上周(2015/12/17)Juniper公司發布安全公告��,宣稱在內部代碼審計中發現了ScreenOS的兩個后門已經被修補�,需要用戶升級防火墻�。采用ScreenOS的防火墻是Netcreen系列�����,最早由清華留學生在美國創辦�����,于2004年被Juniper收購���。被發現后門的版本存在于8年后的2012年���,應該是在Juniper管理下研發的���。
兩個后門已有CVE編號�����,第一個CVE-2015-7755是關于遠程非授權訪問��,說白了就是有一個密碼����,可以直接遠程登錄后完全管理設備���。德國Fox-IT公司在Juniper發布補丁后的6個小時����,分析出后門存在的代碼位置�,逆向出了該密碼的明文����。第二個CVE-2015-7756是可以解密VPN加密后流量�����,因為防火墻除了在網絡邊界過濾數據包之外�����,一般還啟用VPN功能�,把經過Internet傳輸的數據進行加密��,防止在鏈路上進行監聽�。
這兩個后門是在源代碼中植入的����,誰這么有本事���?是什么動機呢����?第二個后門最有可能的動機就是政府了����,以反恐為說辭的大規模監控�����,就需要看到全互聯網流量���,VPN加密使政府變成了盲人����,必須要使用技術手段把流量解密�����,一般人也沒這個能力截取全網流量��。
從技術上分析�����,是NSA嗎��?2013年底被公布的NSA ANT工具清單中���,有一個FEEDTROUGH是專門針對Juniper NetScreen防火墻的植入��,功能描述中提到“can receive and transmit covert channel comms”�����,是有一個隱蔽通道���,不符合第一個后門堂而皇之用預留密碼SSH登入的特性��?����!皁perates every time the particular Juniper firewall boots. The first hook takes it to the code...” 每次啟動是hook一個檢查來判斷是否要正常啟動�,是一個動態的植入�����,而不是在源代碼中永久性的植入�。再說了�,在源碼中嵌入一個超級密碼�����,這么Low的做法不是NSA的水準����。
從非技術因素上分析��,FBI也開始調查此事件了 --- 大水不能沖了龍王廟�����,那就不是米國人干的了�����。美國有官員告訴CNN��,是外國勢力所為����,美國的情報機構沒有做�,最可疑的中國和俄羅斯�����。安全圈子的懷疑又加上了UK甚至以色列�����。
Juniper在公告中說后門是在“internal code review”過程中發現的�����,這個也值得懷疑�。據說自2009年開始Juniper就集中精力到Junos了���,最近也把Junos進行了開源����,可以安裝到其他白盒子上����。誰還有工夫去看多年前的ScreenOS老代碼呢����?另據說ScreenOS的研發是在中國做的���,有沒有可能是內部碼農被收買��?無間道總是最精彩的故事����。
