» »

Sumljive podrobnosti o Juniperjevih stranskih vratih

Sumljive podrobnosti o Juniperjevih stranskih vratih

Wired News - Ko je proizvajalec omrežne opreme Juniper decembra lani javno objavil, da so v svojih napravah našli dvoje stranskih vrat, ki jih je tja podtaknil neznani napadalec, in razkril podrobnosti, je požel odobravanje javnosti. Toda poznejša analiza kode je pokazala nekaj neverjetnih naključij, ki pričajo, da Juniper verjetno ni govoril popolne resnice, piše Wired.

Ena izmed izmed lukenj je bila posledica uporabe ranljivega algoritma Dual EC za tvorbo psevdonaključnih števil. Da njegova uporaba ni varna, se je vedelo že od konference avgusta 2007, številni pa verjamejo, da je ranljivosti tja namenoma postavila kar NSA. Juniper je trdil, da uporablja poleg Dual EC še drugi algoritem za tvorbo naključnih števil, in sicer ANSI X.9.31. Izkazalo se je, da se zaradi hrošča v kodi ANSI X.9.31 nikoli ne uporabi, a je Juniper zatrdil, da tudi to ni bila varnostna ranljivost, saj da uporabljajo Dual EC z drugima konstantama, kot ju je priporočal standard NSA.

Zanimivo je, da je Juniperjeva programska oprema NetScreen dobila Dual EC šele v verziji 6.2.0, ki je izšla leta 2008, torej po omenjeni konferenci. Pred tem je NetScreen uporabljal izključno ANSI X.9.31. Juniper je v isti verziji tudi popravil dolžino naključnega izida (nonce), in sicer z 20 na 30 bajtov, kar je ravno najkrajša dolžina, kjer je ranljivosti Dual EC mogoče enostavno izrabiti. Če upoštevamo, da je Dual EC počasnejši od ANSI X.9.31, je njegova uporaba toliko manj razumljiva.

Juniper teh dejstev ni želel komentirati. So pa sporočili, da bodo v prihodnji verziji odstranili tako Dual EC kakor tudi ANSI X.9.31 ter ju zamenjali z drugim generatorjem naključnih števil, ki ga že uporabljajo v izdelkih Junos OS.

8 komentarjev

Zlovenec ::

Kaj ste pa pričakovali ? Da NSA nima nobenih vzvodov na nobeno firmo. Naivneži

Poldi112 ::

Po bitki je lahko biti general. Pa dobrodošel na forum.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

tony1 ::

In vse tiho je bilo ... :)

Zanimivo je tudi razmisliti, kdo so avtorji Netscreen linije firewallov, ki jo je Juniper kupil... Izkaže se, da gre za 2 človeka, ki sta danes precej znana - kasneje sta ustanovila eden Fortinet in drugi Palo Alto, ki so danes precej bolj prodajani kot Juniperjev Netscreen. Zanimivo bi bilo preštudirati časovno komponento vgradnje tele packarije v Netscreene in videti, če sta bila takrat še v prvotni firmi... Če bi to držalo, ni hudič, da tega nista vedela... Kaj če sta pripravljenost za sodelovanje z domovino (khm) ohranila še vnaprej? No, samo teoretiziramo... :|

user1618 ::

SW komponente se ne kar tako znajdejo v repozitoriju, vedno je inside job, ampak čisto legalen in upravičen
"If we were supposed to talk more than listen
we would have been given two mouths and one ear"
- Mark Twain

SeMiNeSanja ::

Kljub vsemu se mi zdi, da je rahlo krivično, da se Juniper pribija na križ.

Nekateri drugi (PaloAlto) se hvalijo kako so oh in sploh in edini naj naj.
Še potem, ko jih konkurent (CheckPoint) odkrito napada, da ranljivosti, ki so že tri leta znane, še vedno niso pokrpali, se o tem nič ne govori.
Zadnji akt v tem obkladanju se je zgodil dva dni nazaj, ko se je na Youtube dalo v javnost video z zgovornim naslovom "666 different ways to bypass palo alto networks in 6 minutes"

Meni se ne zdi, da bi težave Juniperja bile za končnega uporabnika bolj kritične, kot očitane težave PaloAlta - pa se kljub temu govori zgolj o Juniperju.
Slednji bo stvari verjetno dokaj kmalu porihtal. Kaj pa PaloAlto?
Juniper se odziva na odkrite težave in aktivno komunicira, da dela na rešitvi.
Kaj pa PaloAlto? Niti nisem zasledil, da bi javno zavzel stališče do očitkov. Očitno je kult, ki ga je zgradil njihov marketing (ki je resnično edinstven v svetu) tako močan, da se takšne očitke zlahka pomete pod preprogo?

Firewall rešitve so software, software pa že po definiciji s seboj prinaša hrošče, luknje in ranljivosti. Kar se je zgodilo Juniperju, bi se lahko zgodilo komurkoli v branži. Za moje pojme ni sramota, da ti odkrijejo ranljivost. Sramota pa je, da se na odkritje ne odzivaš, stvari pometaš pod preprogo, istočasno pa trdiš, da ponujaš najboljšo rešitev na svetu, vse ostalo pa da je navaden šrot. Že res, da ima marketing svoje zakonitosti, ampak ne zdi se mi pošten odnos do kupcev, da se pretvarjaš, da si brezmadežen, hkrati pa nič ne narediš, da bi probleme rešil v nekem razumnem roku.

CheckPoint se je tu spravil nad PaloAlto, ki mu je največji konkurent v segmentu trga, v katerem so dolga leta kraljevali. Hočejo, da se tudi v marketingu igra fairplay, ne da izumljaš neke nove izraze za stare zadeve in potem trdiš, da se gre za nevem kakšno novost, ki jo samo in edino ti ponujaš.

Ali bomo v bodoče priča nadzoru kakovosti rešitev s strani konkurentov, ki so očitno bolj temeljiti, kot razni analitiki? NSS Labs namreč ni pokazal s prstom na kakšne hujše evasion ranljivosti pri PaloAltu.... Koliko lukenj in ranljivosti skrivajo še ostale rešitve, ki niso tako zelo pod drobnogledom konkurentov?

Ampak ja - zdaj se ustvarja vtis, da je edino Juniper 'neko luknjičavo sranje', vsi ostali so pa popolni. Pa je res tako?

ales85 ::

V glavnem imaš kar prav ampak je pa sramota, da ti odkrijejo "hard-coded" geslo v kodi.

sisemen ::

Članek je OOOOOOOLLLDDDDD!!! :P Še prevajalci niso več to kar so bili... :P

SeMiNeSanja ::

sisemen je izjavil:

Članek je OOOOOOOLLLDDDDD!!! :P Še prevajalci niso več to kar so bili... :P

Kateri članek je 'OOOOOOOLLLDDDDD!!!' ?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Juniper odkril podtaknjena stranska vrata v svojih napravah (strani: 1 2 )

Oddelek: Novice / NWO
6730105 (25649) AC_DC
»

Podrobnosti o Juniperjevih stranskih vratih

Oddelek: Novice / Varnost
124949 (3373) čuhalev
»

LibreSSL za zdaj še nevaren

Oddelek: Novice / Varnost
177417 (6031) AndrejO
»

RSA za 10 milijonov dolarjev iz NSA namerno oslabila algoritem (strani: 1 2 )

Oddelek: Novice / Varnost
5119521 (16070) LightBit
»

Ali bo Vista SP1 vseboval stranska vrata za NSA?

Oddelek: Novice / Ostala programska oprema
333700 (3700) cryptozaver

Več podobnih tem