El Congreso le pide a Juniper los resultados de su investigación de puerta trasera de la NSA de 2015


Juniper NetScaler

Imagen: Juniper, ZDNet

Un grupo de 13 funcionarios del gobierno de EE. UU. Ha enviado una carta abierta hoy al vendedor de equipos de redes Juniper Networks, pidiéndole a la compañía que publique los resultados de su investigación interna sobre los orígenes de un supuesto mecanismo de puerta trasera de la NSA descubierto en sus productos de firewall a fines de 2015.

«Han pasado más de cuatro años desde que Juniper anunció que estaba llevando a cabo una investigación, pero su compañía aún no ha revelado lo que, si acaso, descubrió», escribió el grupo.

El grupo está buscando respuestas sobre lo que sucedió en Juniper a puerta cerrada y qué hizo que la compañía omitiera publicar un informe público, como prometió inicialmente.

Su consulta y carta se producen en medio de acciones del Fiscal General William Barr y otros altos funcionarios del gobierno de los EE. UU. Que han estado tratando de presionar a las compañías tecnológicas de EE. UU. Para que debiliten su cifrado y ayuden a los esfuerzos de vigilancia del gobierno de EE. UU.

«Las experiencias de Juniper pueden proporcionar un valioso estudio de caso sobre los peligros de las puertas traseras, así como la aparente facilidad con la que un actor sofisticado puede subvertir secretamente las puertas traseras del gobierno», dijeron los funcionarios estadounidenses.

Resumen del escándalo de puerta trasera Juniper-NSA 2015

Los detalles sobre una puerta trasera en los productos de Juniper salieron a la luz por primera vez en diciembre de 2015. Los miembros de la comunidad de ciberseguridad descubrieron lo que parecía un cambio de una clave de acceso secreta dentro del código fuente de ScreenOS, un sistema operativo que se ejecuta en NetScreen, la línea de Juniper de cortafuegos y productos VPN.

Luego de la presión pública, Juniper luego admitió que el «código no autorizado» llegó al código fuente de ScreenOS, y que el código no autorizado podría haber permitido que los atacantes se hicieran cargo de los dispositivos y descifraran el tráfico VPN.

Si bien Juniper inicialmente evitó proporcionar detalles, los miembros de la comunidad pública de seguridad cibernética descubrieron más tarde que el código no autorizado se refería al uso del generador de bits aleatorio determinista de curva elíptica twin (Dual_EC_DRBG) como el componente generador de números aleatorios (RNG) dentro de ScreenOS.

Twin_EC_DRBG es un algoritmo menos conocido que fue desarrollado por la Agencia de Seguridad Nacional de EE. UU. (NSA) en 2006 y que recibió una certificación casi inmediata de FIPS (Normas federales de procesamiento de información) a pesar de que algunos expertos en seguridad advirtieron que las auditorías iniciales revelaron signos de un posible mecanismo de puerta trasera .

Sin embargo, a pesar de las críticas, Twin_EC_DRBG permaneció certificado hasta 2013, hasta las revelaciones de Edward Snowden, cuando el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. Intervino para retirar su certificación FIPS.

Pero los investigadores descubrieron que Juniper silenciosamente agregó soporte para Dual_EC_DRBG en 2008, y no lo divulgó públicamente en ninguna auditoría posterior y product promocional.

Solo después de que miembros del público descubrieran que una persona desconocida cambió una clave de acceso asociada con el algoritmo Twin_EC_DRBG, Juniper admitió el problema y prometió investigar el código no autorizado. Pero la compañía nunca publicó ningún informe en profundidad sobre el asunto, a pesar de la gravedad de las acusaciones originales en su contra.

Ahora, el grupo de funcionarios estadounidenses quiere respuestas. Ellos quieren saber:

  • ¿Por qué Juniper no reveló públicamente que estaba usando Twin_EC_DRBG, como solía hacer la compañía con todos los algoritmos certificados por FIPS?
  • Si la empresa estaba al tanto del posible mecanismo de puerta trasera en Dual_EC_DRBG?
  • ¿Quiénes fueron los empleados de Juniper que aprobaron la adición y los cambios posteriores realizados en relación con Twin_EC_DRBG?
  • ¿Quién dirigió la investigación de la compañía?
  • ¿Cuáles fueron los resultados de la investigación y si se redactó un informe escrito?
  • ¿Si el informe hizo alguna recomendación y si la compañía implementó alguna de ellas?

El grupo solicitó que Juniper brinde respuestas a estas preguntas antes del 10 de julio de este año.

«El pueblo estadounidense, y las empresas y agencias del gobierno de los EE. UU. Que confiaron en los productos de Juniper con sus datos confidenciales, todavía no tienen información sobre por qué Juniper agregó en silencio un algoritmo de cifrado probablemente diseñado por la NSA, o cómo, años más tarde, las claves para esa probable puerta trasera fue cambiada por una entidad desconocida, probablemente en detrimento de la seguridad nacional de Estados Unidos «, dijeron.



Enlace a la noticia first