NSA en GCHQ werkten samen voor toegang tot Juniper-apparatuur

The Intercept publiceert een document dat aangeeft dat de Britse GCHQ in samenwerking met de NSA in 2011 toegang had tot verschillende modellen van Juniper-apparatuur. Een direct verband met de recent ontdekte backdoor zou niet blijken uit het document.

In het document wordt beschreven dat Juniper een interessant doelwit is, omdat de door het bedrijf geleverde routers 'een hoge dichtheid hebben over de hele wereld' en Juniper 'ssl vpn-diensten levert'. Het bedrijf wordt ook beschreven als een gevaar, omdat het veel nadruk zou leggen op beveiliging. Hierdoor zou het nodig zijn om nieuwe ontwikkelingen op de voet te blijven volgen. Vervolgens beschrijft het document dertien NetScreen-firewalls, die toegankelijk zouden zijn. Voor sommigen zou echter nog enig reverse engineering nodig zijn, afhankelijk van de firmware.

Cryptograaf Matt Blaze laat aan The Intercept weten dat hij het niet aannemelijk acht dat de recent vastgestelde backdoor in firewalls van Juniper en de mogelijkheid om vpn-verkeer te ontsleutelen direct verband houden met de mogelijkheden die in het document worden beschreven. Als ze al dergelijke toegang hadden, dan zou daar volgens hem meer dan wat reverse engineering voor nodig zijn. Hij stelt dat het document uit 2011 meer lijkt op het NSA-programma Feedthrough, dat in 2007 door Der Spiegel werd gepubliceerd.

Hoewel er dus geen directe link met de recente gebeurtenissen schijnt te zijn, tonen de documenten aan dat Juniper hoog op de wensenlijst van de NSA stond. Volgens het document uit 2011 zou de mogelijkheid om firewalls binnen te kunnen dringen 'vele vruchten afwerpen in de toekomst'.

IT-banen

Reacties (39)

Pim0377 24 december 2015 10:16

En de hele wereld is verrast

Eerlijkheidspoll......wie zat te wachten op het bericht dat NSA toegang had tot Juniper networks...na de berichtgeving van van de week van Juniper zelf?

Blokker_1999

Netwerk en systeembeheer

@Pim0377 • 24 december 2015 10:18

Niemand denk ik. Dat ze tot zoiets in staat zijn wisten we al langer. In de periode dat de Amerikaanse senaat met waarschuwing kwam dat apparatuur van o.a. Huawei backdoors kon bevatten van de chinese overheid kwamen ook de eerste bewijzen dat de NSA deze mogelijkheid zelf al had in apparatuur van Cisco. Als ze het bij Cisco kunnen, waarom dan niet bij Juniper?

Verwijderd @Blokker_1999 • 24 december 2015 14:19

Dat is idd een staaltje van 'hoe de waard is vertrouwd hij zijn klanten.' Ik denk dat NL'se technologie bedrijven zoals ASML geen apparatuur van Cisco of Juniper moeten gebruiken en ook niet van Huawei. Beter is om zelf een router te maken op basis van Linux hardware.

mbb @Verwijderd • 26 december 2015 04:20

Gewooon in alle ASML-machine-gebakken-chips een backdoor van de AIVD inbouwen. Daar hebben we die terughackwet stieken voor uitgevonden, om de Nederlandse economie mee te redden, kunnen we 'subsidie in natura' aan high-tech bedrijven geven

Verwijderd @Verwijderd • 25 december 2015 18:51

Hoe moet je als groot technisch Europees bedrijf je kennis nog beschermen van de twee grote spion naties, USA & China ?

Wat doen wij Europeanen nu we dit soort zaken allemaal weten? Leuk doorgaan met Amerikaanse software/hardware gebruiken en Chinese software/hardware?

Of gaan we eindelijk een keertje.... zelf iets opzetten.

majetta @Verwijderd • 25 december 2015 19:01

dat zal wel ooit geprobeerd zijn maar niemand wilt de rekening betalen. Geld en kennis spelen een belangrijk rol voor bedrijven.

hardwareaddict @Blokker_1999 • 26 december 2015 16:22

Gros van cisco apparatuur wordt geproduceerd in China.

