Helyzetjelentést adott ki a Juniper a termékében felfedezett illetéktelen kódokkal kapcsolatos vizsgálatról

 ( trey | 2016. január 10., vasárnap - 10:32 )

A Juniper nemrég illetéktelen kódot fedezett fel egyik saját operációs rendszerében, a ScreenOS-ben. A furcsa esettel kapcsolatban a cég vizsgálatot indított, illetve patchet fejlesztett és adott ki a ScreenOS legfrissebb verzióihoz. A vizsgálattal egy időben mélyrehatóan átnézték a ScreenOS és Junos OS forráskódokat is. Ebben a munkában egy meg nem nevezett, elismert biztonsági cég segítségét vették igénybe. A vizsgálatok után semmi sem utal arra, hogy a ScreenOS-ben és a Junos OS-ben illetéktelen kód lenne.

A Juniper meghallgatva a kritikákat, ígéretet tett arra, hogy lecseréli a ScreenOS 6.3-ban használt (NSA backdoor-gyanús) Dual_EC-t és ANSI X9.31-et arra az RNG technológiára, amelyet a Junos OS széles körű termékportfóliójában használ.

A vizsgálat az illetéktelen kód eredetével kapcsolatban tovább folytatódik. A részletek itt olvashatók.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Magyarul, egyelőre vagy fogalmuk sincs, hogy hogyan került a backdoor a rendszerükbe, vagy ha van, akkor azt nem akarják a nyilvánosság orrára kötni. Hogy melyik rosszabb, azt döntse el mindenki maga.

--
trey @ gépház

ah, épp egy tldr, kérlek foglaljátok össze hsz-t akartam küldeni :) ty!

Gondolom az „meg nem nevezett, elismert biztonsági cég” ilyenkor elegánsan átugorja a kormányzati backdoor-okat. És akkor még ott a Cisco, amelyik az eset után házon belül „átnézte” a kódokat és nem talált bennük semmit. Vagyis semmit, ami a nyilvánosságra tartozna.

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

Cisco azért remek, mert a termékei kínai és amerikai backdoorokat is tartalmaznak.

honnan tudod, hogy kinait is? :-)

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

én már láttam kínait Force10 fw-t upgradelni....

Cisco esetén - ahogy Juniper esetén is (és nem mellesleg a Microsoft esetén) - független biztonsági szakértők is vizsgálják folyamatosan a kiadott patcheket és frissítéseket, ezért ha titokban próbálnak egy korábbi backdoort bezárni, akkor az jó eséllyel kibukik. A Juniper SSH backdoor jelszó kifejezetten hamar meg lett, igaz ezúttal nyilván célirányosan keresték.

Igazad lehet, de a kérdés azért ott lebeg, hogy ezeket a független biztonsági szakértőket kormányzati vagy egyéb segítséggel rá lehet-e venni arra, hogy bizonyos „hibákat” ne vegyenek észre. Nyilván paranoia, de a TrueCrypt projektnek is olyan különösen lett vége.

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

Van jópár biztonsági szakértő a témában, mindegyiket más motiválja, ezért nehéz lenne mindegyiket kontrollálni.

Hiszek neked.

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

Megtalálni csak olyan dolgot tudsz amiröl nem tudod hogy ott hol van.

Hol is kellene kezdeni a vizsgálatot?

--

int main(int argc, char *argv[]))
{ ...

The threat posed by mass surveillance practices can however not be solved on a technical terrain. Intelligence and security agencies will always have a competitive advantage in winning a race for technological supremacy in Internet security due to the resources at their command.
The problem needs to be addressed on a political level.

http://www.europarl.europa.eu/stoa/webdav/site/cms/shared/0_home/STOA%20Study%20Mass%20Surveillance%20Part%201.pdf

a persecutor kft-nel :-D

Ez egy egyszerű vizsgálat, hiába szeretnénk, hogy ne jussunk el oda.
A lényeg, hogy a tendert a Persecutor nyerte meg.

By February 1997, Juniper had raised $8 million in venture funding. Later that year, Juniper raised an additional $40 million in investment from a round that included four out five of the largest telecommunications equipment manufacturers: Siemens, Ericsson, Nortel and 3Com. Juniper also received $2.5 million from Qwest and other investments from AT&T.

