Juniper NetScreen 5400, et av produktene som bruker ScreenOS. (Foto: Juniper Networks)

ScreenOS

NSA-kode kastes ut av brannmur-produkter

Juniper stoler ikke lenger på slumptallene.

Juniper Networks, som tilbyr en rekke ulike typer nettverksomutstyr, kunngjorde før helgen at selskapet skal utgi en ny versjon av ScreenOS 6.3-programvaren til selskapet Netscreen-brannmurprodukter. I den nye versjonen skal begge de to slumptallgeneratorene, Dual_EC_DRBG og ANSI X9.31, erstattes med en samme løsning som Juniper bruker i selskapets Junos OS-produkter.

En vesentlig forutsetning for sterk kryptering er bruken av helt vilkårlige tall – slumptall – som ikke på noen måte kan forutsies. Men det har i mange år vært antatt at Dual_EC_DRBG har svakheter som faktisk gjør det mulig å forutsi slumptallene den genererer.

I 2013 avslørte Edward Snowden at NSA har stått for utviklingen av Dual_EC_DRBG-spesifikasjonen siden 2006, og at etaten kjenner til svakheter i den som kan utnyttes til å skape en bakdør.

Sårbart likevel

Juniper har tidligere forklart at Dual_EC_DRBG ikke brukes som den primære slumptallgeneratoren i systemene. Denne rollen er det ANSI X9.31 som har hatt. Selskapet har tidligere gitt beskjed om at Dual_EC_DRBG ikke brukes på en slik måte at systemene er sårbare på grunn av slumptall-svakhetene i Dual_EC_DRBG.

Men ifølge Ars Technica ble det i forrige uke presentert forskningsresultater som bestrider Junipers opprinnelige påstand. Blant annet peker forskerne på at det i 2008 ble gjort en endring i ScreenOS-koden som gjorde det enklere å utnytte sårbarhetene. Det har også blitt oppdaget ytterligere to kodeendringer i NetScreen-produktene som har gjort det enklere å få administrativ tilgang til enhetene, samt å avlytte VPN-forbindelser.

I det ene tilfellet skal en matematisk konstant ha blitt endret. I det andre tilfellet ble det sørget for at dekryptering av kommunikasjon ble gjort mulig for enhver med kjennskap til et hardkodet passord.

Uautorisert

Disse endringene, som skal ha blitt oppdaget gjennom en nylig, intern koderevisjon, har blitt beskrevet som uautoriserte av Juniper. Sikkerhetsfikser som fjerner sårbarhetene, har blitt utgitt.

Det er den videre etterforskningen av disse oppdagelsene som har ført til avgjørelsen om at slumptallgeneratorene i ScreenOS skal skiftes ut. Dette skal bli gjort i løpet av det inneværende halvåret.

Det skal ikke ha blitt funnet uautorisert kode i Junos OS, som brukes i de fleste av Junipers produkter.

Til toppen