Land van productie = land van grootste hardware hack in hardware natuurlijk.
D'r vertrekt natuurlijk niks uit China wat niet gehackt kan worden door Chinese NSA equivalent. Echt 1+1 bij elkaar optellen is dat.

z1rconium @Pim0377 • 24 december 2015 10:24

Zonder bewijs blijft het een verhaal en vermoeden.
Nu is er bewijs, maar men weet nog niet hoeveel er gebruik is gemaakt van deze backdoor, dat maakt het "spannender".

Grootste probleem is dat alle grote netwerk jongens de sjaak zijn van deze onzinnige bezigheid.
Nog even wachten op Fortinet en F5 dan is het klaar.

robvanwijk

Netwerk en systeembeheer

@Pim0377 • 24 december 2015 14:22

wie zat te wachten op het bericht dat NSA toegang had tot Juniper networks...na de berichtgeving van van de week van Juniper zelf?

Ik zit vooral te wachten op berichtgeving over welke netwerkapparatuur de Amerikaanse overheid in het algemeen (en de Amerikaanse inlichtingendiensten in het bijzonder) zélf gebruiken. Want ik lach me helemaal dubbel als iemand een NSA-backdoor reverse engineered en die gebruikt om het Pentagon of het Witte Huis te hacken... en vroeg of laat gaat dat gebeuren, dat is op de lange duur onvermijdelijk...

compufreak88 24 december 2015 10:39

Waarom je verschillende lagen firewalls nodig hebt: https://twitter.com/meneer/status/678289680111153152

5trife @compufreak88 • 24 december 2015 11:49

Open Source lijkt me beter indien je de source code kunt verifiëren en zelf kunt compileren.

Kwastie @5trife • 24 december 2015 12:20

Dat is waar, maar ook in opensource software kunnen fouten (of zelfs backdoors) zitten. OpenSSL is een goed voorbeeld met Heartbleed. Desondanks denk ik dat opensource software beter is dan proprietary software, omdat het onderzocht *kan* worden.

Verwijderd @Kwastie • 24 december 2015 12:58

Dat is waar, maar ook in opensource software kunnen fouten (of zelfs backdoors) zitten. OpenSSL is een goed voorbeeld met Heartbleed. Desondanks denk ik dat opensource software beter is dan proprietary software, omdat het onderzocht *kan* worden.

Dat is dan ook gelijk het grootste risico van open source software. Als iemand kwade bedoelingen / geheimhoudingsplicht heeft kunnen zulke lekken makkelijk gevonden en misbruikt worden door NSA en terroristen.

svenslootweg @Verwijderd • 24 december 2015 15:06

Dat is het gebruikelijke "security through obscurity" argument, en het klopt niet - het is namelijk helemaal geen risico. Voor een aanvaller is er sowieso een incentive (vaak financieel) om lekken te vinden, en dus maakt het niet echt uit hoeveel werk het kost - er staat immers een beloning tegenover. Proprietary of niet, lekken vinden is altijd mogelijk.

Daarbij is proprietary software zelfs meer aantrekkelijk voor een aanvaller, omdat de kans kleiner is dat een "defensieve" derde partij (die dat incentive niet heeft, en er dus minder werk in kan stoppen) het lek al heeft gevonden en gepatcht. De aanvaller heeft er dan dus langer baat bij.

Het probleem met het argument dat jij stelt, is dat er de aanname is dat zowel de offensieve als de defensieve zijde dezelfde soort motivatie hebben om lekken te vinden, en dat klopt dus niet.

[Reactie gewijzigd door svenslootweg op 26 juli 2024 01:51]

keesdewit @svenslootweg • 24 december 2015 18:25

Zijn argument klopt wel degelijk. Je kunt toch niet ontkennen dat het veel makkelijker is om gaten te vinden als je ook de broncode ter beschikking hebt? Ja, je kunt het misschien "security through obscurity" noemen, maar als ik inzage heb in de broncode kan ik veel makkelijker inschatten welke punten mogelijk zwakheden bevatten. Het geeft me ook inzage in de uithoeken van de software die je zonder broncode niet zo makkelijk vindt.

Proprietary software is zeker niet altijd aantrekkelijker voor een aanvaller. Het hangt volledig van de wensen van de aanvaller af. Sommige proprietary software heeft lang niet de marktpenetratie die open source software heeft. Denk bijvoorbeeld aan een CMS systeem zoals Joomla. Als de aanvaller daar een lek in kan vinden heeft dat veel meer waarde dan in het proprietary CMS systeem van de lokale webdesigner.

