Cisco undersøger egne produkter, efter Junipers fund af bagdør i firewall

Illustration: leowolfert/Bigstock
Netværksgiganten Cisco Systems vil nu gå sine produkter igennem for potentielle bagdøre, ligsesom den, der i sidste uge blev identificeret hos konkurrenten Juniper Networks. Flere store producenter vil nu gøre det samme, vurderer sikkerhedsekspert.

Afsløringen af en ‘uautoriseret stump kode’ fundet i et firewall-system hos netværksproducenten Juniper Networks i sidste uge har nu fået konkurrenten Cisco Systems til at reagere ved at bebude en undersøgelse af sin produktlinje for potentielle bagdøre.

Det skriver Reuters.

Den fremmede kode i Junipers systemer kunne blandt andet give hackere med kendskab til svagheden adgang til kommunikationen bag en VPN-forbindelse.

Læs også: Uforklarlig kodestump i Junipers firewall kan dekryptere krypteret VPN-trafik

Juniper har endnu ikke meldt officielt ud, hvordan man formoder bagdøren er havnet i firmaets systemer, men virksomhedens brug af ordet ‘uautoriseret’ har fået flere medier til at spekulere i, at bagdøren ikke er en fejl fra Junipers side og sandsynligvis er blevet plantet i systemerne af udefrakommende. Her har mistanken måske ikke overraskende været rettet mod NSA.

Junipers opdagelse har i det hele taget givet alle større producenter af sikkerhedskritisk udstyr noget nyt at tænke på, vurderer ledende medarbejder H. D. Moore fra sikkerhedsfirmaets Rapid7.

Han forklarer, at selvom firmaerne løbende foretager revisioner af koderne, så er det ofte utilsigtede fejl, der søges efter i de gennemgange, mens fremmed kode indsat uden producenten viden, som regel går under radaren for sikkerhedsfolkene.

Det har fået kryptografen Bruce Schneier til at kritisere industrien, der for længst burde have haft fokus på at opsnappe fremmed kode-bidder i deres systemer. Ifølge ham er det ikke sket, fordi markedet ikke belønner ekstra omkostninger i forbindelse med revisionerne.

Cisco meddeler i et blogindlæg, at de forestående test af firmaets systemer vil indebære gennemgange af koder af kryptografer og netværksingeniører, samt penetrationstests af systemerne, som skal søge at belyse, om også Ciscos systemer kan være kompromitteret.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Kramshøj Blogger

Der er to sårbarheder, den ene tillader login via Telnet og SSH med et kryptisk password <<< %s(un='%s') = %u, den anden ændrer parametre for Dual_EC tilfældighedsgenerator - som forøvrigt slet ikke bør bruges.

Der er en god writeup på SSH/Telnet sårbarheden på https://community.rapid7.com/community/infosec/blog/2015/12/20/cve-2015-...

og der kommer nok en del snak om Dual_EC - igen.

  • 0
  • 0
Thue Kristensen

Der er 3 sårbarheder!

Den oprindelige kode, før de to bagdøre blev sat ind, giver kun mening hvis Juniper's oprindelige (men ikke NSA's) P og Q var valgt med bagdør. Med den indbyggede fejl at den sikre CSPRNG ikke bliver brugt, som super meget ligner en bevidst plantet fejl for at skabe en bagdør!

Ellers giver det simpelthen ikke mening at tage en sårbar CSPRNG (dual_ec_drbg) og bruge den til at seede en sikker CSPRNG. Hvorfor ikke bare bruge kun den sikre CSPRNG?

Og hvordan fandt Juniper overhovedet på at bruge dual_ec_drbg? Den var allerede til grin i 2007, for eksempel Schneier's artikel i Wired.

Bemærk at vi ikke kan vide om Juniper's P og Q har en bagdør. Og Juniper's nuværende kode lækker stadig dual_ec_drbg's state hvis der er en bagdør. Og på grund af dual_ec_drbg's design, så kan vi ikke udelukke bagdøren i P og Q.

Denne historie er overhovedet ikke ovre før Juniper forklarer den oprindelige kode, fra før de 2 bagdøre.

  • 0
  • 0
Bent Jensen

Lidt patetisk ?
Vi ved de har en bagdør, og hvis de finder flere fra NAS må de ikke fortælle om dem, eller lukke dem ?
Læren er: brug IKKE software eller hardware fra USA og England, og brug helst Open Source samt kryptering (Ikke BitLocker og OneDrive) hvis muligt, og du har nogen oplysninger som du ikke vil dele med NSA, Google, MS, Staten, dine konkurrenter, naboer kone eller MOR.

  • 1
  • 0
Log ind eller Opret konto for at kommentere