Een backdoor in de software van netwerkfabrikant Juniper heeft tijdens de Black Hat-conferentie in Las Vegas twee prijzen in de wacht gesleept. Elk jaar vinden tijdens de hackerconferentie de Pwnie Awards plaats, een evenement om de grootste blunders en kwetsbaarheden in de security-industrie te vieren.
Gisterenavond werden de beeldjes uitgereikt. Een vakjury besloot twee backdoors in de software van Juniper te belonen met de awards in de categorie "Beste Backdoor" en "Epic 0wnage". Eind december maakte Juniper bekend dat eraan ScreenOS, het besturingssysteem van de Juniper NetScreen-apparaten, jaren geleden twee backdoors zijn toegevoegd. De ene backdoor maakt het ontsleutelen van vpn-verkeer mogelijk, de andere backdoor geeft een aanvaller via SSH of Telnet beheerderstoegang tot het apparaat.
"Hoewel veel fabrikanten opzettelijk backdoors aan hun producten toevoegen omdat ze hun gebruikers haten, zijn sommige bedrijven afhankelijk van de cyberoorlog-divisies van wereldmachten om dit te doen", zo stelde de jury. Hoewel het incident zo'n 8 maanden geleden bekend werd, is er nog altijd weinig duidelijk over hoe de backdoors konden worden toegevoegd, zo stelde de jury verder.
De drown-kwetsbaarheid, waardoor aanvallers versleutelde verbindingen op internet kunnen aanvallen om gevoelige informatie, zoals wachtwoorden, creditcardgegevens, handelsgeheimen of financiële, data te stelen, won in de categorie "Beste Cryptografische Aanval". Western Digital mocht in de categorie van slechtste reactie van een leverancier het beeldje in ontvangst nemen, omdat het niet goed op een beveiligingsprobleem had gereageerd.
De Badlock-kwetsbaarheid in Windows en Samba werd door de jury uitgeroepen tot het meest gehypte beveiligingslek van 2016, terwijl Google-onderzoeker Tavis Ormandy, die de afgelopen jaren in tal van beveiligingsproducten zeer ernstige kwetsbaarheden ontdekte, in de categorie "Epic Achievement" de prijs mocht meenemen. De bekende hacker Peiter "Mudge" Zatko kreeg de Lifetime Achievement Award mee naar huis.
Er was ook nog Nederlands succes tijdens de Pwnie Awards van dit jaar. Een kwetsbaarheid die door Herbert Bos, hoogleraar systeem- en netwerkbeveiliging bij de Vrije Universiteit Amsterdam, en verschillende andere VU-onderzoekers werd gevonden, kreeg de prijs voor het meest innovatieve onderzoek. Het probleem dat de onderzoekers ontdekten zit hem in de manier waarop Windows en andere moderne besturingssystemen met geheugen omgaan, ook wel deduplicatie genoemd. Een aanvaller zou via het beveiligingsprobleem in het ergste geval willekeurige code op afstand kunnen uitvoeren, zo waarschuwde het Nationaal Cyber Security Centrum (NCSC) van de overheid in mei.
Deze posting is gelocked. Reageren is niet meer mogelijk.