Kihajítja szoftveréből a hibás véletlenszám-generátort.

Lecseréli a Juniper Networks a NetScreen családon futó ScreenOS véletlenszám-generátorát és néhány azzal összefüggő elemét. Így állítólag tényleg lehallgathatatlanok lesznek az eszközök. Bár a Reuter finoman utal arra, hogy a bejelentés egy nappal az után jelent meg a Juniper blogján, hogy egy a Stanford Egyetemen tartott konferencián titkosítási szakértők bemutatták, hogy 2008. óta lehet egy lehallgatásra is lehetőséget adó backdoor van a programban, ez akár véletlen egybeesés is lehet.

A hiba ugyanis már jó ideje ismert. A nagyközönség először az Edward Snowden által kiszivárogtatott dokumentumokból értesülhetett arról, hogy a titkosítás nem mindenkinek titkosít. 2013 őszén széles körű szakmai vita alakult ki a titkosításról. A Massachusetts Institute of Technology egy kriptigráfiai szakértője, Stephen A. Weis akkor például azt állította, hogy mivel a titkosítások nagyon nehezen törhetők, az NSA inkább más módszerhez folyamodott. Például ahhoz, hogy hátsó kaput épített az általa is jóváhagyott Dual_EC_DRBG titkosítási szabványban. A Juniper érintett eszközei is ezt használták annak ellenére, hogy már 2007-ben felfedezett benne egy kiskaput.

Jobb technológia jön

A Juniper ígérete szerint néhány hónapon belül érkezik a ScreenOS új változata, amely ugyanazt a technológiát tartalmazza majd, mint a cég más, biztonságosabb termékei.

Annak, hogy a NetScreenek nem kapták meg ezt a javítást, történeti okai is vannak. A termékcsalád 2004-ben, felvásárlással került a vállalat birtokába a rajtuk futó szoftverrel együtt. Aztán a szoftver fejlesztésével le is álltak mintegy 7-8 éve, és a termékcsalád el elavult, bár támogatás még jár hozzá.

Az eddigi vizsgálatok szerint egyébként a backdoor néhány éve kerülhetett a szoftverbe, két körben, 2012-ben és 2014-ben. Az előbbi a lehallgatást, utóbbi pedig teljes hálózati hozzáférést biztosított. A Reuter idézi Nicholas Weaver biztonsági szakértőt, aki szerint simán elképzelhető, hogy a 2012-es biztonsági rés az NSA műve, a 2014-est azonban más országok hivatásos hackerei is telepíthették.

A Juniper mindent átvizsgál

A vállalatnál már egy ideje folynak a vizsgálatok külső tanácsadó cég segítségével. Először is átvizsgálták az operációs rendszert, valamint a modernebb Juno OS-t is. Most pedig már azt kutatják, miként férhettek hozzá kívülről a ScreenOS forráskódjához.

Nem véletlen, hogy a Juniper Networksnek ennyire fontos a vizsgálat. Két éve a Reuters röppentette fel a hírt, hogy az RSA 10 millió dollárt kapott azért, hogy hátsó kaput építsen egyik termékébe, a BSafe-be. A probléma akkor is a  Dual_EC_DRBG szabvánnyal volt kapcsolatban. Bár az RSA cáfolta a hírügynökség információit, a piac egy része inkább a Reutersnek hitt, ami súlyos presztízsveszteséget okozott a cégnek.

Ugyanakkor az RSA műszaki igazgatójának egy későbbi nyilatkozata érdekes megvilágításba helyezte az ügyet: "Szkeptikusabbnak kellett volna lennünk az NSA szándékait illetően. Bíztunk a szervezetben, hiszen az Egyesült Államok kormányának és az USA kritikus infrastruktúráinak védelmét látta el".

Biztonság

Tegnap fellőtték a Trump Monitort. Ha tőzsdézik, nélkülözhetetlen

Tőzsdézik? Ha jót akar magának, töltse le a Trump Monitort! Az app figyeli a republikánus elnök twitterét, és riaszt, ha egy bejegyzés várhatóan felfordulást okozna a részvénypiacon.
 
Inspiráló munkakörnyezet, kreatív szakmai kihívások és csak ezután következne a bér? Utánajártunk, mit várnak el a hazai IT-szakemberek a mai munkaerőpiacon?

a melléklet támogatója az IThon.info

Hirdetés

Iránytű az IT piac kihívásaira

Mi lehet az alternatíva az informatikus munkaerőhiány csökkentésére, ha már a telefont szinte fel sem veszik, a LinkedIn-ről pedig leiratkoznak az IT szakemberek a túlontúl sok hasonló megkeresés miatt?

A VISZ az Infotér konferencián tárgyalta ki az IT-szakma képzési és munkaerő-piaci problémáit oktatási szakértők és cégvezetők segítségével.

2 millió forinttal díjazza a VISZ a legjobb középiskolát

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Másfél év alatt vált le a Budapest Bank szervezete a GE Capitalról. A folyamatban nagy szerepet kaptak a helyi szállítók is. Kelemen Bálint informatikai vezető (Budapest Bank) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2016 Bitport.hu Média Kft. Minden jog fenntartva.