Bloomberg: aanvallers voegden via NSA-algoritme backdoor toe aan Juniper-code
Aanvallers die vanuit China opereerden hebben software van netwerkgigant Juniper in 2014 voorzien van een backdoor waarbij ze onder andere gebruikmaakten van een door de NSA ontworpen encryptiealgoritme, zo claimt Bloomberg op basis van anonieme bronnen en een intern document van Juniper dat het in handen zegt te hebben.
In 2015 waarschuwde Juniper dat een backdoor in ScreenOS het jarenlang mogelijk maakte voor aanvallers om VPN-verkeer te ontsleutelen. ScreenOS is het besturingssysteem van de NetScreen-netwerkapparaten van Juniper. Deze apparaten bieden firewalling, VPN-verbindingen en traffic shaping. Tijdens een controle van de code van het besturingssysteem ontdekte Juniper naar eigen zeggen de aanwezigheid van ongeautoriseerde code. Via deze code kon een aanvaller beheerderstoegang tot NetScreen-apparaten krijgen en VPN-verbindingen ontsleutelen. Verdere details over de aanval werden niet gegeven.
Nu komt Bloomberg met een verhaal waarin het stelt dat aanvallers in 2012 en 2014 bij Juniper hebben ingebroken. Het bedrijf zou de werkelijke impact van de inbraken echter hebben gemist. Bij de inbraak in 2012 wisten de aanvallers toegang tot de computer van een engineer te krijgen en kregen zo toegang tot de broncode van ScreenOS.
De aanvallers wisten in 2014 opnieuw bij Juniper in te breken en kregen toegang tot de server waar nieuwe ScreenOS-versies worden ontwikkeld. Zo konden ze een backdoor toevoegen waarmee ze toegang tot NetScreen-apparaten konden krijgen en verkeer konden ontsleutelen. Daarbij maakten ze onder andere gebruik van een omstreden algoritme dat door de NSA was ontwikkeld en Juniper aan de eigen software had toegevoegd.
Het gaat om de Dual Elliptic Curve Deterministic Random Bit Generator (Dual_EC_DRBG) die willekeurige getallen genereert. De NSA zou het algoritme opzettelijk hebben verzwakt, zodat de gegenereerde getallen helemaal niet willekeurig zijn en het mogelijk wordt om versleutelde informatie te ontsleutelen. Onderzoekers waarschuwden al in 2007 dat het algoritme mogelijk een backdoor bevatte.
Het algoritme maakt gebruik van een "Q-waarde" om encryptiesleutels te genereren. De NSA adviseerde om een specifieke waarde te gebruiken. Volgens onderzoekers zou degene die de waarde koos de encryptiesleutels kunnen achterhalen om daarmee verkeer te ontsleutelen. Het algoritme werd echter in 2008 door het National Institute of Standards and Technology goedgekeurd.
Volgens Bloomberg was Juniper bekend met zorgen over een mogelijke backdoor maar besloot het algoritme toch aan de eigen software toe te voegen. De reden hiervoor was dat het Amerikaanse ministerie van Defensie, een grote klant, erop stond dat het algoritme aanwezig was. De aanvallers die in 2014 toegang tot de ScreenOS-broncode kregen wijzigden de Q-waarde, waardoor ze verkeer van NetScreen-apparaten konden afluisteren. Ook voegden ze een "master password" toe, vermomd als debuggingcode. Daarmee kon er beheerderstoegang tot de NetScreen-apparaten worden verkregen.
Het NSA-algoritme werd in 2016 door Juniper uit de ScreenOS-code verwijderd. Volgens de Amerikaanse burgerrechtenbeweging ACLU is dit een perfect voorbeeld van het gevaar van overheidsbackdoors. "Er bestaat geen backdoor die alleen de Amerikaanse overheid kan exploiteren", zegt Jennifer Stisa Granick. Juniper wilde niet op specifieke vragen van Bloomberg reageren. Het interne document waar het medium naar verwijst is niet openbaar gemaakt.
We weten het antwoord eigenlijk al toch?
En inderdaad zoals iemand hier al schreef: @F. Grapperhaus: leest u even mee? De specialisten op uw ministerie weten dit maar al te goed. Luister a.u.b. naar hen en ga geen politieke keuzes maken als het om ICT beveiliging gaat.
Nee, je hebt alleen niet goed genoeg gelezen . Hoewel Bloomberg zeer matig betrouwbaar is - en zes jaar te laat - er staat niet dat de hack *via* de NSA-iets gebeurde.
Maar door het 'gewoon' hacken van de computer van engineer .
Juniper Netscreen was zodanig platgebackdoored dat er _twee_ backdoors in zaten.
Een hardcoded password , en de NSA-"alleen voor ons" backdoor in de random number generator was vervangen door een "alleen voor ONS" backdoor . Degene die de geheime sleutel kende die in de pRNG zat kon VPN verkeer decoderen.
Wie de "ONS" was die gebruik kon maken van die backdoor is onbekend - zeer vermoedelijk een/de Chinese geheime dienst .
Netscreen OS wordt (of werd, destijds) in China ontwikkeld , en dat zal het hacken van de systemen door een Chinese dienst wel makkelijker gemaakt hebben.
https://www.wired.com/2015/12/researchers-solve-the-juniper-mystery-and-they-say-its-partially-the-nsas-fault/
https://www.theregister.com/2015/12/20/juniper_details_two_attacks_from_unauthorised_code/
https://blog.cryptographyengineering.com/2015/12/22/on-juniper-backdoor/
Het is niks nieuws inderdaad dat een nationale overheid wat voordelen pakt als er technologie aan buitenlandse partijen geleverd wordt.
Juist om die reden streven overheden er gewoonlijk naar dat dit soort "vitale technologie" in eigen land blijft en gekocht wordt van de nationale hofleverancier - ze kennen hun pappenheimers.
Maar de NL Overheid vond het later helemaal prima om de business van Philips Crypto - dat inmiddels opgegaan was in Fox IT - naar het Verenigd Koninkrijk (of all places - GCHQ gluurt echt overal) te laten gaan.
Dat een Amerikaanse leverancier (Juniper) zich laat backdooren door een buitenlandse partij is wel erg dom - juist omdat "American made" voor Amerikaanse overheidsklanten een belangrijk aspect is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