Het probleem met jouw argumenten is dat jij de zaken vanuit één dimensie bekijkt, terwijl dit onderwerp veel meer invalshoeken kent. Ik vind het voorts jammer dat mensen open source aandragen als middel tegen lekken in software.

keesdewit @5trife • 24 december 2015 17:58

Dat is eigenlijk een nadeel van open source software. De hele wereld kan namelijk in de code op zoek gaan naar lekken.

hardwareaddict @keesdewit • 26 december 2015 16:24

Even het verschil helder hebben tussen hardware hacks en software bugs.

NSA en de equivalenten van niet-NATO landen die niet bij de NSA zijn aangesloten, die spelen op beide nivo's. Software bugjes kun je oplossen natuurlijk - hardware bugs niet zonder de hardware te vervangen.

Yariva Moderator internet & netwerken @compufreak88 • 24 december 2015 13:19

Tuurlijk is dat allemaal hartstikke mooi, maar in de praktijk bij klanten (max 300 werknemers) is het budget er niet om 4 lagen toe te passen. Daarnaast kost het ons 4 keer zoveel tijd wanneer er een simpele policy change moet worden uitgevoerd, en dat kost de klant dan weer meer geld.

icecreamfarmer 24 december 2015 10:14

Het zou grappig zijn als diverse overheden er toegang toe hadden zonder het van elkaar te weten.
Dat moet voor een behoorlijke verrassing gezorgd hebben

RM-rf @icecreamfarmer • 24 december 2015 11:00

Het gevaarlijk is nu eigenlijk juist het samenwerken van zulke diensten buiten zicht van de Nationale Overheden als hun controleurs...
Omdat daarmee deze inlichtingendiensten een 'rechts-vrije' ruimte lijken te kunnen scheppen waarbij ze hun eigen opdrachtgevers én hun grondwettelijke verplichtingen kunnen ontlopen cq kunstmatig verruimen...

Normaals gezien vallen ook alle inlichtingendiensten onder Grondwettelijke kaders, en worden op basis hiervan gecontroleerd of hebben ook te maken met beperkingen en moeten soms voor bepaalde handelingen extra toestemming krijgen of mogen ook niet zomaar eindeloos iedereen bespioneren...

Die beperkingen zijn echter gevat voornamelijk onder nationale grondwetten gedefinieert en in de laatste 10,15 jaar merk je juiste en sterke opkomst van internationale samenwerking tussen deze diensten als NSA, GCHQ, maar evenzeer de AIVD of duitse BND, én uiteindelijk evengoed twijfelachtige diensten in dictatoriele landen (bv ook veel arabische geheime diensten die voor dictatoren werken)...
Voordeel voor de inlichtingendiensten is dat deze daarmee als 'lastig' ervaren grondwettelijke beperkingen kunnen ontlopen..

Effectief betekent echter dat deze hun eigen rwetten lijken te kunnen scheppen, zelfs in westerse democratieen..
dat bv tot voor enkele jaren alle westerse geheime diensten erg graag samenwerkten met Al-Assads Mukhabarat, de geweldadige geheime diensten daar.. vooral vanwewge de voordelen dat deze zich aan veel minder 'beperkingen' te houden hadden.

hardwareaddict @RM-rf • 26 december 2015 16:26

Verwar je opsporingsdiensten niet met MILITAIRE inlichtingendiensten met het NATO ding wat we NSA noemen versus de yanks die heel actief zijn met hun eigen CIA?

Elke dienst leeft in zijn eigen wereld.

Controle moet je niet op rekenen. Dat zijn nationale aftimmer commissies - die hebben niks over NSA te zeggen.

Liberteh @icecreamfarmer • 24 december 2015 10:54

Op welke manier is dit precies "grappig"? Frappant, ja. Grappig? Nee.

icecreamfarmer @Liberteh • 24 december 2015 11:03

Het zou goed kunnen dat de NSA ook een backdoor had maar niet wist dat de chinezen er ook een hadden en dat ze dus niet logen afgelopen week.

IK zou dat grappig vinden.

Mic2000 @Liberteh • 24 december 2015 13:00

Dat jij er geen grappig gevoel bij kunt hebben betekent niet dat een ander het niet grappig mag / kan vinden.

