網路通訊設備公司 Juniper 於上個月發現旗下的防火牆的軟件有未經允許的程式碼,使不少人擔心產品的安全,當中Dual_EC 的使用更成焦點。除了上月的修複檔,日前公司再宣布不再使用有問題的亂數產生器,新的 ScreeonOS 將會在 2016 上半年推出。
Juniper 防火牆被植入惡意程式碼 或與國安局有關
Juniper 上個月宣布旗下的 NetScreen 防火牆帶有兩段未經允許的程式碼。第一段程式碼加入了 hardcoded 的密碼「<<< %s(un=’%s’) = %u」,攻擊者可籍此透過 SSH 或 Telnet 取得 Juniper 防火牆的管理員權限;第二段的程式碼可把監視 VPN 連線並將之解密。受影響的是運行 ScreenOS 6.2.0r15 至6.2.0r18,以及 6.3.0r12 至 6.3.0r20 的Juniper 防火牆,顯示早在 2012 年問題已存在。公司其後亦發布修正檔案。
外界認為這是個嚴重的問題。第一,不少人認為這是國家級黑客所為,讓部分國家監聽網絡;第二,由於管理員密碼已被公開,如果防火牆軟件沒有被修複,就會被黑客有機可乘。但最重要的是,外界懷疑防火牆的後門是與美國國家安全局有關。
新版 ScreenOS 將不再使用 Dual_EC
此外,外界更對 Juniper 採用較弱的 Dual_EC 加密機制感到不解,並認為這是造成後門的主因。然而 Juniper 在 2013 指出這做法並無不妥,因為產品並非單單依賴 Dual_EC,而且還會使用更安全的 ANSI X9.31。但日前伊利諾大學芝加哥分校研究人員 Stephen Checkoway 等人分析了 48 個 NetScreen 韌體發現,Dual_EC 是比 ANSI 更遲加入;他們更發現加入 Dual_EC 時軟件有受修改,使用的 Nonce 由 20 bytes 加到 32 bytes,使黑客更易破解。
不過 Juniper 自 12 月後,一直不回應有關 Dual_EC 的查詢。但自 Checkoway 發表報告後,Juniper 便宣布會採用Junos OS 產品的亂數產生技術來取代 Dual_EC 和 ANSI X9.31,其更新會在 2016 上半年、下一版本的 ScreenOS 推出。
Source : Computer World , Wired