Juniper 將移除防火牆產品與 NSA 有關的程式碼

作者 | 發布日期 2016 年 01 月 12 日 17:35 | 分類 資訊安全 follow us in feedly

2013 年史諾登揭露 NSA 大規模監視公民,並且用無孔不入的手法,包括影響網路設備商的產品,讓他們產品有 NSA 掌握的漏洞,方便破解攔截訊息,其他包括網路商 Juniper Network 的產品。如今網路設備商 Juniper Network 要除掉 NSA 安裝的漏洞程式,重新贏回大眾信任。




Juniper Network 出問題的產品是其防火牆產品,NetScreen 產品線防火牆含有未認證的程式碼 Dual_EC_DRBG 隨機號碼產生器,該漏洞讓流經 VPN 的連線被解密出來。Juniper 在其網站公告未來 6 個月出品的將從 NetScrean 防火牆產品移除 Dual_EC_DRBG 隨機號碼產生器。

資安專家從 2007 年就知道 Dual_EG_ERBG 含有漏洞,造成理應加密的 VPN 連線卻能被解密。原先 Juniper 否認該漏洞會造成傳輸內容外洩。今年 Real World Cryptography Conference 2016 大會卻指出 Juniper 的說法是錯誤,實際上只要破解 Dual_EG_ERBG,就可以攔截解密訊息。2012 年和 2014 年有兩個程式碼改動,分別造成知道漏洞的人可以竊聽,和知道 Hardcoded Password 的人能夠解密訊息。

Wired 進一步質疑有這麼大廠像是電信商 AT&T、Verizon,還有國際和政府組織北大西洋公約組織和美國政府使用的產品,為何對這項漏洞默不作聲。資安社群長期將 Dual_EC 隨機號碼產生器視為不安全的演算法,有可能拿來放後門。等到事件爆發後,Juniper 默默更新韌體,並不多做解釋,很啟人疑竇。芝加哥伊犁諾大學資安教授 Stephen Checkoway 指出,為何要在已經很安全的 ANSI 演算法存在的狀況,採用較不安全的演算法?

先前 Juniper 爆出韌體有來自 NSA 的程式碼,並且含有漏洞,方便 NSA 攔截並輕易的解密。該漏洞在 2007 年就被資安社群警告可能被拿來利用。

大會的簡報在這邊,有興趣的人可以詳細研究。

關鍵字: , , ,

發表迴響