Iblies @Mic2000 • 24 december 2015 13:16

Gezien de materie en potentiële gevolgen is een term als grappig niet gepast.

Op basis van uitspraken van veiligheidsdiensten passen regeringen hun beleid aan en vallen zelfs andere landen binnen.

Trieste is dat ze er weinig mee opschieten. Sporadisch krijg je te horen dat het 'dreigingsniveau' is opgeschaald en/of een aanslag is voorkomen, maar in het gros van de gevallen gaat het om eigen hogere die helemaal wereldvreemd zijn geworden.

En dat is blijkbaar weer een rechtvaardigingsgrond om duizenden kilometer verderop duizenden mensen te doden.

Ik vind het een idiote wereld waar de dove de blinde begeleid ten kostte van het normaal verstand,
vind ik weinig grappigs aan.

Mic2000 @Iblies • 24 december 2015 17:59

Ja grappig of niet, laat de ander lekker de ruimte houden voor zijn eigen mening

SED @icecreamfarmer • 24 december 2015 11:55

Je vraagt je af hoeveel backdoors er in die firmwares zitten. 80% nuttige code en de rest backdoors van diverse overheden

Auredium 24 december 2015 12:00

Zowel op Tech Snap alsop TwitOnSecurity en ik geloof ook op Tek was hier uitgebreid over bericht. De encryptie is een door de NSA goedgekeurde encryptie die werkt via Pseudorandom. Het valt niet direct te bewijzen wie het VPN netwerk jarenlang heeft gekaakt maar de NSA is de eerste partij die verdacht is. Dat het GHCQ erbij betrokken is verbaasd mij totaal niet. Wss is de GHCQ erbij betrokken geraakt toen er in 2013 wat werd aangepast.

Letten jullie even op overheden? Dit zijn daden die de democratie ondermijnen en helemaal niets met veiligheid te maken hebben naar alle waarschijnlijkheid.

Verwijderd @Auredium • 24 december 2015 14:29

Ik denk dat er eigenlijk twee zaken door mekaar spelen: Juniper heeft een PRNG die door de NSA is ontwikkeld en die voorspelbaar is gebruikt en er is een backdoor gevonden in de code van ScreenOS. Ik vermoed dat Juniper gewoon met de NSA meewerkt en misschien wel andere PRNG's gebruikt voor routers die aan belangrijke Amerikaanse bedrijven worden geleverd. De backdoor is waarschijnlijk door een externe partij ingebracht, zoals Chinese of Russische hackers.

Auredium @Verwijderd • 24 december 2015 15:03

Dat is een andere theorie die idd werd geopperd bij o.a. TwitonSecurity. Ik kan mij daar ook in vinden. Het stipt ook aan wat al eerder door experts werd gezegd (en ik bij het vorige nieuwsbericht over de hack al aangaf); Backdoors in encryptie is retarded. Je laat andere hackers gratis piggybacken in je backdoor. Ik vermoed dan ook dat de NSA op de achtergrond heel hard hun egen backdoor-in-encryptie projecten gaat torpederen.

Het is voor de topman van de NSA niet uit te leggen hoe het kan dat een NSA backdoor voor meerdere jaren lang is gebruikt door een andere partij om 1 van de grootste (Amerikaanse) VPN bedrijven af te tappen. Dat kost de NSA topman zijn kop en de NSA zijn budget.

dasiro 24 december 2015 12:03

ik zou er eerder van opkijken als ze NIET bij een grote speler binnen zouden zitten. Dat zijn immers veel te waardevolle targets om te laten liggen.

dutch_warrior 24 december 2015 16:00

Het is eigenlijk comply or die voor vendoren, er zijn europese partijen wie hebben gekozen voor DIE i.p.v comply, daar hoor je natuurlijk weinig tot niets van hoewel ik me wel afvraag in hoeverre je "Security made in Germany" kan vertrouwen

.

Omdat er steed meer gebruik wordt gemaakt van generieke hard en software in plaats van maatwerk FPGA's & ASICs kunnen fabrikanten steeds minder garanties geven op de betrouwbaarheid van hun hardware. Cisco gebruikt bijvoorbeeld voor Nexus openflow switch een Intel X86 platform met als software een eigen Linux variant en isoleert diverse componenten via LXC's, Juniper gebruikt steeds vaker CentOS en KVM.

