Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 22 reacties

Het Amerikaanse Congres stelt een onderzoek in naar de mogelijkheid dat de National Security Agency te maken heeft gehad met het ontwikkelen van een backdoor in de ScreenOS-software van netwerkapparatuur van Juniper Networks.

Al eerder werd geopperd dat de NSA te maken heeft gehad met het instellen van een verzwakt algoritme voor encryptie in de software. Nu gaat een speciale commissie van het congres uitzoeken of dat inderdaad het geval is geweest. Deze maand stuurde de commissie brieven naar 24 overheidsinstanties om te vragen of ze apparatuur van Juniper gebruikten en of deze apparatuur ScreenOS-software draaide.

Het initiële doel van het onderzoek was om uit te vinden of hackers bij overheidsinstanties binnengekomen konden zijn. Als blijkt dat een overheidsinstantie juist zorgde voor de backdoor, dan zou dat het hele debat veranderen, zegt Will Hurt, een Republikein uit Texas, in een interview met Reuters. Wat hierbij mee zou spelen is dat de eerste kwetsbaarheid die in de software zat gebaseerd was op een techniek die door de NSA bedacht is.

Hurt vindt dat de Amerikaanse overheid zelf niet mag vragen technieken te implementeren om beveiliging te verzwakken die ook door de overheid zelf gebruikt worden. Juniper heeft nog niet gezegd hoe de code in de software terecht kon komen, maar het zou kunnen zijn dat grote klanten geëist hebben dat bepaalde code opgenomen zou worden als onderdeel van een contract, hebben voormalig medewerkers tegen Reuters gezegd. De NSA zou een logische verdachte zijn voor toegevoegde code uit 2008, maar een beveiligingsonderzoeker van het International Computer Science Institute denkt dat de code uit 2012 en 2014 waarschijnlijk door andere landen zijn ingevoegd.

De in december gevonden stukjes code zorgden ervoor dat vpn-verbindingen die via ScreenOS liepen, niet veilig waren. Het algoritme dat in de software zat, heet Dual_EC_DBRG. Al in 2007 werd ontdekt dat het algoritme niet veilig is.

Moderatie-faq Wijzig weergave

Reacties (22)

"Het algoritme dat in de software zat, heet Dual_EC_DBRG. Al in 2007 werd ontdekt dat het algoritme niet veilig is."

De issue bij die juniper was toch dat er gewoon hardcoded een username in zat?

nieuws: Onderzoeker ontdekt wachtwoord van Juniper ScreenOS-backdoor

De techniek achter Dual_EC_DBRG is wiskundig gezien niet onveilig, als je maar niet de default waarde gebruikt die meegeleverd wordt en in de RFC staat. Die defaultwaarde is namelijk een soort public key waar de NSA waarschijnlijk de private key van bezit. Daardoor kunnen ze met een klein beetje data uit de random generator terugconstrueren wat de geheime waardes in het geheugen zijn, en zo voorspellen welke random waardes in het verleden gegenereerd zijn en welke in de toekomst gegenereerd worden. Alle software die voor zijn veiligheid vertrouwd op het onvoorspelbaar zijn van de randomgenerator gaat daar de mist in.

Ik zou het veel interressanter vinden als ze uit kunnen vinden wie die hardcoded backdoor erin heeft gebouwd dan iets wat we eigenlijk al 10 jaar weten, de NSA heeft de private key horende bij de DUAL_EC_DBRG public key.
Nee, dat was een andere blunder van Juniper (die ik eerder op een falend test/release beleid gooi dan wat anders). Die patch was wel de reden dat de andere aan het licht kwam.

Matthew Green heeft het (zoals gebruikelijk) vrij duidelijk neergepend:
http://blog.cryptographye.../on-juniper-backdoor.html
Het ging niet enkel om het gebruik van DUAL_EC_DRBG, het ging om het gebruik ervan in combinatie met enkele andere factoren die het onveilig maakten. Daarnaast beweerde Juniper toen er gewezen werd op de zwakte ervan dat deze methode gebruikt werd in combinatie met een tweede, maar de review leerde ook dat die tweede gewoon totaal genegeerd werd, en enkel de output van Dual_EC_DBRG werd gebruikt.
MAW, Juniper is onbekwaam. Je zal maar firewalls van hen hebben staan draaien. Maar goed, ScreenOS was destijds hoogstaand in zijn glorie periode. Na overname Netscreen door Juniper, moest en zou JunOS overall komen. Het zou zou 1 OS package moeten worden voor alle soorten devices (router, switches, firewall... etc), dat hadden ze nooit moeten doen. Dat was destijds als een idioot idee. Want ScreenOS was goed. Wat hebben ze en nog steeds problemen met hun SRX firewalls (Juniper eigen firewall), technische onderworpenaan ScreenOS. Dan niet vergeten het beheersplatform..
Och och och.... wat een drama was die combinatie. Met ScreenOS ging dat allemaal goed.

ScreenOS en JunOS zijn twee totaal verschillende werelden met het omgaan en beheer...... hoe verzin je het...OK, Check Point heeft dat ook.... maar dat werkt tenminste en de onderliggende OS is hetzelfde tegenwoordig, heel vroeger was dat een BSD variant (of Solaris). De feeling bleef op alle systemen vrijwel hetzelfde!

