An operating system used to manage firewalls sold by Juniper Networks contains unauthorized code that surreptitiously decrypts traffic sent through virtual private networks, officials from the company warned Thursday.
It's not clear how the code got there or how long it has been there. An advisory published by the company said that NetScreen firewalls using ScreenOS 6.2.0r15 through 6.2.0r18 and 6.3.0r12 through 6.3.0r20 are affected and require immediate patching. Release notes published by Juniper suggest the earliest vulnerable versions date back to at least 2012 and possibly earlier. There's no evidence right now that the backdoor was put in other Juniper OSes or devices.
"During a recent internal code review, Juniper discovered unauthorized code in ScreenOS that could allow a knowledgeable attacker to gain administrative access to NetScreen devices and to decrypt VPN connections," Juniper Chief Information officer Bob Worrall wrote. "Once we identified these vulnerabilities, we launched an investigation into the matter, and worked to develop and issue patched releases for the latest versions of ScreenOS."
A separate advisory from Juniper says there are two separate vulnerabilities, but stops short of describing either as "unauthorized code." The first flaw allows unauthorized remote administrative access to an affected device over SSH or telnet. Exploits can lead to complete compromise. "The second issue may allow a knowledgeable attacker who can monitor VPN traffic to decrypt that traffic," the advisory said. "It is independent of the first issue. There is no way to detect that this vulnerability was exploited."
Whodunit?
As involved as that process was, getting unauthorized code covertly installed into an official operating system and keeping it there for years would appear to be an even more complicated—and brazen—undertaking. This 2013 article published by Der Spiegel reported that an NSA operation known as FEEDTHROUGH worked against Juniper firewalls and gave the agency persistent backdoor access.
"This malware burrows into Juniper firewalls and makes it possible to smuggle other NSA prog
via arstechnica.com
Questo fatto è molto grave.
Chissà in Italia quanti sono vulnerabili e in quali organizzazioni.
Certo, se il sw fosse aperto, sarebbe ispezionabile..
Che il SW aperto sia ispezionabile è cosa buona ma quanta gente è capace di comprendere un sorgente? Quante organizzazioni possono realmente dedicare persone a check e miglioria del codice? Ricavandone poi cosa? Penso che ci siano aspetti (anche economici) da non sottovalutare quando si parla di sorgenti liberamente consultabili.
Scritto da: Vincenzo | 19/12/2015 a 13:39
beh, non occorre che tutti sappiano leggerli, basta che qualcuno sia in grado ...
Scritto da: Stefano Quintarelli | 19/12/2015 a 14:42
Ci sono stati casi di buchi di sicurezza presenti in software opensource da anni e scoperti solo recentemente: il più eclatante è Shellshock presente dal 1989 nel codice della Bash e scoperto nel 2014. E sicuramente non è mancata l'ispezione...
A volte è difficile per chiunque capire se c'è un buco o meno e/o se tale buco sia volontario (backdoor) o meno.
A mio parere il problema principale dei software proprietari è che se viene fuori che c'è un buco (volontario o meno) solo l'azienda che l'ha prodotto può decidere di sistemarlo e produrre una nuova versione e spesso non è nemmeno obbligata a farlo. Se il mio TV di 5 anni fa ha un buco di sicurezza che consente a chiunque "a portata di wifi" di entrare nella mia rete c'è qualcuno che obbliga il produttore a fornirmi un aggiornamento gratuito? Per aggiornare la mia TV ci vuole un connettore seriale apposito, non la posso aggiornare io da casa (lo posso fare, costruendomi un cavetto...).
Quindi come si può risolvere? E' giusto che un produttore scaduti 2 anni dalla vendita possa lavarsi completamente le mani dei problemi che ha "introdotto nel mondo" e che non sia nemmeno costretto a mettere in grado altri di provare a mettere a posto le cose?
Forse un primo passo potrebbe essere quello di stabilire che devi fornire supporto per 10 anni per i buchi di sicurezza (almeno quelli di un certo livello) dei software che distribuisci, a meno che non permetti alla comunità di poterlo fare in autonomia fornendo quindi sorgenti e istruzioni per compilare il software. E se l'azienda chiude? Si potrebbe imporre che quando chiude deve fornire i sorgenti di tutto ciò che ha distribuito o se parte del codice che ha distribuito è di proprietà di terzi fornire indicazioni di chi sono i terzi responsabili per quelle parti.
