Η Juniper εντόπισε backdoor εγκατεστημένο από το 2012 στην σειρά NetScreen firewall

[nnn]

Η Juniper Networks αποκάλυψε σήμερα πως ορισμένα από τα προϊόντα της είχαν μη εξουσιοδοτημένο κώδικα στο λογισμικό των NetScreen firewalls της.

Ο εντοπισμός του backdoor έγινε στην διάρκεια ενός τυπικού code review μετά την υπόδειξη του ερευνητή ασφαλείας "The Grugq,", και φαίνεται πως ήταν παρούσα από τα τέλη του 2012 έως σήμερα. Η Juniper έδωσε σήμερα αναβάθμιση του ScreenOS που αντιμετωπίζει αυτό το ζήτημα.

Εκπρόσωπος της δήλωσε τα παρακάτω:

During a recent internal code review, Juniper discovered unauthorized code in ScreenOS® that could allow a knowledgeable attacker to gain administrative access and if they could monitor VPN traffic to decrypt that traffic. Once we identified these vulnerabilities, we launched an investigation and worked to develop and issue patched releases for the impacted devices. We also reached out to affected customers, strongly recommending that they update their systems and apply the patched releases with the highest priority.

The patched releases also address an SSH bug in ScreenOS that could allow an attacker to conduct DoS attacks against ScreenOS devices. These two issues are independent of each other.

More information on these issues and the fix can be found in our JSAs available here: http://advisory.juniper.net

Πηγή : Engadget

[DVader]

Υπάρχουν άνθρωποι που αγοράζουν τέτοια ....

[sdikr]

Υπάρχουν άνθρωποι που αγοράζουν τέτοια ....

Ανρθωποι όχι, εταιρίες όμως ναι

[Cha0s]

Τουλάχιστον το δημοσίευσαν. Κάτι είναι και αυτό από το να το κάνανε τελείως γαργάρα :P

Αυτά είναι τα καλά του κλειστού λογισμικού

[emeliss]

Ανοικτό, κλειστό, δεν έχει σημασία. Η NSA φτιάχνει τα πρότυπα όπως γουστάρει, μπαίνει man in the middle όπου γουστάρει, όλα καλά και ασφαλή...

[Frontier]

Ανοικτό, κλειστό, δεν έχει σημασία. Η NSA φτιάχνει τα πρότυπα όπως γουστάρει, μπαίνει man in the middle όπου γουστάρει, όλα καλά και ασφαλή...

Ακριβώς!

[euri]

Υπάρχουν άνθρωποι που αγοράζουν τέτοια ....

Δηλαδή;

[aiolos.01]

3+ χρόνια τρύπα. Καλά είναι. Και πρόκειται για σοβαρή εταιρία. Φαντάσουν τι γίνεται αλλού...

[Dark Demis]

nsa cia (και όσους δεν ξέρουμε ακόμη) πάτησαν dislike στην είδηση αυτή και ξεκίνησαν την παραγωγή νέου backdoor

[minas]

Υπάρχουν άνθρωποι που αγοράζουν τέτοια ....

Γιατί το λες? Έχουν τεράστιο μερίδιο αγοράς σε δίκτυα κορμού και κάνουν αρκετά καλή δουλειά. Εκτός εάν μιλάς για τα firewalls συγκεκριμένα, που δεν είναι ιδιαίτερα καλύτερα ή χειρότερα από άλλες "κλειστές" λύσεις.

[Sebu]

nsa cia (και όσους δεν ξέρουμε ακόμη) πάτησαν dislike στην είδηση αυτή και ξεκίνησαν την παραγωγή νέου backdoor

Ή nsa, cia και λοιποί, "έδωσαν εντολή" να βρεθεί και να πατσαριστεί αυτό γιατί έχουν δημιουργήσει κάποιο νεότερο πιο εξελιγμένο, οπότε τα πρόβατα συνεχίζουν να τρώνε το σανό τους ότι και καλά τρύπες βρέθηκαν και έκλεισαν

Ειδικά αυτό που λέει

and if they could monitor VPN traffic to decrypt that traffic

έχει μεγάλο ενδιαφέρον για όσους πιστεύουν ότι το VPN είναι ασφαλές και μπορείς να κυκλοφορείς στο δίκτυο χωρίς να ανησυχείς ότι τρίτοι γνωρίζουν τι κάνεις.
Δεν αναφέρομαι σε ιδιώτες τόσο όσο σε εταιρείες οι οποίες χρησιμοποιούν vpn για ασφαλείς επικοινωνίες και μεταφορές αρχείων/πληροφοριών εκτός του τοπικού δικτύου τους αλλά εντός του παγκόσμιου ιστού.

