示意圖,Photo by Chris Barbalis on unsplash

4年前Juniper發生防火牆產品作業系統使用可能造成監控風險的加密演算法,以及中間遭人修改的疑雲,該公司承諾著手調查,美國國會議員昨(10)日發出公開信詢問Juniper到底調查結果如何,希望藉此突顯科技產品加後門的危險性。

這封由一群國會議員發給Juniper執行長Rami Rahim的公開信中,談及2015年Juniper發現其防火牆產品NetScreen的作業系統ScreenOS的漏洞。

2015年12月Juniper宣布ScreenOS中有「未授權的程式碼」造成2項漏洞,可能造成流經這些產品的用戶通訊內容被駭客存取。主要影響2012年到2015年間出售的防火牆。Juniper也釋出修補程式。但不久後,安全研究人員發現到的情況,卻挖掘出更多不為人知的祕密。

安全人員發現,那些未授權程式碼是一個後門,但它其實旨在修改了一個另一個舊有後門的密鑰。進一步追查發現,舊後門最早在2008年就已被加入到Juniper產品中。這舊後門存在於Juniper當時ScreenOS使用的加密演算法,名為Dual_EC_DRBG。這個演算法由美國國安局(NSA)開發,雖然因為有瑕疵(即可能被破解),但仍拿到了FIPS (Federal Information Processing Standards) 認證,且用於許多美國政府採購的安全產品中,直到被史諾登於2013年揭露後,才由美國國家標準及科技研究院(NIST)撤消其認證。

不過Juniper仍然使用Dual_EC_DRBG,且未對外公布,一直到2015年底被人發現為止。Juniper當時宣布將針對這段未授權程式碼展開調查。2016年1月Juniper還宣布,不再使用Dual_EC_DRBG,未來產品將使用新的演算法。然而調查卻不再有下文。

這份公開信指出,從Juniper宣布啟動調查已經過了4年多,但Juniper卻仍然未公布任何結果,美國民眾及信賴Juniper的企業還是對何以Juniper暗中加入NSA設計,疑似後門的加密演算法,以及多年後另一個不知名的單位,又如何變更了舊後門一無所知。

公開信要求Juniper在7月10日前回答許多問題,包括當初何以不公開揭露使用Dual_EC_DRBG、該公司是誰准許使用及變更Dual_EC_DRBG演算法、主導調查者為誰、是否有調查報告、報告有否建議,以及Juniper是否實作了新的變更等等。

以司法部長Williams Barr為首的美國政府,去年要求科技公司在產品內植入後門以利政府監控。這群議員指出,Juniper的案例能提供重要的參考資訊,讓大家了解後門的危險性,以及輕易置入政府後門,可能很容易被高明的行動者(active)暗中破壞掉。


Advertisement

更多 iThome相關內容