2013 年史諾登揭露 NSA 大規模監視公民,並且用無孔不入的手法,包括影響網路設備商的產品,讓他們產品有 NSA 掌握的漏洞,方便破解攔截訊息,其他包括網路商 Juniper Network 的產品。如今網路設備商 Juniper Network 要除掉 NSA 安裝的漏洞程式,重新贏回大眾信任。
Juniper Network 出問題的產品是其防火牆產品,NetScreen 產品線防火牆含有未認證的程式碼 Dual_EC_DRBG 隨機號碼產生器,該漏洞讓流經 VPN 的連線被解密出來。Juniper 在其網站公告未來 6 個月出品的將從 NetScrean 防火牆產品移除 Dual_EC_DRBG 隨機號碼產生器。
資安專家從 2007 年就知道 Dual_EG_ERBG 含有漏洞,造成理應加密的 VPN 連線卻能被解密。原先 Juniper 否認該漏洞會造成傳輸內容外洩。今年 Real World Cryptography Conference 2016 大會卻指出 Juniper 的說法是錯誤,實際上只要破解 Dual_EG_ERBG,就可以攔截解密訊息。2012 年和 2014 年有兩個程式碼改動,分別造成知道漏洞的人可以竊聽,和知道 Hardcoded Password 的人能夠解密訊息。
Wired 進一步質疑有這麼大廠像是電信商 AT&T、Verizon,還有國際和政府組織北大西洋公約組織和美國政府使用的產品,為何對這項漏洞默不作聲。資安社群長期將 Dual_EC 隨機號碼產生器視為不安全的演算法,有可能拿來放後門。等到事件爆發後,Juniper 默默更新韌體,並不多做解釋,很啟人疑竇。芝加哥伊犁諾大學資安教授 Stephen Checkoway 指出,為何要在已經很安全的 ANSI 演算法存在的狀況,採用較不安全的演算法?
先前 Juniper 爆出韌體有來自 NSA 的程式碼,並且含有漏洞,方便 NSA 攔截並輕易的解密。該漏洞在 2007 年就被資安社群警告可能被拿來利用。
大會的簡報在這邊,有興趣的人可以詳細研究。
相關連結
- Juniper drops NSA-developed code following new backdoor revelations
- New Discovery Around Juniper Backdoor Raises More Questions About the Company
- Juniper Blog post – Advancing the Security of Juniper Products
- Juniper Networks will drop code tied to National Security Agency
- Juniper promises to scrap firmware code that granted NSA backdoor access
延伸閱讀
更多關於 瑞霖 陳 的文章 (所有文章)
- Reddit 終於推出自產的官方 App - 2016-04-10
- Google 發佈 Cardboard SDK,方便第三方提供 VR 內容 - 2016-04-01
- Nest 更新加入家庭帳號功能,聰明判斷家裡是否有人 - 2016-03-14