Non mi sembrerebbe una richiesta così difficile e costringerebbe chi non vuole rendere il proprio codice aperto a dare supporto per più tempo. Potrebbe funzionare? Aiuterebbe? Mi sembra che poco tempo fa tu avessi linkato un documento che andava in direzione opposta (l'apertura del codice come problema da combattere invece che soluzione...)
Probabilmente aumenterebbe un po' i costi di produzione e rallenterebbe un po' l'evoluzione, ma del resto nessuno di noi lascia la porta di casa aperta solo per risparmiare il tempo di cercare le chiavi quando torna a casa...
Scritto da: Stefano Bagnara | 19/12/2015 a 18:31
Concordo con te su questo.
Ma nel caso specifico possiamo dire che qualcosa nel processo produttivo del software non ha funzionato ? Se ci fosse stata un'alterazione del binario dei firmware sui dispositivi sarebbe stata tutta un'altra storia ma l'alterazione di un sorgente con gli strumenti di versionig e produzione che sono oggi a disposizione degli sviluppatori mi sembra abbastanza assurda. Significa che il processo di revisione e Q.C. del software in questione sia stato piuttosto superficiale per un po' di anni.
In ogni caso mi viene da chiedere : rendere disponibili le metodologie e le implementazioni dei componenti che contribuiscono a rendere un sistema software "sicuro" fino a che punto lo rendono realmente tale ?
Scritto da: Vincenzo | 19/12/2015 a 18:44
Spunti di riflessione.
- Truecrypt su come si fa(ceva) la verifica indipendente del software.
- [nota casa automobilistica] sulle alterazioni di software a cui lavorano tantissime persone (estremamente interessante capire come persone che hanno in tasca miliardi continuino a lavorare per stipendi di poche centinaia di euro, perdipiù venendo maltrattati e disprezzati dai capi).
- Forse anche bancomat, ma non ho info fresche. Io provo sempre a schiacciare tasti a caso per vedere se azzecco la combinazione dell'easter egg ma per ora non l'ho ancora trovata.
Peccato che i doc di Snowden riguardino solo la parte tecnica. Mi piacerebbe sapere se il protocollo della parte diplomatica prevede di fare la faccia stupita quando una delle tue backdoor viene scoperta o se gli viene naturale e automatico.
Scritto da: Bubbo Bubboni | 20/12/2015 a 09:54
Bagnara ha colto nel segno. Da sempre le autorita' si sono preoccupate di tutelare la proprieta' intellettuale anziche' di tutelare l'integrita', la qualita', la sicurezza degli strumenti tecnologici che impiega la popolazione. In altre parole: dagli anni 90 nel parlamento si e' sentita spesso l'espressione "il free software distrugge il mercato" ma mai "il software chiuso e' un rischio per la sicurezza". Le istituzioni si sarebbero dovute fare carico di cose come Freshmeat, GitHub, Wikipedia, etc. e invece si sono preoccupate solo del mercato, della proprieta'. Lasciando oltretutto questi altri oneri generali ad aziende che, per questioni di bilancio o per questioni di sicurezza nazionale (altrui) facevano i propri esclusivi interessi con pochissime eccezioni (es: RedHat, il loro sistema di ricerca e pubblicazione degli 0day).
E cosi' anche nelle universita': quanti studenti sono coinvolti in progetti pubblicamente accessibili? Quante macchine universitarie servono liberamente tutti e chiunque? Oggi e' tutto chiuso dietro NDA, e una volta preparato qualcosa di buono, esce fuori con uno spin-off commerciale ... non c'e' piu' coinvolgimento pubblico.
In tutto questo anche i militari avevano una funzione fondamentale. Le applicazioni militari sono le uniche che giustificano il modello di sviluppo waterfall (ie: piu' costoso e meno error prone). Fino a che le aziende hanno attinto dall'enorme produzione militare ... grossi problemi di sicurezza sono stati una eccezione. Oggi sono la norma.
