Juniper Networks выпустит второй патч

Александр Панасенко 11 Января 2016 - 17:59

...

Компания Juniper Networks опубликовала новые данные о странном бекдоре, который обнаружили в коде операционной системы ScreenOS в середине декабря 2015 года. Сообщается, что по итогам проверки из системы будет удалены генераторы случайных чисел Dual Elliptic Curve (Dual_EC) и ANSI X9.31.

Пока расследованием появления в системе ScreenOS стороннего кода занимаются спецслужбы США, компания Juniper Networks провела собственное расследование.

Напомню, что в коде ScreenOS обнаружили сразу две вредоносные модификации. Первая позволяет установить несанкционированный удаленный доступ к устройству, посредством SSH или Telnet. Эксплуатация данной бреши может привести к полной компрометации устройства. Вторая проблема еще серьезнее. Сообщается, что она позволяет хакеру получить полный доступ к системе и расшифровывать VPN-трафик, проходящий через ScreenOS и аппаратную платформу NetScreen.

Компания Juniper Networks спешно устранила обе проблемы, однако никаких подробностей о найденных бэкдорах не раскрывала. Многие эксперты в области информационной безопасности принялись анализировать случившееся самостоятельно. И многие, включая инженера Google – Адама Ленгли (Adam Langley), пришли к выводу, что проблема, скорее всего, касается криптографически стойкого генератора псевдослучайных чисел (Dual Elliptic Curve Deterministic Random Bit Generator, Dual EC DRBG). Дело в том, что в 2013 году АНБ уже создало бекдор для алгоритма шифрования и заплатило компании RSA 10 млн долларов, за внедрение бекдора в ее инструментарии, пишет xakep.ru.

Новое сообщение от Juniper Networks подтверждает теории экспертов. Представители компании сообщают, что ими был проведен повторный детальный аудит кода операционных систем ScreenOS и Junos OS. Никаких новых инородных элементов в коде выявлено не было. Более того, инженеры компании убеждены, что повторение случившегося маловероятно: внедрить в Junos OS сторонний код практически невозможно.

Тем не менее, компания приняла решение выпустить еще один патч и исключить из состава ОС Dual_EC и ANSI X9.31, заменив их «тем же генератором случайных чисел, который широко используется в серии продуктов на базе Junos OS». Обновление будет представлено в первой половине 2016 года.

Представители компании отказались подтвердить или опровергнуть связь VPN-бэкдора с генератором случайных чисел. Остается только догадываться, решило руководство Juniper Networks перестраховаться, или эксперты были правы, и работа бэкдора действительно сопряжена с Dual_EC.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 05 Июня 2026 - 15:29

Уязвимости программ Соответствие законодательству РФ Общее Средства поиска уязвимостей Соответствие требованиям регуляторов

ФСТЭК обновила правила поиска уязвимостей и скрытых возможностей в ПО

ФСТЭК России утвердила новую методику выявления уязвимостей и недекларированных возможностей в программном обеспечении. Проще говоря, регулятор обновил правила, по которым будут искать дыры, ошибки и потенциально опасные функции в софте, проходящем сертификацию.

Новый документ предназначен прежде всего для испытательных лабораторий и разработчиков, которые участвуют в сертификации средств защиты информации, защищённого программного обеспечения и программно-аппаратных комплексов.

Методика будет применяться как при первичной сертификации продуктов, так и при внесении изменений в уже сертифицированные решения.

Особое внимание документ уделяет разработчикам средств защиты информации. Им рекомендуют использовать положения новой методики для выстраивания внутренних процессов безопасной разработки программного обеспечения в соответствии с требованиями ГОСТ Р 56939-2024.

Фактически речь идёт о том, чтобы искать потенциальные проблемы не только на финальном этапе испытаний, но и на протяжении всего жизненного цикла продукта.

При этом ФСТЭК официально отправила на пенсию предыдущую версию документа. Методика выявления уязвимостей и недекларированных возможностей, утверждённая ещё 25 декабря 2020 года, больше не применяется.

Для рынка информационной безопасности это не просто бюрократическое обновление. Методики ФСТЭК напрямую влияют на то, как проходят сертификацию российские средства защиты информации, какие проверки проводят лаборатории и какие требования предъявляются к разработчикам.

А учитывая, что количество уязвимостей в программном обеспечении продолжает расти, а требования к безопасной разработке становятся всё жёстче, обновление правил игры было лишь вопросом времени.

Так что разработчикам защищённого ПО, испытательным лабораториям и ИБ-подразделениям теперь придётся сверяться уже с новым набором требований. Старые инструкции официально ушли в архив.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!