Inmiddels is bekend dat de eerste aanvallen op Juniper firewalls zijn ontdekt, waarbij misbruikt werd gemaakt van dit wachtwoord. Inmiddels heeft het Nationaal Cyber Security Centre (NCSC) van de overheid de kans dat deze backdoor wordt misbruikt verhoogt van middel naar hoog. Juniper heeft aangegeven niet te weten hoe deze backdoor is ontstaan, maar geeft wel aan dat deze waarschijnlijk sinds 2012 al bestaat.
M.b.t. de backdoor om VPN verbindingen af te luisteren, zou het volgende deskundigen van Bruce Schneier enMatthew Green gaan dat er zwakheden zitten in de random number generator (RNG). Hierdoor is het mogelijk te voorspellen hoe een bericht versleuteld wordt, waardoor je een versleuteld bericht zonder de sleutel kunt lezen. Volgens het artikel van Matthew Green is het mogelijk dat hackers op basis van deze kwetsbaarheid een backdoor hebben weten te creëren. Hoe hackers toegang tot de ScreenOS code hebben gekregen is nog onduidelijk. Wel wordt in het artikel uitgelegd dat Juniper, m.b.t. de RNG, geen gebruik heeft gemaakt van de door de NIST (National Institute of Standards and Technology) aanbevolen FIPS-140 standaard. Dit zou er op kunnen duiden dat Juniper een kwetsbaarheid heeft toegestaan (waarschijnlijk gedwongen werd), waardoor de Amerikaanse overheid alsnog een backdoor heeft tot Juniper firewalls. Deze "backdoor" is vervolgens door "andere" hackers (mis)gebruikt om een eigen backdoor te maken.
Sinds de Snowden-affaire leeft er altijd een soort onderbuik gevoel van mogelijke (opzettelijke) backdoors in security producten. Het bericht van Juniper zal wel eens de eerste bevestiging kunnen zijn van dat het meer dan een onderbuik gevoel is. De onthullingen van Edward Snowden hebben het debat tussen privacy versus veiligheid op de kaart gezet, wat ook het z.g. Snowden effect wordt genoemd. De onthulling van Juniper zullen hopelijk het debat verder versterken en wellicht spreken over een paar jaar over het Juniper effect.
De onvermijdelijke vraag die opduikt is: "op welke manier kunnen we security producten eigenlijk vertrouwen?"
Deze vraag is niet gemakkelijk te beantwoorden: dit hangt er vanaf in hoeverre je de intenties van security product leveranciers vertrouwd en hoe belangrijk je data en systemen voor je zijn. Zelf zie ik in ieder geval drie mogelijkheden:
- Black box benadering: monitor al het verkeer van en naar je security gateways (zoals een firewall). Dus welke data wordt er vanuit de security gateways verstuurd, door wie, waar naar toe en wanneer.
- White box benadering: vervang (proprietary) securtiy producten door OpenSource oplossingen, waardoor jezelf in staat bent de source code te inspecteren.
- Gray box benadering: krijg beter inzicht in het reilen en zeilen van de producent van de securtiy oplossing en met name de wijze waarop hun kwaliteitsprocessen zijn geborgd. Hoe wordt hun software getest, gevalideerd en door wie en hoe vaak? Welke maatregelen hebben ze genomen om er voor te zorgen dat hun producten veilig zijn en blijven? Welke afspraken hebben ze gemaakt met overheden etc.
Al deze benaderingen hebben hun eigen uitdagingen m.b.t. haalbaarheid, kosten en vooral benodigde security kennis en competenties.
Inmiddels heeft Juniper een nood-patch gepubliceerd, die deze backdoors moeten "sluiten". De hamvraag hierbij is wie garandeert dat deze patch zelf weer geen backdoor is.......