Попытки АНБ сорвать планы по стандартизации шифрования, видимо, выйдут спецслужбе боком. По мере расследования ЧП с продуктами Juniper Networks становится ясно, что кто-то реанимировал бэкдор, внедренный АНБ в Dual_EC_DRBG, чтобы использовать его для пассивной расшифровки VPN-трафика на шлюзах NetScreen.

Из документации Juniper по NetScreen и ScreenOS следует, что для шифрования VPN-трафика разработчик использует генератор псевдослучайных чисел Dual_EC_DRBG, причем в нестандартной реализации. Согласно раскрытым Сноуденом данным о секретном проекте BULLRUN, АНБ давно приспособило алгоритм Dual_EC к своим нуждам и контролировало одно из значений, используемое для генерации ключей, что позволяло угадывать выходной результат.

По свидетельству Рольфа-Филиппа Вайнмана (Weinmann), бэкдор АНБ вновь ожил в 2012 году, причем неизвестным злоумышленникам удалось приспособить его для прослушки NetScreen-трафика. Единственным изменением, которое при этом заметил эксперт, была смена параметров Dual_EC, а значит, брешь была открыта всем, кто знал толк в эксплойтах.

Сенсационное заявление Juniper и срочный патч, выпущенный на прошлой неделе, явили миру не только уязвимость в VPN-службе, но также вшитый в код пароль, обеспечивающий удаленный административный SSH- и Telnet-доступ к устройствам NetScreen. Результат этих публикаций не заставил себя долго ждать: во вторник ISC SANS уже рапортовал о множественных попытках залогиниться на ловушках с помощью пароля к бэкдору в ScreenOS. По мнению директора ISC Иоганнеса Улльриха (Johannes Ullrich), эти атаки проводятся вручную; намерения атакующих пока непонятны.

Другие вендоры тоже встали на защиту общих интересов и стараются успокоить встревоженных клиентов. Так, Cisco опубликовала блог-запись, в которой заявила, что не нашла признаков компрометации кода и приступила к проверке исходников.

Известный криптограф, профессор Университета Джона Хопкинса Мэтью Грин (Matthew Green) решил вступить в полемику с Juniper, подвергнув критике утверждение, будто бы ее нестандартная реализация Dual_EC делает бэкдор АНБ бесполезным. Согласно заявлению Juniper, Dual_EC_DRBG не является основным генератором псевдослучайных чисел для ScreenOS, он лишь генерирует зерно для другого алгоритма, FIPS/ANSI X.9.31 PRNG, и такое использование Dual_EC должно убить бэкдор, так как выходные данные обфусцированы. Тем не менее Грин считает, что это утверждение приемлемо лишь в том случае, если есть уверенность, что никакой другой код не отдаст на сторону сырые выходные данные Dual_EC.

«Когда речь идет о системе с умышленно установленным бэкдором, единственное, что может по-настоящему встревожить, — это то, что разработчик вам вовсе не друг, — размышляет эксперт. — Dual EC надежен лишь в том случае, если предположить, что ни единый баг в коде, каким бы малым он ни был, не сольет между делом порядка 30 байт сырого выхода Dual EC. Если это произойдет, все последующие запросы на зерно можно будет угадать, и в итоге все числа, генерируемые системой, станут предсказуемыми. В общем и целом это поставит крест на конфиденциальности VPN-соединений».

Такой баг действительно нашелся — его обнаружил исследователь Виллем Пинкарс (Willem Pinckaers). Видимо, этот недочет и позволил неизвестному взломщику воспользоваться давним бэкдором в Dual_EC.

«Некий хакер или группа хакеров обнаружили бэкдор в ПО Juniper, оказавшийся там по умыслу или случайно, не мне судить, — гадает Грин. — Они его использовали для создания собственного бэкдора, что оказалось проще: вся тяжелая работа была за них уже сделана. В результате в течение некоторого периода некое лицо (возможно, иностранное государство) имело возможность расшифровывать Juniper-трафик на территории США и по всему миру».

Случай с Juniper, по мнению Грина и других экспертов, весьма показателен: это хорошая иллюстрация тех последствий, к которым приводит санкционированное правительством использование бэкдоров. Директор ФБР Джеймс Коми (James Comey) и другие представители правоохранительных органов США осуждают IT-компании, отказывающиеся контролировать ключи шифрования для устройств пользователей. Такие решения Apple, Google и им подобных делают бесполезными любой ордер или судебное предписание: компании все равно не в состоянии предоставить правоохранителям требуемые пользовательские данные. Эта дилемма известна в США как Going Dark.

Тем не менее американское правительство все время пытается настоять на своем, предлагая «айтишникам» удовлетворять государственные нужды с помощью систем обмена криптоключами, систем депонирования ключей или даже бэкдоров. Минувшим летом на конференции Black Hat Грин и юрист Джеймс Денаро пояснили, что такие решения очень трудно реализовать на практике, так как они сложны и неизбежно привносят уязвимости в системы. Случай с бэкдором Juniper это наглядно доказал.

«В данном случае бэкдор, предназначенный для использования правоохранительными органами, начал служить тем, кому мы не доверили бы читать свои сообщения, — вновь подчеркивает Грин. — Обычно, когда об этом заходит разговор, нас больше тревожит проблема хранения таких вещей, как депонированные ключи. Уязвимость в продуктах Juniper показала, что существует гораздо более масштабная и серьезная опасность. Проблема с криптографическими бэкдорами не в том, что они — единственный способ проникнуть в криптографическую систему, а в том, что этот способ — один из лучших. Они выполняют всю тяжелую работу, прокладывают водопроводные трубы, проводят электричество, а атакующим остается лишь войти и сменить драпировку».

Категории: Кибероборона, Уязвимости