Nee, Juniper heeft een cluster fuck van gemaakt. Fortinet en Palo Alto heeft hier flink van kunnen profiteren.
De issue bij die juniper was toch dat er gewoon hardcoded een username in zat?
Beide problemen bestaan en vullen elkaar aan.

We weten niet of beide problemen dezelfde achtergrond hebben. Het kan zijn dat Juniper twee keer is geinfiltereerd. Het kan zijn dat ze niet hebben geweten dat DUAL_EC_DBRG niet te vertrouwen was (dat is nalatig maar niet onwaarschijnlijk). Het kan zijn dat die backdoor met goede bedoelingen is ingebouwd.

Zowel DUAL_EC_DBRG als de gevonden backdoor lijken afkomstig van de NSA. Dat maakt het waarschijnlijker dat ze van dezelfde bron komen maar zekerheid zullen we wel nooit krijgen.
Wij van WC eend onderzoeken WC eend? :+
Hoewel dit een grappig gestelde opmerking is, pakt dit wel een stuk waarheid en is zeker on-topic.
Ik zie nl in dit onderzoek ook niet dat Amerika hier negatief gaat doen over hun veiligheidsinstanties.
Ik vermoed dat de uitslag wel in de trant zal zijn dat naar alle waarschijnlijkheid een buitenlandse veiligheidsdienst zich een weg naar binnen gehacked heeft en firmware aangepast heeft. Blame Russia of blame China. Veel meer lijkt de USA niet meer te kunnen en doen op dat vlak. Stukje zelfkritiek/zelfreflectie zijn ze niet zo sterk in is meermaals gebleken.
Wat wel interessant is, is dat dit een van de eerste duidelijke bewijzen zou zijn dat de Amerikaanse overheid niet meer optreed als 1 overheid. Er spelen interne concurrentie spelletjes tussen organisaties met de NSA als opper machthebber (informatie = macht. NSA = informatie).

Degene die de NSA aanstuurt (en/of de NSA zelf) is nu een schaduwoverheid die "de echte" overheid aanvalt en machtiger aan het worden is dan "de echte" overheid.

Redelijk tot zeer eng... Ook voor de Amerikanen zelf. De NSA is een soort losgeslagen Frankenstein monster geworden dat iedereen (zelfs de maker ervan) aanvalt.
Dit is toch zo klaar als een klontje...

Ontwikkelaars die aan zulk soort software werken maken echt niet de fout om verzwakte RNG's en algoritmes in te bouwen.

Die gasten zijn gewoon gevraagd om een backdoor in te bouwen. En nu heeft de NSA het "misschien" gedaan en is Juniper het gekwetse jongetje...
Maw. je kunt gerust bij ons kopen.

Misschien kunnen andere landen in dit geval de VS. aanklagen. Zoals de VS. VW. aanpakt met hun sjoemelsoftware.
Dat zou je zeggen, maar het is alsnog veel moeilijker om alle lekken te dichten en dicht te houden, dan om er ťťn te vinden.
Sorry, maar dit geval is absoluut geen geval van pech door een niet oplettende ontwikkelaar / tester. Om deze exploit te kunnen gebruiken moet aan een aantal zeer specifieke voorwaarden voldaan worden.

Grappige is dat eerdere versies veilig waren, maar langzaamaan werden alle voorwaarden gecreŽerd om de backdoor te kunnen gebruiken.
Dit geval is nog absurder dan RSA die in hun BSAFE product voor 10 miljoen een default zwakke RNG gebruikten (zelfde algoritme als hier).

En ach, Juniper deed in ieder geval nog de moeite de schijn van 'cryptografisch veilig' op te houden. Cisco heeft de filosofie van simpelweg hardcoded wachtwoorden etc in de firmware te gooien en als ze ontdekt worden een patch uit te brengen met nieuwe backdoors...

Hoe niet-Amerikaanse bedrijven Amerikaanse technologie nog vertrouwen is onderhand toch wel een van de grotere mysteries in dit leven... :)

[Reactie gewijzigd door blaatenator op 29 januari 2016 17:19]

Precies, gevalletje: "Doorlopen mensen, niets te zien..."
Mja Ik denk dat die republikein maar al te graag de vinger wilt wijzen naar NSA en dus de huidige administratie. Ookal is de patriot act en wat daaruit voort vloeide de grote boesdoener van dit verhaal.
Wij van WC eend onderzoeken WC eend? :+
En vinden raar maar waar niets.
Precies; de slager die z'n eigen vlees keurt. Maar ja, wie moet het anders controleren ? Zover ik weet heeft er niemand anders toegang tot die gegevens.
Precies wat ik verwacht dat er gaat gebeuren is dat de concurrentie de schuld krijgt:
Wij van WC eend concluderen uit onderzoek dat het cilit bang was...
maar het zou kunnen zijn dat grote klanten geŽist hebben dat bepaalde code opgenomen zou worden als onderdeel van een contract, hebben voormalig medewerkers tegen Reuters gezegd.
Dat lijkt me niet logisch gezien juniper zelf 'ongeauthoriseerde code' heeft gevonden.
nieuws: Juniper ontdekt lek via 'ongeautoriseerde code' in zijn ScreenOS-software
Wie een kuil graaft voor een ander, valt er zelf in. :)
Ben benieuwd of dit eerlijk onderzocht gaat worden
Ik ben benieuwd hoe je daar achter wilt gaan komen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True