Kihajítja szoftveréből a hibás véletlenszám-generátort.
Hirdetés
 

Lecseréli a Juniper Networks a NetScreen családon futó ScreenOS véletlenszám-generátorát és néhány azzal összefüggő elemét. Így állítólag tényleg lehallgathatatlanok lesznek az eszközök. Bár a Reuter finoman utal arra, hogy a bejelentés egy nappal az után jelent meg a Juniper blogján, hogy egy a Stanford Egyetemen tartott konferencián titkosítási szakértők bemutatták, hogy 2008. óta lehet egy lehallgatásra is lehetőséget adó backdoor van a programban, ez akár véletlen egybeesés is lehet.

A hiba ugyanis már jó ideje ismert. A nagyközönség először az Edward Snowden által kiszivárogtatott dokumentumokból értesülhetett arról, hogy a titkosítás nem mindenkinek titkosít. 2013 őszén széles körű szakmai vita alakult ki a titkosításról. A Massachusetts Institute of Technology egy kriptigráfiai szakértője, Stephen A. Weis akkor például azt állította, hogy mivel a titkosítások nagyon nehezen törhetők, az NSA inkább más módszerhez folyamodott. Például ahhoz, hogy hátsó kaput épített az általa is jóváhagyott Dual_EC_DRBG titkosítási szabványban. A Juniper érintett eszközei is ezt használták annak ellenére, hogy már 2007-ben felfedezett benne egy kiskaput.

Jobb technológia jön

A Juniper ígérete szerint néhány hónapon belül érkezik a ScreenOS új változata, amely ugyanazt a technológiát tartalmazza majd, mint a cég más, biztonságosabb termékei.

Annak, hogy a NetScreenek nem kapták meg ezt a javítást, történeti okai is vannak. A termékcsalád 2004-ben, felvásárlással került a vállalat birtokába a rajtuk futó szoftverrel együtt. Aztán a szoftver fejlesztésével le is álltak mintegy 7-8 éve, és a termékcsalád el elavult, bár támogatás még jár hozzá.

Az eddigi vizsgálatok szerint egyébként a backdoor néhány éve kerülhetett a szoftverbe, két körben, 2012-ben és 2014-ben. Az előbbi a lehallgatást, utóbbi pedig teljes hálózati hozzáférést biztosított. A Reuter idézi Nicholas Weaver biztonsági szakértőt, aki szerint simán elképzelhető, hogy a 2012-es biztonsági rés az NSA műve, a 2014-est azonban más országok hivatásos hackerei is telepíthették.

A Juniper mindent átvizsgál

A vállalatnál már egy ideje folynak a vizsgálatok külső tanácsadó cég segítségével. Először is átvizsgálták az operációs rendszert, valamint a modernebb Juno OS-t is. Most pedig már azt kutatják, miként férhettek hozzá kívülről a ScreenOS forráskódjához.

Nem véletlen, hogy a Juniper Networksnek ennyire fontos a vizsgálat. Két éve a Reuters röppentette fel a hírt, hogy az RSA 10 millió dollárt kapott azért, hogy hátsó kaput építsen egyik termékébe, a BSafe-be. A probléma akkor is a  Dual_EC_DRBG szabvánnyal volt kapcsolatban. Bár az RSA cáfolta a hírügynökség információit, a piac egy része inkább a Reutersnek hitt, ami súlyos presztízsveszteséget okozott a cégnek.

Ugyanakkor az RSA műszaki igazgatójának egy későbbi nyilatkozata érdekes megvilágításba helyezte az ügyet: "Szkeptikusabbnak kellett volna lennünk az NSA szándékait illetően. Bíztunk a szervezetben, hiszen az Egyesült Államok kormányának és az USA kritikus infrastruktúráinak védelmét látta el".

Biztonság

Így lehet veszélyes egy hiányzó betűkészlet

Új fenyegetéssel kell szembenéznie a Chrome böngészőt használók táborának.
 
Küszöbön áll egy kifejezetten a kis- és középvállalatok számára induló, jelentős részben vissza nem térítendő EU-s támogatást tartalmazó pályázat felhőalapú szolgáltatások bevezetésére. Mégsem csak ettől kell várni a megváltást.

a melléklet támogatója a MiniCRM

Hirdetés

Kitörési pont a kkv-knak

Ahhoz, hogy Magyarország fejlődni tudjon, elengedhetetlen a kis-, és középvállalkozások növekedése. De mi kell ahhoz, hogy ez teljesüljön? Cikkünkből kiderül! (x)

Egy nemzetközi kutatás szerint a szoftvergyártók auditja nem tesz jót az innovációnak, és a versenyt is gátolja. Segítsen felmérni a hazai helyzetet!
A digitális átalakulás szép elv. De ha mindent az azonnali megtérülés és az IT-költségek csökkentése vezérel, akkor csak elv marad – súlyos valós következményekkel. Takács István Péter írása.

Az élethosszig tartó tanulás lesz a legfontosabb képességünk

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Másfél év alatt vált le a Budapest Bank szervezete a GE Capitalról. A folyamatban nagy szerepet kaptak a helyi szállítók is. Kelemen Bálint informatikai vezető (Budapest Bank) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2016 Bitport.hu Média Kft. Minden jog fenntartva.