VS onderzoekt rol NSA bij Juniper-hack

Het Amerikaanse Congres stelt een onderzoek in naar de mogelijkheid dat de National Security Agency te maken heeft gehad met het ontwikkelen van een backdoor in de ScreenOS-software van netwerkapparatuur van Juniper Networks.

Al eerder werd geopperd dat de NSA te maken heeft gehad met het instellen van een verzwakt algoritme voor encryptie in de software. Nu gaat een speciale commissie van het congres uitzoeken of dat inderdaad het geval is geweest. Deze maand stuurde de commissie brieven naar 24 overheidsinstanties om te vragen of ze apparatuur van Juniper gebruikten en of deze apparatuur ScreenOS-software draaide.

Het initiële doel van het onderzoek was om uit te vinden of hackers bij overheidsinstanties binnengekomen konden zijn. Als blijkt dat een overheidsinstantie juist zorgde voor de backdoor, dan zou dat het hele debat veranderen, zegt Will Hurt, een Republikein uit Texas, in een interview met Reuters. Wat hierbij mee zou spelen is dat de eerste kwetsbaarheid die in de software zat gebaseerd was op een techniek die door de NSA bedacht is.

Hurt vindt dat de Amerikaanse overheid zelf niet mag vragen technieken te implementeren om beveiliging te verzwakken die ook door de overheid zelf gebruikt worden. Juniper heeft nog niet gezegd hoe de code in de software terecht kon komen, maar het zou kunnen zijn dat grote klanten geëist hebben dat bepaalde code opgenomen zou worden als onderdeel van een contract, hebben voormalig medewerkers tegen Reuters gezegd. De NSA zou een logische verdachte zijn voor toegevoegde code uit 2008, maar een beveiligingsonderzoeker van het International Computer Science Institute denkt dat de code uit 2012 en 2014 waarschijnlijk door andere landen zijn ingevoegd.

De in december gevonden stukjes code zorgden ervoor dat vpn-verbindingen die via ScreenOS liepen, niet veilig waren. Het algoritme dat in de software zat, heet Dual_EC_DBRG. Al in 2007 werd ontdekt dat het algoritme niet veilig is.

Door Krijn Soeteman

Freelanceredacteur

Feedback • 29-01-2016 11:13 22

29-01-2016 • 11:13

22

Lees meer

Hewlett Packard Enterprise wil Juniper Networks overnemen voor 13 miljard dollar
Hewlett Packard Enterprise wil Juniper Networks overnemen voor 13 miljard dollar Nieuws van 9 januari 2024
WikiLeaks lekt 19.252 e-mails Democratische partij VS inclusief info donateurs
WikiLeaks lekt 19.252 e-mails Democratische partij VS inclusief info donateurs Nieuws van 23 juli 2016
Kickstarter-game 'Need to Know' voor spelen als NSA-medewerker haalt doel
Kickstarter-game 'Need to Know' voor spelen als NSA-medewerker haalt doel Nieuws van 18 februari 2016
'Juniper gebruikt door NSA verzwakt algoritme voor encryptie'
'Juniper gebruikt door NSA verzwakt algoritme voor encryptie' Nieuws van 22 december 2015
Juniper ontdekt lek via 'ongeautoriseerde code' in zijn ScreenOS-software
Juniper ontdekt lek via 'ongeautoriseerde code' in zijn ScreenOS-software Nieuws van 18 december 2015
Meer producten en artikelen
Netwerk en systeembeheer Juniper

Reacties (22)

-Moderatie-faq
22
21
12
1
0
2
Wijzig sortering
DaFifthSense 29 januari 2016 11:34
"Het algoritme dat in de software zat, heet Dual_EC_DBRG. Al in 2007 werd ontdekt dat het algoritme niet veilig is."

De issue bij die juniper was toch dat er gewoon hardcoded een username in zat?

nieuws: Onderzoeker ontdekt wachtwoord van Juniper ScreenOS-backdoor

De techniek achter Dual_EC_DBRG is wiskundig gezien niet onveilig, als je maar niet de default waarde gebruikt die meegeleverd wordt en in de RFC staat. Die defaultwaarde is namelijk een soort public key waar de NSA waarschijnlijk de private key van bezit. Daardoor kunnen ze met een klein beetje data uit de random generator terugconstrueren wat de geheime waardes in het geheugen zijn, en zo voorspellen welke random waardes in het verleden gegenereerd zijn en welke in de toekomst gegenereerd worden. Alle software die voor zijn veiligheid vertrouwd op het onvoorspelbaar zijn van de randomgenerator gaat daar de mist in.

