Jó hír a vállalati VPN-ek használóinak: hét év után végre nem hallgatja le őket az NSA

Vállalati hálózaton internetezik? Jó esély van rá, hogy a bitjei a Juniper Networks switchboardjain, routerein, mittomén milyen hálózati eszközein folynak át. A Juniper ugyanis az egyik a négy nagy hálózatieszköz-gyártó közül, akik a piac kb. háromnegyedét uralják.

Na, ha egy juniperes hálózatról vépéenezik épp, akkor

fellélegezhet.

Beletelt pár évbe, de a cég 2016 januárjában végre úgy döntött, hogy lecseréli azt a kódrészletet a szoftverében, amit

• az amerikai szupertitkosszolgálat, az NSA telepített,
  
• amivel a Juniper eszközeit használók bármilyen kommunikációját lehallgathatták, és amiről a Juniper legalább két és fél, de valószínűleg inkább hét éve tudott:
  

a New York Times 2013-ban írta meg ezt az Edward Snowden által kiszivárogtatott NSA-s dokumentumokból;
titkosítással foglalkozó szakemberek viszont már 2008-ban felfedték a kódot a Juniper szoftverében.

A cég mégis csak decemberben ismerte el, hogy talált két kódrészletet, amelyek állításuk szerint "felhatalmazás nélkül" kerültek a szoftverükbe, és amelyeket kihasználva külső erők kémkedhettek is.

A Juniper most azt állítja, hogy a két kódrészlet 2012-ben, illetve 2014-ben került a szoftverbe. Az újabb kódrészlet a San Diegó-i Kaliforniai Egyetem kutatója, Hovav Shacham szerint teljesen leplezetlenül teljes hozzáférést biztosított a hálózathoz a megfelelő jelszóval belépőnek. A 2012-es kódrészlet pedig lehallgatásra adott lehetőséget.

A beismerés után a Juniper első körben visszaállt egy korábban, 2008-ban használt kódra, csakhogy erről már akkor, 2008-ban kimutatták a kriptográfusok, hogy kompromitált, de január 8-án végre bejelentette, hogy ettől a kódtól is megszabadulnak.

Hogy kik illeszthették be a lehallgatókódot a Juniper szoftverébe? A 2008-as esetben legkézenfekvőbb gyanúsított az NSA, az amerikai titkosszolgálat, amely a Juniper egyik, nem is feltétlenül tudatosan együttműködő munkatársa segítségével illeszthette be a kódot a szoftverbe. A 2012-es és 2014-es kódrészletet viszont már más titkosszolgálatok, vagy akár csúcshackerek is beszúrhatták, állítja Nicholas Weaver, a Nemzetközi Komputertudományi Intézet szakértője. (Via Reuters. Címlapkép: Michel Himbeault / Flickr CC BY 2.0)