מחוקקים בארה"ב רוצים לדעת את היחסים בין הביון האמריקאי לחברת ג'וניפר
בסוף 2015, ג'וניפר נטוורקס חשפה חולשה באלגוריתם הצפנה במוצריה. החברה האשימה ממשלה זרה. כעת, מחוקקים בארה"ב רוצים לדעת האם זו הייתה סוכנות הNSA
עמי רוחקס דומבה
| 02/02/2021
bigstock
בסוף 2015, ג'וניפר נטוורקס הודיעה ללקוחות כי גילתה קוד לא מורשה בכמה גרסאות של מערכת ההפעלה ScreenOS, שהפעילה את חומות האש של החברה. הקוד הציג פגיעות שניתן לנצל כדי להשיג גישה מרחוק למכשיר, ופגיעות שאפשר היה למנף לפענוח תעבורת VPN.
נושא ה- VPN היה קשור לשימוש במחולל סיביות אקראי דטרמיניסטי של עקומת כפל אליפטי (Dual EC DRBG), אלגוריתם קריפטוגרפי שאושר על ידי NIST, שהיה ידוע כמכיל דלת אחורית שהוצגה על ידי ה- NSA. הקוד הזדוני איפשר את הדלת האחורית. היו שסברו כי סוכנות הביון אחראית לקוד הבלתי מורשה, אך ג'וניפר האמינה שמאחוריו עמדה ממשלה זרה. עם זאת, חלק מהמחוקקים האמריקאים חושבים אחרת.
לפני מספר חודשים, קבוצה של שלושה סנאטורים ו -13 מחברי בית הנבחרים האמריקני שלחה מכתב לג'וניפר, ובו נשאלה החברה על תוצאות חקירתה באותו אירוע. ג'וניפר הודיעה כי הוסיפה תמיכה ב- Dual EC DRBG לבקשת לקוח, אך לא אמרה מיהו אותו לקוח או האם הלקוח הוא סוכנות ממשלתית אמריקאית.
החברה מסרה כי איש מהמעורבים בהחלטה להשתמש באלגוריתם הקריפטוגרפי הבעייתי כבר לא עובד אצלה. מכתב נשלח גם לNSA. המחוקקים ציינו במכתבם כי יתכן והדלת האחורית של ג'וניפר אפשרה לממשלה זרה או ליריב אחר לפרוץ לתקשורת של עסקים רבים וסוכנויות ממשלתיות.
הם ביקשו מה- NSA לתאר את הצעדים שנקטה בעקבות חשיפת האירוע של ג'וניפר כדי להגן על סוכנויות ממשלתיות, ומדוע צעדים אלה לא מנעו את התקפת שרשרת האספקה האחרונה של SolarWinds. ה- NSA הונחתה גם לשתף מידע נוסף בנוגע לפיתוחו ושימושו באלגוריתם, ולהגיד האם הלקוח הוא שביקש מג'וניפר להוסיף תמיכה עבורו במוצריה.
המחוקקים מעוניינים גם לברר מדוע ה- NSA חשבה שזה חוקי להכניס דלת אחורית לאלגוריתם שאושר על ידי ממשלת ארה"ב, וממי היא תצטרך אישור אם תרצה להכניס דלתות אחוריות או פגיעות אחרות לתקנים ממשלתיים. ל- NSA ניתן עד 26 בפברואר לספק תשובות לא מסווגות.
בסוף 2015, ג'וניפר נטוורקס חשפה חולשה באלגוריתם הצפנה במוצריה. החברה האשימה ממשלה זרה. כעת, מחוקקים בארה"ב רוצים לדעת האם זו הייתה סוכנות הNSA
bigstock
בסוף 2015, ג'וניפר נטוורקס הודיעה ללקוחות כי גילתה קוד לא מורשה בכמה גרסאות של מערכת ההפעלה ScreenOS, שהפעילה את חומות האש של החברה. הקוד הציג פגיעות שניתן לנצל כדי להשיג גישה מרחוק למכשיר, ופגיעות שאפשר היה למנף לפענוח תעבורת VPN.
נושא ה- VPN היה קשור לשימוש במחולל סיביות אקראי דטרמיניסטי של עקומת כפל אליפטי (Dual EC DRBG), אלגוריתם קריפטוגרפי שאושר על ידי NIST, שהיה ידוע כמכיל דלת אחורית שהוצגה על ידי ה- NSA. הקוד הזדוני איפשר את הדלת האחורית. היו שסברו כי סוכנות הביון אחראית לקוד הבלתי מורשה, אך ג'וניפר האמינה שמאחוריו עמדה ממשלה זרה. עם זאת, חלק מהמחוקקים האמריקאים חושבים אחרת.
לפני מספר חודשים, קבוצה של שלושה סנאטורים ו -13 מחברי בית הנבחרים האמריקני שלחה מכתב לג'וניפר, ובו נשאלה החברה על תוצאות חקירתה באותו אירוע. ג'וניפר הודיעה כי הוסיפה תמיכה ב- Dual EC DRBG לבקשת לקוח, אך לא אמרה מיהו אותו לקוח או האם הלקוח הוא סוכנות ממשלתית אמריקאית.
החברה מסרה כי איש מהמעורבים בהחלטה להשתמש באלגוריתם הקריפטוגרפי הבעייתי כבר לא עובד אצלה. מכתב נשלח גם לNSA. המחוקקים ציינו במכתבם כי יתכן והדלת האחורית של ג'וניפר אפשרה לממשלה זרה או ליריב אחר לפרוץ לתקשורת של עסקים רבים וסוכנויות ממשלתיות.
הם ביקשו מה- NSA לתאר את הצעדים שנקטה בעקבות חשיפת האירוע של ג'וניפר כדי להגן על סוכנויות ממשלתיות, ומדוע צעדים אלה לא מנעו את התקפת שרשרת האספקה האחרונה של SolarWinds. ה- NSA הונחתה גם לשתף מידע נוסף בנוגע לפיתוחו ושימושו באלגוריתם, ולהגיד האם הלקוח הוא שביקש מג'וניפר להוסיף תמיכה עבורו במוצריה.
המחוקקים מעוניינים גם לברר מדוע ה- NSA חשבה שזה חוקי להכניס דלת אחורית לאלגוריתם שאושר על ידי ממשלת ארה"ב, וממי היא תצטרך אישור אם תרצה להכניס דלתות אחוריות או פגיעות אחרות לתקנים ממשלתיים. ל- NSA ניתן עד 26 בפברואר לספק תשובות לא מסווגות.
