Kihajítja szoftveréből a hibás véletlenszám-generátort.

Lecseréli a Juniper Networks a NetScreen családon futó ScreenOS véletlenszám-generátorát és néhány azzal összefüggő elemét. Így állítólag tényleg lehallgathatatlanok lesznek az eszközök. Bár a Reuter finoman utal arra, hogy a bejelentés egy nappal az után jelent meg a Juniper blogján, hogy egy a Stanford Egyetemen tartott konferencián titkosítási szakértők bemutatták, hogy 2008. óta lehet egy lehallgatásra is lehetőséget adó backdoor van a programban, ez akár véletlen egybeesés is lehet.

A hiba ugyanis már jó ideje ismert. A nagyközönség először az Edward Snowden által kiszivárogtatott dokumentumokból értesülhetett arról, hogy a titkosítás nem mindenkinek titkosít. 2013 őszén széles körű szakmai vita alakult ki a titkosításról. A Massachusetts Institute of Technology egy kriptigráfiai szakértője, Stephen A. Weis akkor például azt állította, hogy mivel a titkosítások nagyon nehezen törhetők, az NSA inkább más módszerhez folyamodott. Például ahhoz, hogy hátsó kaput épített az általa is jóváhagyott Dual_EC_DRBG titkosítási szabványban. A Juniper érintett eszközei is ezt használták annak ellenére, hogy már 2007-ben felfedezett benne egy kiskaput.

Jobb technológia jön

A Juniper ígérete szerint néhány hónapon belül érkezik a ScreenOS új változata, amely ugyanazt a technológiát tartalmazza majd, mint a cég más, biztonságosabb termékei.

Annak, hogy a NetScreenek nem kapták meg ezt a javítást, történeti okai is vannak. A termékcsalád 2004-ben, felvásárlással került a vállalat birtokába a rajtuk futó szoftverrel együtt. Aztán a szoftver fejlesztésével le is álltak mintegy 7-8 éve, és a termékcsalád el elavult, bár támogatás még jár hozzá.

Az eddigi vizsgálatok szerint egyébként a backdoor néhány éve kerülhetett a szoftverbe, két körben, 2012-ben és 2014-ben. Az előbbi a lehallgatást, utóbbi pedig teljes hálózati hozzáférést biztosított. A Reuter idézi Nicholas Weaver biztonsági szakértőt, aki szerint simán elképzelhető, hogy a 2012-es biztonsági rés az NSA műve, a 2014-est azonban más országok hivatásos hackerei is telepíthették.

A Juniper mindent átvizsgál

A vállalatnál már egy ideje folynak a vizsgálatok külső tanácsadó cég segítségével. Először is átvizsgálták az operációs rendszert, valamint a modernebb Juno OS-t is. Most pedig már azt kutatják, miként férhettek hozzá kívülről a ScreenOS forráskódjához.

Nem véletlen, hogy a Juniper Networksnek ennyire fontos a vizsgálat. Két éve a Reuters röppentette fel a hírt, hogy az RSA 10 millió dollárt kapott azért, hogy hátsó kaput építsen egyik termékébe, a BSafe-be. A probléma akkor is a  Dual_EC_DRBG szabvánnyal volt kapcsolatban. Bár az RSA cáfolta a hírügynökség információit, a piac egy része inkább a Reutersnek hitt, ami súlyos presztízsveszteséget okozott a cégnek.

Ugyanakkor az RSA műszaki igazgatójának egy későbbi nyilatkozata érdekes megvilágításba helyezte az ügyet: "Szkeptikusabbnak kellett volna lennünk az NSA szándékait illetően. Bíztunk a szervezetben, hiszen az Egyesült Államok kormányának és az USA kritikus infrastruktúráinak védelmét látta el".

Biztonság

Rátelepedne a városi közlekedésre az Alphabet

Az ohiói Columbus városánál egész vad közlekedésfejlesztési ötletekkel kopogtat az informatikai oktopusz egyik leányvállalata.
 
Hirdetés

IBM MaaS360 – a mobil vállalati adatok hatékony védelméért

Ha a leggyorsabb és legátfogóbb mobileszköz-menedzsment megoldásra van szükség, amely az okostelefonok és tabletek egyetlen képernyőről történő biztonságos felügyeletét kínálja, akkor az IBM MaaS360 Mobile Threat Management a legjobb választás.

A legfrissebb felhős biztonsági fejlesztéseknek köszönhetően védettebbé válhatnak az adatok, mint valaha. Az aktuális fenyegetések után az ezekre adott válaszokat járjuk körül.

a melléklet támogatója az Aruba Cloud

Hirdetés

Adatvédelem a felhőben

Az európai szabályozásnak az is célja, hogy a vállalatok jobban bízzanak az Unió felhőszolgáltatóiban.

Minden eddiginél több szoftvergyártói audit vár rájuk. Az IPR-Insights felmérése a magyar piacról.
A két új csúcsmodell nem változtat, legfeljebb csiszol a bevált recepteken.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2016 Bitport.hu Média Kft. Minden jog fenntartva.