Ik zou het veel interressanter vinden als ze uit kunnen vinden wie die hardcoded backdoor erin heeft gebouwd dan iets wat we eigenlijk al 10 jaar weten, de NSA heeft de private key horende bij de DUAL_EC_DBRG public key.
blaatenator @DaFifthSense29 januari 2016 17:21
Nee, dat was een andere blunder van Juniper (die ik eerder op een falend test/release beleid gooi dan wat anders). Die patch was wel de reden dat de andere aan het licht kwam.

Matthew Green heeft het (zoals gebruikelijk) vrij duidelijk neergepend:
http://blog.cryptographye.../on-juniper-backdoor.html
Blokker_1999
@DaFifthSense29 januari 2016 11:48
Het ging niet enkel om het gebruik van DUAL_EC_DRBG, het ging om het gebruik ervan in combinatie met enkele andere factoren die het onveilig maakten. Daarnaast beweerde Juniper toen er gewezen werd op de zwakte ervan dat deze methode gebruikt werd in combinatie met een tweede, maar de review leerde ook dat die tweede gewoon totaal genegeerd werd, en enkel de output van Dual_EC_DBRG werd gebruikt.
Fermion @Blokker_199929 januari 2016 13:02
MAW, Juniper is onbekwaam. Je zal maar firewalls van hen hebben staan draaien. Maar goed, ScreenOS was destijds hoogstaand in zijn glorie periode. Na overname Netscreen door Juniper, moest en zou JunOS overall komen. Het zou zou 1 OS package moeten worden voor alle soorten devices (router, switches, firewall... etc), dat hadden ze nooit moeten doen. Dat was destijds als een idioot idee. Want ScreenOS was goed. Wat hebben ze en nog steeds problemen met hun SRX firewalls (Juniper eigen firewall), technische onderworpenaan ScreenOS. Dan niet vergeten het beheersplatform..
Och och och.... wat een drama was die combinatie. Met ScreenOS ging dat allemaal goed.

ScreenOS en JunOS zijn twee totaal verschillende werelden met het omgaan en beheer...... hoe verzin je het...OK, Check Point heeft dat ook.... maar dat werkt tenminste en de onderliggende OS is hetzelfde tegenwoordig, heel vroeger was dat een BSD variant (of Solaris). De feeling bleef op alle systemen vrijwel hetzelfde!

Nee, Juniper heeft een cluster fuck van gemaakt. Fortinet en Palo Alto heeft hier flink van kunnen profiteren.
CAPSLOCK2000
@DaFifthSense29 januari 2016 15:48
De issue bij die juniper was toch dat er gewoon hardcoded een username in zat?
Beide problemen bestaan en vullen elkaar aan.

We weten niet of beide problemen dezelfde achtergrond hebben. Het kan zijn dat Juniper twee keer is geinfiltereerd. Het kan zijn dat ze niet hebben geweten dat DUAL_EC_DBRG niet te vertrouwen was (dat is nalatig maar niet onwaarschijnlijk). Het kan zijn dat die backdoor met goede bedoelingen is ingebouwd.

Zowel DUAL_EC_DBRG als de gevonden backdoor lijken afkomstig van de NSA. Dat maakt het waarschijnlijker dat ze van dezelfde bron komen maar zekerheid zullen we wel nooit krijgen.
Yariva Moderator internet & netwerken 29 januari 2016 11:19
Wij van WC eend onderzoeken WC eend? :+
EdjeCageman @Yariva29 januari 2016 11:29
Hoewel dit een grappig gestelde opmerking is, pakt dit wel een stuk waarheid en is zeker on-topic.
Ik zie nl in dit onderzoek ook niet dat Amerika hier negatief gaat doen over hun veiligheidsinstanties.
xxxneoxxx @EdjeCageman29 januari 2016 11:46
Ik vermoed dat de uitslag wel in de trant zal zijn dat naar alle waarschijnlijkheid een buitenlandse veiligheidsdienst zich een weg naar binnen gehacked heeft en firmware aangepast heeft. Blame Russia of blame China. Veel meer lijkt de USA niet meer te kunnen en doen op dat vlak. Stukje zelfkritiek/zelfreflectie zijn ze niet zo sterk in is meermaals gebleken.
GeoBeo @EdjeCageman29 januari 2016 12:38
Wat wel interessant is, is dat dit een van de eerste duidelijke bewijzen zou zijn dat de Amerikaanse overheid niet meer optreed als 1 overheid. Er spelen interne concurrentie spelletjes tussen organisaties met de NSA als opper machthebber (informatie = macht. NSA = informatie).