Een geheime dienst kan dus een breed inzetbare lastig detecteerbare backdoor realiseren door ongedocumenteerde functionalteiten of onopvallende kwetsbaarheden te introduceren in veel gebruikte soft en hardware componenten. Het mooiste is een gecombineerde backdoor door in de algemene software een onschuldig ogende functionaliteit te introduceren welke in combinatie met bijvoorbeeld een in de softcore processor ingebouwde trigger ineens heel andere eigenschappen vertoont.

[Reactie gewijzigd door dutch_warrior op 26 juli 2024 01:51]

Probook8979 24 december 2015 10:50

Zou opgeven moment ook de fortigate aan de beurt zijn?

Liberteh @Probook8979 • 24 december 2015 10:55

Natuurlijk. En Dell's Sonicwall

JAHRASTAFARI 24 december 2015 13:20

Ik vind dit nog altijd schokkende berichten. Ook al doet 95% van de internetgebruikers vrijwillig hun leven met al hun contacten en interesses al vrijwillig uploaden naar het internet.

Verwijderd 24 december 2015 21:55

Gaat deze story het einde van Juniper betekenen? Of in ieder geval van de reputatie als leverancier van beveiligingsapparatuur?
Nu nog de andere leveranciers van dit soort apparatuur onder de loep. Ik ben benieuwd of straks Cisco, Avaya, HP, Brocade etc over elkaar heen gaan buitelen om te verklaren dat hun apparaten geen backdoors bevatten.....

Clubbtraxx

@Verwijderd • 25 december 2015 02:02

Juniper is groot genoeg om deze deuk in het blazoen wel te overleven denk ik.
Uiteraard is het geen reclame voor een toko die ook voor mijn werkgever de 'secure access' regelt.
Voordeel is dan weer dat nu alles doorgelicht gaat worden en daarmee weer een aantal potentieel nieuwe lekken worden gevonden en ook gedicht.
De andere fabrikanten zullen net hetzelfde gaan doen, cisco zeker...

Extrema 25 december 2015 23:11

We hebben zelf alle kennis en fabricage mogelijkheden in huis om onze eigen hardware en software te developen, en daarmee zodoende onze (onze bedrijven) technologische (innovaties) en andere gevoelige informatie te beschermen. En dat tegen niet al te hoge kosten. Elk gerenommeerde onderneming gevestigd in NL heeft het (financiële) vermogen dat te kunnen.

Probleem ligt eerder bij de autorisatie tot uitvoering daarvan.

hardwareaddict @Extrema • 26 december 2015 16:33

Nee wij hebben niet de mogelijkheid tot hardware productie in Nederland.

Energie is bijvoorbeeld te duur met het vooruitzicht dat het nog 10x duurder gaat worden als je al die 'energieneutrale' initiativen mag geloven...

Je moet dus dingen inkopen. Dat koop je dan wel via Nederlandse dozenschuiver in waarvan je dan hoopt dat ZIJ jou niet hacken. Die leveren dan weer internationale securityproducten.

Probleem bij jezelf securen is dat industriele spionage met militaire middelen gebeurt. Dus het NSA equivalent van Rusland. Laten we die voor het gemak FSB noemen.

Dat regel je niet even zelf.

Wat ik hier doe is eigen gestripte firewall gemaakt van linux kernel en die op oude hardware gezet zonder AGP zonder USB en zonder PCI-e natuurlijk en zonder embedded oplossing te gebruiken. Dan moet je allerlei settings uitdoen en al die services linux uitstrippen.

Dan heb je iets wat redelijk werkt - maar dat is natuurlijk KANSLOOS tegen de industriele spionage. De hardware die je daarvoor dient aan te schaffen kost tonnen per werkplek.

Je mag dan alleen ontwikkelen in een bunker, dus ook het gebouw kost miljoenen.

Dat is zo'n beetje wat je nodig hebt om buitenlandse consultants die rondlopen dus redelijk tegen te houden. Dat is gewoon te prijzig voor het gros van het bedrijfsleven.

De meeste innovatie gebeurt namelijk bij kleine ondernemingen. Niet bij GERENNOMMEERDE ondernemingen.

Dus we praten over joekel van probleem.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (39)

Sorteer op:

Weergave: