大型網絡設備公司防火牆產品 遭加插惡意程式碼致嚴重漏洞 FBI展開調查

大型網絡設備公司防火牆產品 遭加插惡意程式碼致嚴重漏洞 FBI展開調查
Photo Credit: Epoxydude / fstop / Corbis / 達志影像
我們想讓你知道的是

網絡通訊設備公司瞻博網路最近發現,旗下的防火牆產品使用之作業系統被加插兩段惡意程式碼,嚴重影響安全。有專家研究後發現,攻擊涉及多年前一個懷疑跟NSA有關的漏洞,並指出瞻博發佈的更新檔不夠安全。

唸給你聽
powered by Cyberon

全球第2大的網絡通訊設備公司瞻博網路(Juniper Networks)早前發現,其NetScreen系列防火牆裝置所使用之作業系統ScreenOS,含有一些未經授權加插進去的惡意程式碼。假如黑客懂得利用程式碼所造成的漏洞,將可以獲得該裝置的管理權限,以及把VPN連線解密。

根據保安顧問公司Comsecuris創辦人Ralf-Philipp Weinmann的研究,發現其中一個漏洞利用了一個加密演算法的後門,從而把訊息解密。而根據斯諾登洩露出來的文件,該後門跟美國國家安全局(NSA)有關。

早被發現的加密漏洞

漏洞所涉及的算法,稱為「雙橢圓曲線偽亂數產生器」(dual elliptic curve pseudorandom number generator,下文簡稱為「Dual_EC」)。在加密訊息的時候,演算法需要使用這些偽亂數產生器來製作密匙,然而這個Dual_EC有一個漏洞,使得有心設下後門的人,只需要截取少量訊息便能夠破解所生產的「亂數」,從而把訊息解密。

美國國家標準技術研究所(NIST)在2007年把Dual_EC列入國家標準,即使此前已有專家反對,除了安全理由外,也因為Dual_EC執行起上來比其他偽亂數產生器慢得多。同年2名軟微員工發現了Dual_EC的漏洞,並指出這像是個後門。

而Dual_EC的設計者正好是NSA,使保安專家們一直懷疑Dual_EC的漏洞乃刻意設置的後門。而2013年《紐約時報》一篇報導,更指斯諾登洩漏的備忘確認此事。事實上,在2005年Dual_EC註冊專利時,NSA已經得悉其漏洞,但據稱屬於其削弱現存加密系統的Bullrun計劃之一部份。

程式碼關掉安全措施

是次瞻博網路的安全問題,同樣跟Dual_EC有關。雖然Dual_EC普遍被認為有嚴重安全問題,但瞻博解釋在其ScreenOS作業系統中已針對該弱點作岀修改,理論上能確保安全︰首先,瞻博不會以Dual_EC作為主要的偽亂數產生器;其次,使用Dual_EC時瞻博會修改普遍認為有問題的設定;最後,使用Dual_EC後ScreenOS會把結果輸入到另一個偽亂數產生器,理論上能把漏洞封住。

Photo Credit: Kristoffer Tripplaar / Sipa USA / 達志影像

然而Weinmann發現,ScreenOS被加插的程式碼,避開了上述的預防措施。於是在加密時,ScreenOS只會使用Dual_EC,並改用攻擊者的設定,這等如把漏洞重新打開。而涉及的程式碼於2012年8月已經加進ScreenOS,要超過3年後才被發現。

Johns Hopkins大學教授兼密碼學家Matthew Green表示,這個失誤更令人懷疑瞻博網路。他表示︰「我不想說瞻博刻意如此修補漏洞(來讓人攻擊),但如果你打算加一個跟Dual_EC有關的後門,同時看起來安全的話,就會這樣做」。Green認為,最好的後門是看起來像失誤的後門,因為那使人能夠否認及裝作乃一時大意所致。問題在於,是次失誤跟Dual_EC有關,而眾所周知其漏洞非常危險。

不安全的修補檔

另一個問題是,瞻博網路發現這段惡意程式碼後,所作的修補也不一定安全。瞻博就是次攻擊提供的更新,僅僅把Dual_EC中有問題的設定改回瞻博原先的設定,而非完全棄用Dual_EC。因此只要攻擊者能夠再駭進去修改設定,瞻博的防火牆便會失效。

Weinmann認為,瞻博網路最起碼應該發佈新的修補檔,棄用Dual_EC——據他所說這「只需要一行程式碼就能搞定」。此外Weinmann指出,瞻博網路現時所用的Dual_EC設定也不透明,該公司沒有公佈該設定之關鍵——產生偽亂數所須的Q點——如何生成,以致外人無法判斷瞻博的設定是否真正安全,只能取決於對該公司之信任。基於瞻博網路所犯下的其他錯誤,Wienmann表示目前不會相信這公司。

未知攻擊者身份 疑為國家級黑客

現時仍然未能確定攻擊者身份,美國聯邦調查局已開始調查事件。有報導猜測事件跟或中國有關,原因是ScreenOS原本所屬的NetScreen公司由中國公民創立(但總部設於美國加州),該公司後來被瞻博網路收購,並把ScreenOS應用於旗下產品。

另外亦有人懷疑事件跟英美情報部門有關。根據一份2011年的洩密文件,英國的情報機關政府通訊總部(GCHQ)曾在NSA的協助下,能夠入侵13種瞻博網路的防火牆產品。然而報導的《The Intercept》亦指出,暫時未有證據顯示是次攻擊跟NSA及GCHQ有關。

有美國官員擔心,是次漏洞或會使美國政府的機密資訊外洩予其他國家,另一位官員則把攻擊比喻為「偷取了能進入任何政府大樓的主匙」。由於不少政府部門也有使用瞻博網路的產品,暫時亦未能估計漏洞對該國政府造成的影響有多大。

無論漏洞背後的操縱者是誰,這個大型漏洞再次顯示,為方便打擊罪行、國家安全等理由而削弱系統安全的想法站不住腳——漏洞就是漏洞。

或許你會想看
更多『新聞』文章 更多『新聞』文章 更多『Kayue』文章
Loader