Degene die de NSA aanstuurt (en/of de NSA zelf) is nu een schaduwoverheid die "de echte" overheid aanvalt en machtiger aan het worden is dan "de echte" overheid.

Redelijk tot zeer eng... Ook voor de Amerikanen zelf. De NSA is een soort losgeslagen Frankenstein monster geworden dat iedereen (zelfs de maker ervan) aanvalt.
eheijnen @Yariva29 januari 2016 12:22
Dit is toch zo klaar als een klontje...

Ontwikkelaars die aan zulk soort software werken maken echt niet de fout om verzwakte RNG's en algoritmes in te bouwen.

Die gasten zijn gewoon gevraagd om een backdoor in te bouwen. En nu heeft de NSA het "misschien" gedaan en is Juniper het gekwetse jongetje...
Maw. je kunt gerust bij ons kopen.

Misschien kunnen andere landen in dit geval de VS. aanklagen. Zoals de VS. VW. aanpakt met hun sjoemelsoftware.
_Thanatos_ @eheijnen29 januari 2016 13:02
Dat zou je zeggen, maar het is alsnog veel moeilijker om alle lekken te dichten en dicht te houden, dan om er één te vinden.
blaatenator @_Thanatos_29 januari 2016 17:18
Sorry, maar dit geval is absoluut geen geval van pech door een niet oplettende ontwikkelaar / tester. Om deze exploit te kunnen gebruiken moet aan een aantal zeer specifieke voorwaarden voldaan worden.

Grappige is dat eerdere versies veilig waren, maar langzaamaan werden alle voorwaarden gecreëerd om de backdoor te kunnen gebruiken.
Dit geval is nog absurder dan RSA die in hun BSAFE product voor 10 miljoen een default zwakke RNG gebruikten (zelfde algoritme als hier).

En ach, Juniper deed in ieder geval nog de moeite de schijn van 'cryptografisch veilig' op te houden. Cisco heeft de filosofie van simpelweg hardcoded wachtwoorden etc in de firmware te gooien en als ze ontdekt worden een patch uit te brengen met nieuwe backdoors...

Hoe niet-Amerikaanse bedrijven Amerikaanse technologie nog vertrouwen is onderhand toch wel een van de grotere mysteries in dit leven... :)

[Reactie gewijzigd door blaatenator op 29 juli 2024 19:57]

Sleurhutje @Yariva29 januari 2016 12:18
Precies, gevalletje: "Doorlopen mensen, niets te zien..."
goarilla @Sleurhutje29 januari 2016 13:20
Mja Ik denk dat die republikein maar al te graag de vinger wilt wijzen naar NSA en dus de huidige administratie. Ookal is de patriot act en wat daaruit voort vloeide de grote boesdoener van dit verhaal.
aval0ne @Yariva29 januari 2016 11:51
Wij van WC eend onderzoeken WC eend? :+
En vinden raar maar waar niets.
Titan_Fox @Yariva29 januari 2016 14:18
Precies; de slager die z'n eigen vlees keurt. Maar ja, wie moet het anders controleren ? Zover ik weet heeft er niemand anders toegang tot die gegevens.
Verwijderd @Yariva29 januari 2016 14:23
Precies wat ik verwacht dat er gaat gebeuren is dat de concurrentie de schuld krijgt:
Wij van WC eend concluderen uit onderzoek dat het cilit bang was...
Rudie_V 29 januari 2016 11:16
maar het zou kunnen zijn dat grote klanten geëist hebben dat bepaalde code opgenomen zou worden als onderdeel van een contract, hebben voormalig medewerkers tegen Reuters gezegd.
Dat lijkt me niet logisch gezien juniper zelf 'ongeauthoriseerde code' heeft gevonden.
nieuws: Juniper ontdekt lek via 'ongeautoriseerde code' in zijn ScreenOS-software
HMC 29 januari 2016 11:28
Wie een kuil graaft voor een ander, valt er zelf in. :)
Koen Hendriks 29 januari 2016 11:43
Ben benieuwd of dit eerlijk onderzocht gaat worden
uiltje @Koen Hendriks31 januari 2016 01:18
Ik ben benieuwd hoe je daar achter wilt gaan komen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq