Illetéktelen kódot fedezett fel a Juniper Networks a saját operációs rendszerében

Titkosítás, biztonság, privát szféra

A Juniper Networks december 17-én egy soron kívüli biztonsági közleményt adott ki azzal kapcsolatban, hogy illetéktelen kódot fedezett fel ScreenOS operációs rendszerében. A figyelmeztető szerint belső kódaudit során vették észre, hogy jól felkészült támadó adminisztrátori hozzáférést szerezhet a NetScreen eszközökön, illetve, hogy ott képes lehet belelátni (decrypt) a titkosított VPN kapcsolatokba.

A figyelmeztető arra nem adott választ, hogy az "illetéktelen kód" hogyan kerülhetett bele a ScreenOS-be.

A Kaspersky Threatpost blogja itt foglalkozik az esettel, ahol is a Juniper eszközök és az NSA kapcsolatáról ír. A Wired cikke szerint a Juniper tűzfalakban talált titkos kód a kormányzati backdoor-okra hívja fel a figyelmet.

( trey | 2015. 12. 19., szo – 16:48 )

pre damage control

--
trey @ gépház

( Takaya | 2015. 12. 19., szo – 19:44 )

"A Juniper Networks eszközeiben súlyos hibát találtak, de egyelőre nincs bizonyíték arra, hogy ezt ki is használták volna."
"a NetScreen, tűzfalat is biztosító eszközének egy fontos elemében egy olyan ismeretlen eredetű kódot fedeztek fel,"

Amikor ezt olvastam felrenyeltem a kv-t. Oke itcafe.hu, de akkoris...

Ez a kep meg mindent visz.

http://itcafe.hu/dl/upc/2015-12/279516_vzk73.jpg

--

"You can hide a semi truck in 300 lines of code"

Na sikerult rosz tabot bezarnom, ugyhogy irhatom ujra az egesz hsz-t.

Nem az irassal van bajom, ha igy ertetted sajnalom.
Hanem,hogy csak ugy illetektelen kod kerul be "valahogy", es mindenki nyugodjon le, nincs itt gond, nincs ra bizonyitek, hogy ki is hasznaltak volna.
Itcafe-n lattam meg ezt a hirt reggeli kv-zasban es ott pont nem erre szamitottam, hanem amolyan logout-os, reggeli olvasnivalora.

"Oke itcafe.hu, de akkoris..." Ez pedig arra vonatkozott, hogy legtobbszor HWSW-rol linkelunk.

A kep meg nekem tetszett, valahogy igy kepzeltem el az ottani CEO-NSA parbeszedet.

--

"You can hide a semi truck in 300 lines of code"

Hanem,hogy csak ugy illetektelen kod kerul be "valahogy"

"You can hide a semi truck in 300 lines of code"

BlackY
Szerk.: Persze egyetértek, hogy az ilyen "nem tudunk róla, hogy kihasználták volna" védekezés még mindig megy ("a szoftverünkben nincsenek ismeretlen hibák"...), csak már a szálindító hozzászólásodban is tetszett ez az ellentmondás :)
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

( fabian-bros | 2015. 12. 19., szo – 20:23 )

Azt irjak valahol, hogy milyen VCS-t hasznalnak?

--------------------------------------
Unix isn't dead. It just smells funny.

( kroozo v | 2015. 12. 20., v – 08:43 )

Az a meglepő, hogy még auditálják a screenost. Mondjuk végül is vannak még rendszeres releasek is rajta...

( answ | 2015. 12. 20., v – 22:28 )

Ne legyenek illúzióink. NSA-val nem húz újat senki, főleg nem azok, akik szoros kapcsolatot ápolnak velük. Valószínűleg sikerült egy másik szolgálatnak (például kínaiak) belecsempészni egy kaput. Persze biztosan tudtak róla, csak hagyták őket játszani, hogy aztán szűrjék a megfelelő helyeken, hogy mégis mit akarnak tudni. Azonban az idegen szolgálatnál "nagyon jól megfizetett, okos emberek" dolgoztak, akik annyira ostobán egyszerűre csinálták a backdoort, hogy egy harmadik fél is rájött, majd eladta a piacon. Erre fel nem tud a cég mit tenni, mint hogy nyilvánosságra hozza a hibát, hogy ne járhasson be mindenki ipari kémkedéssel az eszközeikbe.

Mese vége. Bárminemű egyezés a valósággal csak a véletlen műve.

Ér az nem keveset, de általában az ismert sebezhetőséggel nem rendelkező (supported, up-to-date patchlevel) dolgokat elfogadják biztonságosnak.
Belemehetnének mélyebben is, de valszeg akkor se találnának meg ilyesmit, viszont azt a sokezer vagy több tízezer munkaórát se a jóskapista kft. nem fogja kifizetni, de a goliath national bank se. És ez szerintem rendben is van, az ezt kihasználó támadásoknak nem ők a célpontjaik.

Engem az érdekelne, hogy az auditor milyen lelkiismerettel adja ki az "önök cége biztonságos" papírt azzal a tudattal a lelkében, hogy annyi meg annyi backdoor lehet a rendszerben, amiről neki fogalma sincs (nem is lehet, hacsak nem éveket tölt el auditálással).

--
trey @ gépház

Nem azt a papírt adja, hogy az "önök cége biztonságos", hanem azt, hogy az "önök cége _az általam elvégzett tesztek szerint_ biztonságos". Pontosabban az volt, amikor a teszteket végeztem.
Az már más kérdés, hogy ezt valakik félreértik, vagy félre akarják érteni.

Gondolom telepítettél már olyan rendszert ügyfélnél, amiben később kibukott egy heartbleed vagy hasonló hiba. Ha ott megkérdezik, hogy szerinted az a rendszer biztonságos-e, akkor mit mondtál volna?

Magyarul, lófaszt sem ér.

"Gondolom telepítettél már olyan rendszert ügyfélnél, amiben később kibukott egy heartbleed vagy hasonló hiba. Ha ott megkérdezik, hogy szerinted az a rendszer biztonságos-e, akkor mit mondtál volna?"

Az igazat. Hogy 100%-ban biztonságos rendszer nincs. Ennek megfelelően üzemeltesse.

--
trey @ gépház

Egy példa, bár index és bulvár és whatever: a támadók egy korábban valószínűleg a NASA-nál dolgozó férfitől vásárolták meg a támadáshoz szükséges kezdeti adatokat, és már az akció elején találtak egy olyan gépet, melyen az üzemeltetők az alapjelszót hagyták meg az egyik, komolyabb jogokkal rendelkező felhasználónál.

Nyilván 1 hurkapálcás hiba valamelyik rendszerben default jelszót hagyni az adminnak, de - ha ez igaz akkor - egy amerikai kormányügynökségnél ezt simán megcsinálták.
És a belső audit - már ha volt - ezt simán nem vette észre.
Viszont egy szekuricsi hozzáértőnél szerintem az egyik első dolog az ilyenek vizsgálata, szóval szerintem itt kibukott volna.
Már ha ez igaz, persze.

( szollosiimre | 2015. 12. 21., h – 09:06 )

A juniper javította a firmware-t. 6.3.0r21.