E la quadra infine era fatta da noi singoli individui ... cani sciolti che per passione, per lavoro e per caso ... risolvevano problemi. Ma terminata l'euforia della rivoluzione informatica, il sentimento di essere coinvolti in qualcosa di nuovo senza precedenti ... e' venuta a mancare la quadra.
Vista la situazione, le aziende dovrebbero essere costrette, per legge, ad impiegare una sorta di GitHub pubblico, distribuito, come archivio codice per le applicazioni in vendita: se vuoi vendere, deve esserci il codice sorgente in quell'archivio. E le universita' lavorare su quell'archivio insieme alle aziende a fini educational: i professori selezionare gli oggetti software di valore utili al percorso di apprendimento, e gli studenti giocare con quelli per poter passare l'esame. Se per ogni studente che deve passare un esame, hai un processo di revisione codice funzionale alla produzione di del software richiesto dal prof ... a lui va la capacita' richiesta dall'esame, e a noi un software revisionato, e il fastidioso esame di fine corso diventa superfluo.
Invece gli amministratori sono ignoranti, non vogliono amministrare cose che non conoscono, non vogliono spendere in cose di cui non comprendono la necessita', hanno tutt'altre faccende per la testa su cui dirottare denaro, e quindi comprano servizi cloud per esternalizzare i costi di struttura, e perfino di infrastruttura ...
Scritto da: mfp | 20/12/2015 a 11:11
Accidenti, è vero!
Militari formati per obbedire alla gerarchia & governi usi ad essere schiavi della collettività!
Ecco la soluzione!
Ad esempio negli USA hanno un ente governativo apposito: l'NSA.
Scritto da: Bubbo Bubboni | 21/12/2015 a 22:38
Ti sbagli. La mission di NSA e' la raccolta e l'analisi dei dati - che equivale a monitoraggio e manipolazione delle persone - non la produzione e la protezione delle procedure e dei sistemi. Procedure&Sistemi lo hanno sempre fatto un po' tutte le agenzie americane: DoD, NASA, etc; in collaborazione con le universita'.
In questo senso l'unico dubbio e' sempre stato la possibilita' che introducessero bachi e procedure non documentate, per indebolire gli strumenti distribuiti al pubblico. Che e' argomento di discussione sempre aperto, anche perche' non abbiamo degli elementi veri e propri per poter dire che lo abbiano fatto.
Conosciamo cose come il Clipper Chip, l'ID inserito nel Pentium60, etc. Sappiamo che alcuni software chiusi integravano procedure di sicurezza non documentate (es: Adobe Photoshop segnalava quando una banconota veniva scannerizzata). E sappiamo che alcuni sviluppatori sono stati pagati per fare cose analoghe, so software aperto/libero, sotto accordo di riservatezza. Cosi' come sono saltati fuori bug di sicurezza nelle CPU ... che potevano essere rimasugli lasciati li' per retrocompatibilita', semplice sviste, o veri e propri cavalli di troia hardware. Ma come fai a confermare tutte queste cose?
Scritto da: mfp | 26/12/2015 a 09:46
L'NSA non produce direttamente apparati ma ha una mission decisamente ampia ed è ben documentato che interagisce con i costruttori in vario modo, tra l'altro anche con la produzione di standard tecnici perfettamente "puliti".
Del resto la loro mission non è la pia "raccolta e l'analisi dei dati" ma, scolapasta in testa, "gain a decision advantage for the Nation and our allies under all circumstances", "preventing foreign adversaries from gaining access to sensitive or classified national security information" e "enables Network Warfare operations to defeat terrorists and their organizations at home and abroad, consistent with U.S. laws and the protection of privacy and civil liberties." (la relazione tra U.S. laws e libertà civili è illustrata, ad esempio, nel PATRIOT Act).
Dal punto di vista pratico per sapere cosa fanno e hanno fatto abbiamo molti dati e informazioni, da Snowden alle procedure di accesso ai dati a qualche documento per la SEC.
