بایگانی ماهیانه: دی ۱۳۹۴

درب پشتی فایروال فورتی گیت

یک درب پشتی دیگر، این بار در Firmware فایروال های معروف و البته بسیار محبوب و پر فروش در ایران یعنی Fortigate !

هنوز چند هفته ای از خبر دو درب پشتی در فایروال های جونیپر نگذشته که نوبت به فورتی نت رسید. یک درب پشتی در سرویس SSH نسخه های مختلفی از میان افزار (Firmware) این فایروال محبوب و پر فروش کشف شده که شامل یک پسورد هاردکد شده است و اکسپلویت آن هم در دسترس قرار دارد.

موضع رسمی کمپانی فورتی نت در قبال این درب پشتی، با واکنش های منفی بسیاری مواجه شده و آن را با موضع جونیپر مقایسه می کنند. به طوری که جونیپر با پذیرش ظاهری اشتباه خود، سعی کرد نشان دهد که از این اتفاق راضی نیست، در حالی که آنچه از بیانیه فورتی نت برداشت می شود، توجیه و سرپوش گذاشتن بر یک درب پشتی واضح است (آنجا که فورتی نت تأکید می کند که این یک درب پشتی نیست، بلکه یک موضوع Authentication مدیریتی است!). این موضع گیری با مخالفت ها و حتی تمسخر بسیاری از افراد در توییتر و سایت های خبری و تحلیلی مواجه شده است.

اشتراک گذاری

ارائه ای قدیمی درباره زیرساخت کلید عمومی

در میان فایل های قدیمی، یک ارائه مربوط به درس معماشناسی کاربردی (رمزنگاری) پیدا کردم که در سال ۱۳۸۴، دقیقاً ۱۰ سال پیش برای سمینار درس تهیه شده. قابل توجه است که مطالب این فایل را باید با دیدگاه ها و منابع همان زمان سنجید. 

اشتراک گذاری

تحلیل درب های پشتی جونیپر

شرکت جونیپر  روز ۱۷ دسامبر در صدر اخبار امنیت دنیا قرار گرفت، از بابت افشای دو آسیب پذیری سطح بالا در میان افزار (Firmware) محصولات مختلف از جمله فایروال، روتر و سوئیچ.طبق ادعای جونیپر، این دو آسیب پذیری توسط خود شرکت در خلال مرور کد کشف شده است.

یکی از این آسیب پذیری ها عبارت است از استفاده از یک تولید کننده شبه تصادفی برای اگلوریتم های رمز VPN که به نفوذگر امکان رمزگشایی ارتباطات VPN را می دهد. وجود این آسیب پذیری که با شناسه CVE-2015-7756 شناخته می شود با اسنادی که توسط ادوارد اسنودن در سال های اخیر افشا شده تطبیق داده شده است. نسخه های آسیب پذیر عبارتند ازScreenOS ورژن 6.3.0r12 تا ۶٫۳٫۰r20 و ۶٫۲٫۰r15 تا 6.2.0r18 .

آسیب پذیری دوم، وجود یک پسورد پیش فرض است که با ارائه آن در اتصال Telnet یا SSH ، صرفنظر از نام کاربر، می توان به دستگاه جونیپر به عنوان ادمین با بالاترین مجوز ممکن لاگین کرد! فایروال جونیپر، این لاگین از راه دور را با نام کاربر system در لاگ فایل ها ثبت می کند.

 

در واقع اگر چنین لاگی در دستگاه جونیپر شما وجود دارد، یعنی کسی توانسته از این درب پشتی سوء استفاده کند. در چند روز اول که این باگ منتظر شد، تصور من این بود که این پسورد پنهان ممکن است توسط برنامه نویسان خود جونیپر برای انجام دیباگ قرار ایجاد شده باشد. اتفاق مشابهی قبلاً برای محصول باراکودا هم رخ داده بود. به همین دلیل هم لاگ ورود با این پسورد در سیستم ثبت می شود. در واقع اگر این کار توسط یک جاسوس انجام شده باشد، چه دلیلی دارد که لاگ آن هم در سیستم ثبت شود، چون این کار می توانست کشف این درب پشتی را ساده کند (مگر اینکه فرد جاسوس، به آن بخش از کد که مسئول ثبت لاگ ورود و خروج است دسترسی نداشته باشد، که بعید به نظر می رسد!). در هر حال این باگ یک نکته آموزنده فرعی را هم به ما یادآوری می کند که شاید چندان مورد توجه قرار نگرفته است: نه تنها لاگین های ناموفق، بلکه لاگین های موفق به سیستم های حساس را هم باید لاگ و به طور منظم مرور کرد! این توصیه احتمالاً برای کسانی که عادت به مدیریت و مرور لاگ ندارند اما حاضرند صدها میلیون تومان برای SIEM و SOC خرج کنند مفید خواهد بود! 

یکی از بحث های داغ این روزها، این است که چه کسی یا کسانی این دو در پشتی را در جونیپر قرار داده اند؟ آیا یک یا هر دوی این ها توسط خود شرکت قرار داده شده یا پای افراد یا سازمان های اطلاعاتی از جمله NSA در میان است. روز ۲۳ دسامبر، سندی با طبقه بندی فوق سری منتشر شد که نشان می دهد سازمان اطلاعات بریتانیا (GCHQ) از سال ۲۰۱۱ قابلیت اکسپلویت و دسترسی به ۱۳ نوع از انواع محصولات جونیپر را دارد. البته Math Blaze یکی از دانشمندان برجسته رمز گفته که بعید است این سند به دو درب پشتی فعلی مربوط باشد!

چند لینک مفید در این باره.

اشتراک گذاری

بازتاب های وجود در پشتی در فایروال های جونیپر

در پشتی (Backdoor) یافت شده در فایروال های Juniper در این هفته در صدر اخبار امنیتی قرار گرفت. تحلیل های مختلفی در باره این موضوع منتشر شده و به نظر می رسد که خبرهای داغ دیگری مثل این در راه باشد. در یادداشت بعدی به طور مفصل به این موضوع خواهم پرداخت.

اشتراک گذاری