#BBA21 Die Game Changer ... ja nur keine Krise ungenützt verstreichen lassen

In der Kategorie "Weltweiter Datenhunger" wurden nominiert:

Wie jedes Jahr haben alle Nominierten die Möglichkeit, sich mit Kommentaren an info@bigbrotherawards.at zu wenden. Wir veröffentlichen dann die Reaktionen unter der jeweiligen Nominierung.

NSA Hintertür in Juniper Firewall nutzt dann anderer Geheimdienst

Seit vielen Jahren warnen Sicherheitsexperten davor, Hintertüren für Geheimdienste und Strafverfolger in unserer Internet-Infrastruktur einzubauen, denn dadurch wird die Sicherheit aller Internet-User gefährdet.

Nun dürfen sich die Experten durch derzeit laufende Untersuchungen des US Kongress bestätigt sehen, denn genau das ist vor einigen Jahren bei Netzwerkgeräten von Juniper passiert [1], wie die Nachrichtenagentur Reuters berichtet. [2]

"“Secret encryption back doors are a threat to national security and the safety of our families – it’s only a matter of time before foreign hackers or criminals exploit them in ways that undermine American national security,” Wyden [3] told Reuters. “The government shouldn’t have any role in planting secret back doors in encryption technology used by Americans.”[4]

Juniper hatte die betreffende Hintertür 2015 [5] laut eigenen Angaben nach einem internen Code-Review entdeckt und umgehend entfernt. Damals sprach man öffentlich noch von einem simplen Versehen. Der aktuelle Bericht legt nun aber einen komplett anderen Ablauf nahe: Die Lücke wurde wohl nur deswegen geschlossen, da sich hier ein anderer Staat zu schaffen machte. Mit der Veröffentlichung wollte man also schlicht Schadensbegrenzung betreiben.

Damals wurde übrigens noch ein zweites solches “Versehen” offenbar: In der Software des Netzwerkexperten fand sich nämlich ein fix eingetragenes SSH-Passwort. Angreifer, die dieses kannten, konnten sich also von außen Zugriff auf diese Systeme verschaffen.[6]

Nicht nur der US-Kongress bemängelt, dass nach 4 Jahren Untersuchung des Vorfalls durch Juniper und dem FBI [7] immer noch keine Untersuchungsergenbnisse vorliegen, dass sogar Unterlagen der NSA, mit dem “Lessons Learned”-Report einfach nicht mehr gefunden werden können. [8]


  1. "In at least one instance, a foreign adversary was able to take advantage of a back door invented by U.S. intelligence, according to Juniper Networks Inc, which said in 2015 its equipment had been compromised. " ↩︎

  2. Reuters
    Spy agency ducks questions about ‘back doors’ in tech products

    The NSA has long sought agreements with technology companies under which they would build special access for the spy agency into their products, according to disclosures by former NSA contractor Edward Snowden and reporting by Reuters and others.
    These so-called back doors enable the NSA and other agencies to scan large amounts of traffic without a warrant. ↩︎

  3. Democrat Ron Wyden (Senate Intelligence Committee) ↩︎

  4. Reuters
    Spy agency ducks questions about ‘back doors’ in tech products
    The NSA told Wyden staffers in 2018 that there was a “lessons learned” report about the Juniper incident and others, according to Wyden spokesman Keith Chu.
    “NSA now asserts that it cannot locate this document,” Chu told Reuters. ↩︎

  5. Wikipedia
    ScreenOS Backdoor
    In December 2015, Juniper issued an emergency security patch for a backdoor in its security equipment. Together with another vulnerability it allowed to bypass authentication and decrypt VPN traffic on ScreenOS. Analysis showed that the mechanism of the backdoor was created by the NSA, but might later haven been taken over by an unnamed national government. ↩︎

  6. DerStandard
    NSA Hintertür in Juniper Firewall nutzt dann anderer Geheimdienst
    ↩︎

  7. Reuters
    U.S. reviews possible ‘back door’ in Juniper Networks code

    The U.S. government is investigating unauthorized code inserted in software from Juniper Networks Inc, which experts warned could be a “back door” used to spy on the networking equipment maker’s customers
    The incident at Juniper comes at the end of a year of several high-profile hacks on Washington, including at the White House, State Department and Office of Personnel Management. ↩︎

  8. Reuters
    Congress seeks answers on Juniper Networks breach amid encryption fight

    “Attorney General (William) Barr is demanding that companies like Facebook weaken their encryption to allow the Department of Justice to monitor users’ conversations,” Wyden told Reuters.
    “Congress and the American people must understand the serious national security risks associated with weakening the encryption that protects Americans’ personal data, as well as government and corporate systems.” ↩︎