NSA-Spionagevorwürfe: Juniper verspricht weitere Updates

10. Jänner 2016, 16:55
1 Posting

Vom US-Geheimdienst eingebrachter Zufallszahlengenerator wird aus Netzwerk-Betriebssystem entfernt

Als sich der Netzwerkspezialist Juniper vor einigen Wochen mit einem knapp gehaltenen Blogeintrag zu Sicherheitslücken im eigenen Betriebssystem ScreenOS zur Wort meldete, war nur wohl den wenigsten klar, welch spannende Geschichte sich in den folgenden Tagen entfalten sollte. Wie sich nämlich herausstellte, wurden die Geräte des Unternehmens jahrelang nicht nur mit einer SSH-Hintertür ausgeliefert, auch das Ausspionieren von VPN-Traffic war "dank" kryptografischer Schwächen vergleichsweise einfach zu bewerkstelligen – wenn man das nötige Wissen hatte.

Eine Hand...

Die Frage wer hinter diesen Angriffen steckt, ist bis heute nicht eindeutig geklärt, klar ist aber, dass der US-Geheimdienst NSA eine fatale Rolle in der Affäre eingenommen hat. Ist es doch dessen umstrittener Zufallszahlengenerator Dual_EC_DRBG der die Attacken gegen VPN-Verbindungen überhaupt erst ermöglichte. Die – von Anfang an beabsichtigen – konzeptionellen Schwächen in Dual_EC_DRGB hat sich wiederum ein weiterer staatlicher Player zunutze gemacht, um die Verschlüsselung bei ScreenOS austricksen zu können. Wer das war, ist nicht gesichert, einige Hinweise deuten aber in Richtung des britischen GCHQ.

Reaktion

Aus dieser Analyse wurde auch klar, dass die ursprünglichen Updates von ScreenOS das Problem nur unzureichend bereinigten, immerhin blieb der schwache Zufallszahlengenerator erhalten. Nach dem öffentlichen Druck der letzten Wochen verspricht Juniper nun aber ein weiteres Update: Im Verlaufe des ersten Halbjahrs 2016 soll Dual_EC_DRBG vollständig aus ScreenOS entfernt werden. Statt dessen soll auf den Zufallszahlengenerator des Nachfolgers Junos OS gewechselt werden.

Angriff

Zur Frage, wieso Dual_EC_DRBG überhaupt in ScreenOS gelandet ist, hüllt sich Juniper hingegen weiterhin in Schweigen. Genau hier steckt aber die Kernfrage für jegliche künftige Vertrauenswürdigkeit des Unternehmens. Immerhin war der Zufallszahlengenerator seit vielen Jahren von Kryptografen als potentiell unsicher kritisiert worden. Mit einigen der von Edward Snowden veröffentlichten Dokumente, bestätigte sich dann letztlich, dass es sich hierbei um einen gezielten Angriff der NSA gegen sichere Verschlüsselung handelte.

Kampagne

Die NSA hatte viel Geld investiert, um Dual_EC_DRBG – trotz Kritik – standardisieren zu lassen, und dann in einzelnen Produkten unterzubringen. So hat etwa RSA-Security im Februar 2014 zugegeben, dass man auf Wunsch der NSA den schwachen Zufallszahlengenerator in die eigenen Produkte aufgenommen hat. Dafür sollen laut damaligen Medienberichten 10 Millionen US-Dollar an RSA geflossen sein. Ob bei Juniper ähnliches geschehen ist, ist unbekannt. (apo, 10.1.2016)

  • Die Hardware von Juniper kommt vor allem in großen Netzwerken zum Einsatz – ein optimaler Platz um Spionage zu betreiben.

    Die Hardware von Juniper kommt vor allem in großen Netzwerken zum Einsatz – ein optimaler Platz um Spionage zu betreiben.

Share if you care.