Juniper sells directly to businesses, as well as through resale and distribution partners, such as Ericsson, IBM, Nokia, IngramMicro and NEC.

We grew up to be consumers of media that’s what they taught us. We were consumers of media, now media is consuming us.

The things we read watch us read them, the things we listen to listen to us listen to them. We are tracked, we are monitored we are predicted by the media we use.

The process of the building of the network institutionalizes the basic principles of information flow. It determines whether there is such a thing as anonymous reading.

And it is determining against anonymous reading.

20 years ago, I began working as a lawyer for a man called Philipp Zimmermann who had created a form of public key encryption for mass use called pretty good privacy.

The effort to create pretty good privacy was the effort to retain the possibility of secrets in the late 20th century.

Phil was trying to prevent government from reading everything.

And as a result he was at least threatened with prosecution by the United States government for sharing military secrets which is what we called public key encryption back then.

For the last thousands years, we, our mothers, and our fathers have been struggling for freedom of thought we have sustained many horrible losses and some immense victories and we are now at a very serious time.

From the adoption of printing by Europeans in the 15th century we began to be concerned primarily with access to printed material.

The right to read, and the right to publish were the central subject of our struggle for freedom of thought for most of the last half millennium.

The basic concern was for the right to read in private and to think and speak and act on the basis of a free and uncensored will.

The inside of your head becomes the outside of your face, becomes the inside of your smartphone, becomes the inside of the network, becomes the front of the file at headquarters.

So we need free media Or we loose freedom of thought it’s that’s simple.

What does free media mean?

Media, that you can read that you can think about that you can add to that you can participate in without being monitored without being surveiled without being reported in on. That’s free media.

We are the last generation capable of understanding directly what the changes are because we have lived on both sides of them and we know. So we have a responsibility. You understand that.

Nem tudom milyen verziokezelo rendszert hasznalnak, de hogy nem tudnak egy git blame-hez hasonlo lekerdezest elvegezni az kabare.

Szerintem az hogy nem tudjak ki mit csinal a kodban, az rosszabb fenyt vet a cegre mint maga a biztonsagi res.

En is ezen gondolkozom. Nem igaz, hogy nem tudjak megnezni, hogy az adott sort ki es mikor adta hozza...

--

"You can hide a semi truck in 300 lines of code"

Gondolom egy kulso, library-t huznak be es vhogy azon keresztul tortenik a moka. De ez csak egy kosza elvadult otlet.

Segítek nekik:
libnsa? libmss?

Miert gondolod, h szandekosan backdoort raktak a sajat cuccukba, majd azt lelepleztek?

Abszolút teoretikusan:
- Hamarosan lelepleződtek volna, előre menekültek
- túl sokan használták már, véget akartak vetni az ingyen ebédnek (mint egy közös playboy lakásnál és zárat cserélnek)

> Abszolút teoretikusan:

Ja, az mas:)

+1 Pontosan így gondoltam.

"majd azt lelepleztek"

itt

--
trey @ gépház

Nem ertelek.
Szandekosan raktak bele es szandekosan lepleztek le utana a sajatjukat? Ha szandekosan raktak bele, de aztan meg akartak szuntetni, akkor miert vezettek ki szep csendben, mint ahogy bevezettek?
Nincs logika a konteoban. Lehet tovabb fonni meg a koncepciot pl. olyasmivel, hogy ki akart talalni egy dolgozo es leleplezodtek volna, de ez mar annyira elvadult...

Szemely szerint a juniperben jobban bizok ez a lepese utan, mint azelott, amikor szoba sem kerult a tema.
Viszont ahogy irtam korabban, arra vilagit ra nekem es remelem masnak(*) is, hogy a hasonlo temakorben a nyilt platformoknak sokkal nagyobb lehet a jelentosege.

(*) Itt elsosorban vallalkozo jellegu gyartokra gondolok. Remelem, idovel kijon egy versenykepes, Linux(?) alapu platform is, ami becelozza azt a piacot, ahol most a Cisco, Juniper, Huawei es a tobbi "nagy" halozatos ceg mozog.
Ha minosegben hozna azt a szintet, amit azok, akkor reszemrol nem lenne kerdes, mit valasztanek.

