Home      Themenübersicht / Sitemap      Webmaster      

 

161. Newsletter - sicherheitskultur.at - 30.06.2021

von Philipp Schaumann

Zum Archiv-Überblick

 

Hier die aktuellen Meldungen:

 

1. Aus der Historie der Backdoor bei Juniper Networks

2015 - Juniper Networks entdeckt eine Backdoor in ihren Netscreen Firewalls
Hier die aktuelle Anfrage von US Congress-Mitgliedern und Senatoren an die Firma - darin nicht nur viele Fragen, sondern auch die Geschichte dieser Backdoor, die durchaus überraschend ist.

TL;DR: Im Dez. 2015 verkündete Juniper, dass die Firewall-Software, die zwischen 2012 und 2015 ausgeliefert wurde, eine Backdoor enthält, die vermutlich einem "sophisticated" Angreifer (d.h. z.B. einer staatlichen Behörde) erlaubt, VPN-Verbindungen abzuhören.

Das wirklich "blöde" daran war jedoch, dass die Codestelle die Backdoor nicht erzeugt, sondern dass 2015 nur die Schlüssel (Q-Wert) in einem Backdoor abgeändert wurden, das seit 2008 im Code enthalten war. Diese Backdoor bestand wohl aus dem seit 2005 umstrittenen Dual_EC_DRBG Algorithmus (elliptic curves).

Trotz der Warnungen hatte die US-Behörde NIST in 2006 den Algorithmus in den Standard aufgenommen. Nach den Snowden-Veröffentlichungen in 2013, die die Verwundbarkeit ebenfalls nahelegen, wurde der Algorithmus aus dem Standard wieder entfernt, aber nicht aus der Juniper Firewall. Darin wurde 2015 noch mal der Schlüssel geändert, und zwar ohne Autorisierung durch Juniper, wie die Firma sagt.

Bei der Zertifizierung seines Produktes für die Nutzung durch US-Behörden in 2009 listete Juniper die Algorithmen auf, "vergaß" aber Dual_EC_DRBG. Der Algorithmus verwendete einen anderen Q-Wert als der der im Standard vorgegeben war. Dieser Wert wurde dann 2015 unautorisiert geändert und diese Änderung war irgendwie aufgeflogen.

Irgendwie ist das für mich eine wilde "Räubergeschichte". Wie soll unsereins als Sicherheitsperson eine sichere Implementierung eines Firmennetzwerks realisieren wenn die Produkte auf diese Weise so durchlöchert sind. Das ist auch die Zielrichtung der Fragesteller: Wer hat die Sicherheit der Kommunikation der US-Behörden auf diese Weise unterhöhlt? (Und unsere gleich mit)

Hier noch 2 Links aus 2015:
ImperialViolet - Juniper: recording some Twitter conversations (19 Dec 2015)

Thoughs on Cryptographic Engineering: On the Juniper backdoor

 

2. Immer wieder Zoom

Die Videoconference Software Zoom boomt (durch Corona) immer noch und der Hersteller hat mittlerweile viele der Probleme beheben können.

Aber dann kommen immer wieder eigenartige Entscheidungen:
z.B. Zoom wird end-to-end encryption einführen, aber nur für zahlende Kunden. Schlechte Begründung dafür: Zoom müsse ja mit dem FBI zusammenarbeiten können. Bruce Schneier weißt korrekterweise darauf hin, dass die "wirklichen Bösen" sich dann eben den 20$ account leisten werden, der Rest der Bevölkerung muss auf diese Sicherheitsfeature eben verzichten. Bruce weißt darauf hin, dass derzeit eine schlechte Zeit ist, um sich bei der Frage 'Bevölkerung gegen Polizei' auf die Seite der Polizei zu werfen. Zoom's Commitment to User Security Depends on Whether you Pay It or Not.

 

3. Lesestoff: Dark Mirror: "Edward Snowden and the American Surveillance State" von Bart Gellman

Die gute Nachricht: man muss nicht das ganze Buch lesen um sich zu gruseln, es gibt Auszüge in Atlantic.com: 'Since I met Edward Snowden, I've never stopped watching my back'.