Ma è dal punto di vista teorico che la cosa è più interessante. Ai tempi del fascio e del nazismo (anche ante-guerra) la relazione tra industria e regime era ben codificata e chiara: l'industria era al servizio della nazione e non potevano esistere differenze di opinioni. Ne derivava che le associazioni degli imprenditori e dei lavoratori erano di tipo corportativo, ecc. ecc.
Oggi se c'è un autonomia dell'impresa lo "sporco" può essere solo contro la divinità del mercato, ma se le imprese sono soggette alle scelte politiche e ai valori patriottici allora la vita per i cittadini non è così facile come cambiare marca...
Scritto da: Bubbo Bubboni | 26/12/2015 a 17:44
Si si, per carita', la loro missione e' succhiare risorse e denari ovunque sia possibile nel mondo, con qualunque mezzo; spiare e manipolare persone e' solo un piccolo passatempo utile. Infatti non si occupano di produrre e manutenere tecnologia che puo' essere utile al pubblico, se non incidentalmente. Ma non tutti i militari hanno questo scopo. Le altre agenzie (es: NASA, la marina, etc) nei passati decenni hanno finanziato, pubblicato e manutenuto cose utili; se non sbaglio lasciando a NSA il solo compito di selezionare le tecnologie crittografiche pubblicabili (NIST e' NSA?).
Onestamente non conosco la tecnostruttura americana, ma i militari hanno da sempre finanziato molta della tecnologia poi rilasciata al pubblico. E sinceramente, a parte forse gli abusi contabili, non ci trovo nulla di male. Il pubblico ha gia' dimostrato di volere e sapere solo scaricare porno, e chattare ... le app per scrutare l'universo fanno 4 download da 1.99 euro l'anno, i loro sviluppatori muoiono di fame; invece le app dei discorsi del duce e la app per condividere gli scatti delle feci nel cesso sono gettonatissimi. Se non ci fossero i militari a finanziare le universita', non saremmo in grado neanche di avere il telefono per fotografare le feci nel cesso. Quindi ben venga che i militari ogni tanto regalino 4 noccioline a noi scimmiette. L'industria, questo, non lo fa; non e' un ente no-profit (come i militari; al di la' dell'indotto che generano).
L'autonomia dell'impresa di cui parli, non e' stata positiva, se non incidentalmente. Da 3 anni a questa parte, con Snowden, e' diventato particolarmente chiaro: governi e aziende si stanno tirando la palla avvelenata senza concludere una ceppa. Hanno messo 4 toppe qui e li' ad impianti legali fallati nella ratio. Ultimo atto di questi giorni: http://punto-informatico.it/4291501/PI/News/uk-tecnocontrollo-scontenta-tutti.aspx
Uk e Us sono stati onestissimi: sulla possibilita' di spiare i cittadini abbiamo costruito 300 anni di castello normativo, sentenza dopo sentenza, comprese quelle di morte ... di certo non lo cambiamo oggi a furor di popolo.
Industria: se voi spiate, la gente si da' alle bocce, e noi non generiamo profitti.
Da noi, oltretutto, al di la' del fatto che non si capisce se siamo in EU (e quindi la Costituzione e' carta straccia) o meno ... la relazione tra industria e regime sarebbe tale e quale a quella che descrivi essere stata l'impostazione fascista
"L'iniziativa economica privata è libera.
Non può svolgersi in contrasto con l'utilità sociale o in modo da recare danno alla sicurezza, alla libertà, alla dignità umana.
La legge determina i programmi e i controlli opportuni perché l'attività economica pubblica e privata possa essere indirizzata e coordinata a fini sociali." (art. 41 Cost.)
Poi, che non avvenga perche' non ci facciamo da soli queste tecnologie e le compriamo da entita' non soggette a questa relazione, e' un altro conto. Siamo deficienti (dal latino "ammancare") e ci lamentiamo di quello che (ci) fanno loro. Siamo esseri insulsi.
Scritto da: mfp | 27/12/2015 a 04:14
https://lwn.net/Articles/653465/
Suggerisco la lettura, è rivelatrice.
Scritto da: Paolo | 05/01/2016 a 15:44