Eltávolítja a problémás szoftverrészt a Juniper

Eltávolítja az erősen vitatott véletlenszám-generátort a NetScreen eszközökön futó operációs rendszeréből a Juniper - jelentette be a vállalat blogbejegyzésben pénteken. A céget az egyik legnagyobb IT-biztonsági botrány rázta meg tavaly, miután kiderült, a hálózatbiztonsági eszközök forráskódjához illetéktelenek fértek hozzá, és úgy módosították a szoftvert, hogy a titkosított forgalom lehallgathatóvá vált.

A cég most közölte, hogy a következő néhány hónapban elkészíti a ScreenOS új változatát, amelyből eltávolítja az erősen vitatott véletlenszám-generátort, a Dual_EC_DRBG függvényt és az azzal párhuzamosan működő ANSI X9.31-es függvényt, helyükre pedig ugyanaz a technológia kerül, amely a cég más termékeiben is működik, a fentiekhez képest pedig biztonságosabb működést garantál.

Ahogy arról korábban beszámoltunk, a Dual_EC_DRBG egy igen érdekes tünete az amerikai hírszerző szolgáltatások tevékenységének. A szabványos véletlenszám-generátor egy viszonylag új matematikai eljárásra, az elliptikus görbék használatára épül, amely bevezetésekor, 2006-2007-ben még viszonylag ismeretlennek számított a hagyományosabb kriptográfiai matematikával szemben. A Snowden-féle szivárogtatásokból tudjuk, hogy az amerikai NIST az NSA nyomására meggyengítette a függvényt, és gyakorlatilag backdoort épített bele. Majd láncszerűen ez a gyengített függvény került bele az RSA BSAFE SDK-ba, és talált utat többek között a fent említett ScreenOS-be is.

^{Juniper NetScreen - mi volt a dobozban?}

Hello, itt az idei SYSADMINDAY! Szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt. Melós hónapok után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal.

A botrány kapcsán jelenleg is folyik a vizsgálat, a Juniper külső biztonsági tanácsadó cég segítségével vizsgálja, hogy hogyan szerezhetett a támadó hozzáférést az operációs rendszer forráskódjához. Ezt megelőzően azonban magát a kódot vizsgálta át a cég, mind a ScreenOS, mind a fontosabb Junos OS esetében lezárult már a teljes átvilágítás, eszerint a ScreenOS immár tisztának tekinthető, a Junos pedig korábban is érintetlen volt. A vizsgálat a Juniper fejlesztői által használt környezetet is átvilágította, a cég közlése szerint a Junos forráskódjához sokkal nehezebb lett volna hozzáférni.

A NetScreen egyébként a Juniper viszonylag régi termékcsaládja, amelyet a cég még 2004-ben, jelentős, a NetScreen Technologies mintegy 4 milliárd dolláros felvásárlásával szerzett meg. Az ezeken futó szoftver fejlesztése szintén viszonylag régen, 2008-2009 tájékán állt le, azóta csak biztonsági frissítések érkeznek a legutolsó, ScreenOS 6.3-as kiadáshoz. Az információk szerint a fenti támadás is évekkel ezelőtt zajlott, nagyjából 2012 körül férhetett hozzá támadó a rendszer kódjához. Ugyan a NetScreen eszközöket a Juniper máig támogatja hivatalosan, a viszonylag elavult rendszerek az elmúlt évben kikoptak a használatból.