. Wszystkie hasła fabryczne, furtki i dziury, prędzej czy później wyciekną, a efekt prawie zawsze będzie odwrotny od zamierzonego. Bo dzięki owym decyzjom teraz potencjalnie każdy może podsłuchiwać sprzęt JN. To mniej więcej odpowiednik zostawienia bez personelu w pełni wyposażonej i działającej bazy rakietowej.
Gość Astro, 29 grudnia 2015, 11:26
W kontekście JN to bardzo trafne porównanie. Zastanawiam się, czy w NSA zatrudniają ludzi myślących bardziej wyrafinowanie niż ci, dla których młot to podstawowe narzędzie pracy…
thikim, 29 grudnia 2015, 13:27
Decydentami są po prostu urzędnicy o wyobraźni mniejszej niż kawałki marmuru w ZUS.
I na nic tu się nie zda zatrudnienie super hiper hakerów bo i tak ostateczne decyzję podejmie urzędnik. Źle to czy dobrze? Nie mi oceniać.
Państwa demokratyczne mają to do siebie że nie można nikomu dać pełnej swobody.
Gość Astro, 29 grudnia 2015, 13:33
Oprócz
Jajcenty, 29 grudnia 2015, 21:21
Może ktoś z tutejszych wiedzących podać namiary na sprzęt i firmware bez tych niespodzianek? Może jakaś hakerska strona z listą sprzętu przeczesanego przez społeczność?
Strasznie są irytujące takie wiadomości, mam się teraz zająć kryptografią żeby sobie napisać własny firmware? Nie mam czasu bo studiuję medycynę ;P
Gość Astro, 30 grudnia 2015, 11:40
Dosyć ryzykownie sporządzać taką listę.
lester, 30 grudnia 2015, 12:01
@Jajcenty, poszukaj sobie czegoś na projekcie OpenWRT: http://wiki.openwrt.org/toh/start. Są tam podane modele do których mają custom firmware. Nie dość, że powinieneś dostać produkt bez dziur, to oprogramowanie zazwyczaj pozwala na dużo więcej niż zaraz po wyjęciu z pudełka. A jeśli nie wierzysz otwartoźródłowym projektom
to jest np. płatny DD-WRT: http://www.dd-wrt.com/site/index
BTW. student medycyny powiadasz... który boi się NSA. Ciekawe, ciekawe
Jajcenty, 30 grudnia 2015, 13:41
To był żart. W dzisiejszych czasach, jeśli chcesz mieć coś dobrze zrobione musisz zrobić to sam. Ze względu na terminy jakie wyznaczają moim rodzicom w przychodniach, postanowiłem się studiować medycynę na wiki. Aktualnie jestem przy "nieswoiste". Dlatego nie mam czasu na pisanie samoróbek
Dzięki za link. Mój sprzęt jest na liście. Teraz tylko wgrać nowy soft, stwierdzić, że się nie udało, kupić nowy ruter, przekonać ISP do nowego MACa i już za dwa tygodnie jestem z powrotem.
pogo, 30 grudnia 2015, 22:04
Zwyczajnie sklonuj MACa, aby dalej używać tego samego. Do tego zapasowy, najtańszy router i nie będziesz znikał na tak długo