在SolarWinds遭到破坏之后,议员们向NSA寻求协助,以解决Juniper感冒案
随着美国对SolarWinds黑客活动的调查不断深入,立法者要求美国国家安全局(National Security Agency)答复五年前披露的另一条令人不安的供应链违规行为。
由俄勒冈州参议员罗恩·怀登(Ron Wyden)领导的一群立法者正在询问国家安全局(NSA),采取了什么措施来保护国防网络安全,因为该网络已经对联邦防火墙设备的主要提供商瞻博网络(Juniper Networks)制造的软件进行了多年的破坏。政府。
瞻博网络在2015年12月披露了这一事件,称黑客已将未经授权的代码泄漏到该公司的软件中,该软件可以访问防火墙并能够解密虚拟专用网络连接。尽管国会山一再询问-五角大楼担心承包商的黑客可能遭受攻击-但美国政府尚未公开评估谁进行了黑客攻击以及访问了哪些数据。
立法者现在希望,通过揭开瞻博网络的冷害案例,政府可以从该事件中吸取教训,然后再一次大规模违反政府供应商的行为,使攻击者可以立足于美国网络。
国会议员还正在调查美国国家安全局在瞻博网络事件中可能不知不觉扮演的任何角色,据称他们主张使用瞻博网络及其他公司在其软件中使用的弱加密算法。立法者想知道,十多年前,美国国家安全局(NSA)是否推动了可能破解的数据保护计划,只是让另一个由国家资助的组织利用这一安全漏洞来收集有关美国的数据。
Wyden和其他议员写信给国会议员Paul Nakasone上将说:“国会有责任确定这种供应链受损的根本原因,以及NSA在设计和推广有缺陷的加密算法中扮演的重要角色。”国家安全局和美国网络司令部在周五公开信中表示。
这封信的其他签署人是:参议员科里·布克(D.N.J.);加州的伊维特·克拉克(Yvette Clarke),安娜·埃斯霍(Anna Eshoo)和特德·里乌(Ted Lieu);以及民主党代表。伊利诺伊州的比尔·福斯特(Bill Foster)马萨诸塞州的斯蒂芬·林奇;新泽西的汤姆·马林诺夫斯基;华盛顿的苏珊·德尔本(Suzan DelBene)和普拉米拉·贾亚帕(Pramila Jayapal)
这封信之际,华盛顿正在广泛地寻找答案,以了解为什么外国黑客能够利用软件供应链来访问敏感的政府网络。
例如,议员们正在询问国家安全局(NSA),为什么杜松入侵后的任何安全检查显然都不会导致联邦政府采取能够检测SolarWinds运动的防御措施,其中可疑的俄罗斯间谍在2020年渗透了多个联邦机构。
这是一个复杂的问题,因为两次事件之间存在关键差异。
专家们认为,所谓的俄罗斯黑客大狂欢是攻击者破坏了财政部,司法部等部门的行为,是最近记忆中最先进的努力之一。该行动与德克萨斯州的承包商SolarWinds一起针对多个供应商,这意味着检测并非易事。
相比之下,瞻博网络黑客似乎并不依赖于如此众多的攻击媒介。
此外,国家安全局对国防部网络拥有管辖权,但通常不对在SolarWinds战役中遭到破坏的多个民用机构负责。不过,美国国家安全局(NSA)仍然是联邦政府应对严重黑客威胁的关键角色。
SolarWinds和硅谷的瞻博网络在联邦签约生态系统中担任类似职位。两者都制造了在美国机构中广泛使用的软件-如果被利用,则可以为黑客提供一个有价值的切入点,从那里可以扎根网络以获取敏感数据的代码。专家说,对这两次违规事件的清楚记录是改善政府供应链安全措施的关键。
美国国家安全局前官员本·约翰逊(Ben Johnson)说:“无论是谈论瞻博网络,SolarWinds还是其他折衷方案,都必须共享所使用的方法,所利用的弱点以及潜在的后果范围”,以改善网络防御。黑曜石安全。 (约翰逊于2007年离开政府,并说他对杜松事件一无所知。)
瞻博网络发言人未回复要求对此文章发表评论的电话或电子邮件。国家安全局未回应置评请求。联邦调查局(JBIPER此前曾表示正在调查此事件)没有回应置评请求。
在过去的五年中,有关仍然未知身份的黑客如何更改瞻博网络防火墙上运行的NetScreen固件上的代码的信息只是流传到公众的视线中。
2016年,安全研究人员记录了攻击者如何在2012年和2014年对固件进行更改。研究人员说,2012年的更改是由瞻博网络使用当时流行的加密算法Dual EC促成的。
前国家安全局承包商爱德华·斯诺登泄露的文件显示,国家安全局据称是如何推动美国国家标准技术研究院采用有缺陷的Dual EC算法采用标准的。据报道,国家安全局知道如何打破加密方案,以协助其海外间谍活动。
NIST后来出于安全方面的考虑而撤消了该算法,Juniper在2016年将其从操作系统中删除,此举也随之而来。确切地由谁负责侵入Juniper系统尚未得到公开证实。
Juniper的总顾问Brian Martin在2020年7月给Wyden的信中说,这次漏洞似乎是一个不知名的“复杂的国家黑客组织”的工作。据路透社10月报道,调查人员怀疑,中国政府支持的黑客至少是造成瞻博网络代码变更的原因之一。一位知情人士在本周向CyberScoop重申,攻击者的策略,技巧和程序针对的是中国资助的黑客。
对于批评美国执法机构长期要求技术公司授予其加密软件产品访问权限的批评家来说,这是一个意料之外的后果。据报道,外国政府利用了加密技术的“后门”,而美国国家安全局可能将其引入了该技术。立法者称,瞻博网络已经告知国会调查人员,它“应客户的要求”增加了对Dual EC算法的支持,但拒绝透露该客户的身份。
约翰·霍普金斯大学计算机科学副教授马修·格林说:“我们从中学到的是,对于外国对手来说,安全系统和监视能力之间的区别仅是几字节代码。”关于Juniper漏洞的2016年研究论文
格林补充说:“我们唯一需要解决的问题就是透明度,以确保不会再发生这种情况。”
瞻博网络的Martin在致Wyden的信中还说,该公司认为自己“已成功纠正了攻击”,同时声称“入侵既不是由使用Dual EC算法引起的,也不是由其协助”。
格林说,从技术上讲这是正确的,因为攻击者并未使用Dual EC算法闯入瞻博网络,但掩盖了更广泛的观点:黑客显然使用了对瞻博网络固件的访问权限来修改算法并启用间谍功能。
关于Juniper违规的清晰的事后报告仍然难以捉摸。 Wyden发言人Keith Chu表示,NSA官员在2018年的一次简报中对Wyden的办公室说,该机构已撰写了有关双重EC事件的“经验教训”报告。但国家安全局现在断言找不到文件。国家安全局未回答CyberScoop关于此事的问题。
怀登和其他议员在星期五再次向国家安全局询问了该报告的情况。