Der US-Journalist Barton Gellman berichtet über die vielen unschönen Ereignisse die ihm passiert sind seid er sich in 2013 (zu sehr) für Edward Snowden interessiert hatte. Z.B. eine Infektion seines iPads over-the-air, hacking mehrerer gmail-Accounts und kontaktieren seiner Kontakte. Das waren state-sponsored attacks, aber nicht alle von den US-Behörden. Und nicht nur er, sondern auch seine Kontakte bekamen interessante, aber gefährliche Angebote.

 

4. Aus dem Chaos Computer Club Wien Newsletter, wie üblich leicht sarkastisch

*** Polizeisoftware Viva: Bugs mit Todesfolge *** verfasst von: dimir
Die Polizei in NRW setzt die Software Viva ein, die dabei helfen soll, Personen-Datensätze zusammenzuführen und das funktioniert - wer hätte das ahnen können - eher so mittel. Im konkreten Fall geht es um eine Person aus Syrien, die aufgrund einer falschen Zuordnung des Programms wochenlang unschuldig eingesperrt wurde und schließlich die eigene Zelle in Brand steckte und an den dort erlittenen Verletzungen kurz darauf starb.

Immerhin sagt ein dazu befragter Ex-Kommissar über die zuständige Sachbearbeiterin "Ich nehme an, sie hat eine falsche Entscheidung getroffen in der Absicht, das Richtige zu tun". Na dann ist ja alles gut, kein Problem, ist ja gottseidank nix passiert oder so, die Person hatte ja gute Absichten und es ist ja auch völlig abwegig zu erwarten, dass Leute, die mit Software arbeiten, sich Gedanken dazu machen, ob vorgeschlagenen Lösungen sinnvoll sind. Fall Amad A.: "Riesenprobleme" mit NRW-Polizei-Software

*** Adbusting -- Wenn die Terrorabwehr sich der Satire annimmt *** verfasst von: dimir
Den Artikel kann ich schlicht nicht zusammenfassen, einfach lesen und unsicher irgendwo zwischen Staunen, Lachen und Empörung verweilen :D
Adbusting: Mit Geheimdienst, Polizei und Terrorabwehrzentrum gegen ein paar veränderte Plakate.

 

5. Nachtrag zum notPetya-Kollateralschaden bei Maersk

Viel Text dazu bereits auf der sicherheitskultur.at,

Aber hier was Neues: Sehr interessanter ausführlicher Text über die notPetya-Katastrophe bei Maersk die das Unternehmen für sehr lange Zeit außer Betrieb gesetzt hat. "Kollateralschaden" weil der Angriff eigentlich "nur" auf die Ukraine gezielt war, aber so genau lassen sich Cyberwaffen eben nicht zielen.

Der Autor war zuständig für IAM bei Maersk (IAM = Identity and Access Management) und er beschreibt wie einige Projekte die er vor dem Angriff ohne Erfolg gepusht hatte wohl den Schaden hätten minimieren können. Probleme im Bereich privileged account management, die Verwaltung ihrer ADs, etc.

Er beschreibt dann wie die Techniker nach dem Zusammenbruch ein neues und sicheres System von scratch neu aufgebaut haben und endet damit, dass er auf recht technischer Ebene beschreibt wie seiner Meinung nach eine dezentrale Benutzerverwaltung aufgebaut sein sollte so dass sie auch einen Angriff wie notPetya oder ähnliches überstehen kann.

Er betont, das Maersk ja gar nicht das Ziel des Angriffs war, sondern nur ein etwas größerer Kollateralschaden, so wie das in Zukunft in Zeiten des nicht-erklärten Cyberwars immer wieder passieren kann. Der Artikel: Maersk, me & notPetya

 

6. Schon fast wieder lustig

Da hat sich jemand viel Mühe gemacht und die Verschwörungsideen rund um COVID-19 mal alle graphisch zusammengestellt und verlinkt.

"Verschwörungsideen" und nicht ...theorien, weil: "In der Wissenschaft bezeichnet Theorie ... ein System wissenschaftlich begründeter Aussagen" und das ist m.E. zu viel der Ehre.