"Ha szandekosan raktak bele, de aztan meg akartak szuntetni, akkor miert vezettek ki szep csendben, mint ahogy bevezettek?"

Mert valaki felfedezte és így jöttek ki belőle (szerintük) a legjobban?

--
trey @ gépház

Ha elolvasod a korábbi elemzést, abból kiderül, hogy nem is igazán történt forráskód módosítás.
Mindössze egy konfigurációs paraméter lett megváltoztatva, ez pedig vagy hardkódolva volt a forrásban, vagy build-time paraméter volt. Ha az utóbbi, akkor nem feltétlenül van verziókövetve.

A gáz sokkal inkább az, hogy az implementációban minden szükséges körülmény elő volt készítve a backdoorhoz, és arról szó sincs, hogy ez "illetéktelenül" került volna be.

Az egész Dual EC algoritmus fő baja az, hogy ezen a bizonyos Q paraméteren áll vagy bukik az egész titkossága. (Ezért is gyanítják az NSA-t mögötte, az egész túl szép ahhoz, hogy véletlen legyen, valószínűleg egy hadseregnyi matematikus célzottan dolgozott rajta, hogy kitaláljanak egy ilyen tulajdonsággal rendelkező algoritmust) Normális esetben a Q egy random érték kéne hogy legyen, de származtatott módon is elő lehet állítani úgy, hogy - jelen tudásunk szerint - az előállításhoz használt paraméterek hiányában nem lehet utólag megállapítani, hogy valóban random, vagy számított értékkel van dolgunk. Viszont ha a Q származtatott, akkor akinek a megvannak a Q előállításhoz felhasznált kiinduló-értékek, az majdnem törni tudja. Azért majdnem, mert a payload-ot nem tartalmazó cryptostreamből egy egészen rövid szakaszhoz is hozzá kell férnie, hogy a további szakaszokat maga is elő tudja állítani. És hogy hogynem a Juniper kódjában pont volt egy bug, amit ezt lehetővé tette. A Juniper eddig nem a szabványban rögzített (egyébként szintén "gyanús") Q értéket használt, hanem egy sajátot amiről - természetesen - nem tudni hogyan állították elő. Vagyis simán lehet, hogy ez egy eleve üzemszerűen működő backdoor volt. Ezt a paramétert valaki kicserélte egy másik Q-ra. Vagyis mindössze annyi történt, hogy korábban "A" csoport tudta kihasználni, ezután "B" csoport tudja kihasználni a backdoor-t. A "javítás" annyi volt, hogy visszaállították az eredeti Q értéket, vagyis újra az "A" csoport tudja törni a kódot.
---
Régóta vágyok én, az androidok mezonkincsére már!

Akkor Replaced-nek igaza volt:
http://hup.hu/cikkek/20151219/illetektelen_kodot_fedezett_fel_a_juniper_networks_a_sajat_operacios_rendszereben#comment-1941984

"nekem a javitasbol az jott le, hogy visszacsereltek a kinai backdoort nsa-ra"

Ez alapján bőven így néz ki: https://threatpost.com/questions-linger-as-juniper-removes-backdoored-dual_ec-rng/115849/

Stephen Checkoway, assistant professor of computer science at the University of Illinois at Chicago, told Threatpost that he and his colleagues on this investigation looked at dozens of versions of NetScreen and learned that ANSI X9.31 was used exclusively until ScreenOS 6.2 when Juniper added Dual_EC. It also changed the size of the nonce used with ANSI X9.31 from 20 bytes to 32 bytes for Dual_EC, giving an attacker the necessary output to predict the PRNG output.

And at the same time, Juniper introduced what was just a bizarre bug that caused the ANSI generator to never be used and instead just use the output of Dual_EC. They made all of these changes in the same version update.”
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Szamomra annyi jott le egyelore a tortenetbol, h egy a biztonsagra erzekeny, kivaltkepp biztonsagtechnikaval kozvetlenul foglalkozo alkalmazas legyen OSS es legyen a fejlesztese is nyilt a full history-val egyutt.

OSS, mint Office of Strategic Services?

Mellesleg nem ertem. Le kell dokumentalni, onnantol kezdve nem backdoor, hanem sima lawful intercept interfesz...

.