[Cha0s]

Απόσα διαβάζω σχετικά με το VPN backdoor δεν αναφέρεται κανένα συγκεκριμένο implementation (IPsec, OpenVPN, whatever) ούτε ξεκαθαρίζει πως ακριβώς παίζει πέρα του ότι απλά διευκολύνει τον attacker να κάνει decrypt sniffed κίνηση.
https://cve.mitre.org/cgi-bin/cvenam...=CVE-2015-7756

The encryption implementation in Juniper ScreenOS 6.2.0r15 through 6.2.0r18, 6.3.0r12 before 6.3.0r12b, 6.3.0r13 before 6.3.0r13b, 6.3.0r14 before 6.3.0r14b, 6.3.0r15 before 6.3.0r15b, 6.3.0r16 before 6.3.0r16b, 6.3.0r17 before 6.3.0r17b, 6.3.0r18 before 6.3.0r18b, 6.3.0r19 before 6.3.0r19b, and 6.3.0r20 before 6.3.0r21 makes it easier for remote attackers to discover the plaintext content of VPN sessions by sniffing the network for ciphertext data and conducting an unspecified decryption attack.

http://www.wired.com/2015/12/juniper...ent-backdoors/

Weaver says this depends on the exact nature of the VPN backdoor. “If it was something like the Dual EC, the backdoor doesn’t actually get you in, … you also need to know the secret. But if it’s something like creating a weak key, then anybody who has captured all traffic can decrypt.” Dual EC is a reference to an encryption algorithm that the NSA is believed to have backdoored in the past to make it weaker. This factor, along with knowledge of a secret key, would allow the agency to undermine the algorithm.

Matt Blaze, a cryptographic researcher and professor at the University of Pennsylvania, agrees that the ability to decrypt already-collected Juniper VPN traffic depends on certain factors, but cites a different reason.

“If the VPN backdoor doesn’t require you to use the other remote-access [password] backdoor first,” then it would be possible to decrypt historical traffic that had been captured, he says. “But I can imagine designing a backdoor in which I have to log into the box using the remote-access backdoor in order to enable the backdoor that lets me decrypt intercepted traffic.”

A page on Juniper’s web site does appear to show that it’s using the weak Dual EC algorithm in some products, though Matthew Green, a cryptography professor at Johns Hopkins University, says it’s still unclear if this is the source of the VPN issue in Juniper’s firewalls.

Από το παραπάνω συμπεραίνω ότι αναφέρεται σε VPNs που γίνονται terminate πάνω στην ίδια συσκευή και όχι σε VPNs που περνάνε πάνω από την συσκευή.
Επομένως δεν τίθεται θέμα καμίας NSA να έχει πρόσβαση σε οτιδήποτε VPN περνάει πάνω από αυτά τα τα firewalls.
Μιλάνε για πιθανή δημιουργία μη-ασφαλών κλειδιών κλπ. Κάτι που δεν γίνεται αν δεν κάνει terminate το VPN πάνω στην ίδια τη συσκευή.
Αν πάρουμε για παράδειγμα το IPsec, 1 byte να αλλάξουν καθώς περνάει από πάνω τους το tunnel τότε δεν θα μπορεί να γίνει decrypt στην απέναντι μεριά και θα κάνει fail. Οπότε δεν μπορούν να σκαλίζουν την κίνηση που γίνεται forward.
Ακόμα και αν το backdoor κάνει MITM αντικαθιστώντας τα certificates κάπως, ένα σωστά στημένο IPsec με signed κλειδιά θα κάνει fail σε τέτοια περίπτωση.

Γενικά μην ψαρώνετε και σπείρετε τον πανικό. Αυτό ακριβώς επιδιώκει η κάθε NSA. Να περάσει την λογική ότι δεν υπάρχει ασφάλεια ώστε να θεωρεί ο μέσος χρήστης ανούσιο το να χρησιμοποιήσει VPN κάτι που ΔΕΝ ισχύει.
Ναι μπορεί η NSA να έχει βάλει το χέρι της σε πολλά critical πράγματα, αλλά δεν είναι όλα τόσο απλά για να λέμε ότι οτιδήποτε software κάνει encryption έχει αυτομάτως πρόσβαση η NSA.
Αυτά είναι εσφαλμένα συμπεράσματα ημιμάθειας και δεν βοηθούν την κατάσταση παρά μόνο την χειροτερεύουν. Η δεισιδαιμονία δεν έχει θέση στην τεχνολογία.

Και στην τελική το επιχείρημα ότι μόνο με Opensource μπορείς να είσαι safe ακόμα στέκει.
Μπορεί η πλειοψηφία του κόσμου να μην μπορεί να κάνει audit πχ το OpenSSL library αλλά δεν σημαίνει ότι όσοι έχουν τις γνώσεις δεν μπορούν (κάτι που όντως έγινε και βρέθηκαν προβλήματα).

Μπορεί να ειπωθεί το ίδιο όμως για encryption libraries της κάθε Microsoft για παράδειγμα όμως;
Θα δώσει ποτέ τον κλειστό κώδικα της η κάθε Microsoft να τον κάνει audit ο οποιοσδήποτε;

Είναι απλά αφελής όποιος δεν θεωρεί μονόδρομο τον ανοιχτό κώδικα όταν πρόκειται για ασφάλεια.
Με μαύρα κουτιά είναι απλά αδύνατο να υπάρχει ασφάλεια.

[nnn]

Όπως ήταν αναμενόμενο από πίσω βρίσκεται η αγαπημένη μας τριγράμματη

The researchers’ findings suggest that the NSA may be responsible for that backdoor, at least indirectly

[Zus]

Οι τύποι της τριγράμματης με όλα αυτά που έχουν καταφέρει δείχνουν ότι είναι σαίνια και η όποια κόντρα είναι εντελώς άδικη. Οι άνθρωποι είναι πολύ μπροστά.

[SfH]

Ενδιαφέρον σχετικό κείμενο που μπαίνει λίγο πιο βαθιά στο θέμα .