NSA-Backdoor: Juniper Networks tenta defesa
Quando apresento nossa solução de criptografia salientando que tanto o algoritmo quanto os cálculos indiretos necessários (HASH e Geração de Aleatórios) são feitos por fórmulas 100% nacionais (não usamos nem mesmo as funções da linguagem .NET Framework que são criadas especialmente para este fim!) e validadas por testes mundialmente aceitos, chamo a atenção que uma simples falha até mesmo nestes algoritmos pode expor a informação àqueles que não estão autorizados a vê-la.
Um exemplo claro desta afirmativa vem da vulnerabilidade implantada pela NSA no algoritmo de geração de aleatórios DUAL-EC-DRBG, utilizado amplamente em algoritmos de Curvas Elipticas (algoritmos de chaves pública/privada) num sem-número de produtos de hardware e software.
No caso da Juniper Networks, esta vulnerabilidade permite que tráfego em VPN (Virtual Private Network) seja monitorado e descriptografado por atores não autorizados - conforme mostra a matéria a seguir:
A Juniper Networks, que no mês passado fez um anúncio surpreendente de que sua linha NetScreen de Firewalls continha
A empresa de redes, disse em um post de blog publicado na última sexta-feira, que fará lançamentos de produtos nos próximos seis meses retirando o gerador de números aleatórios Dual_EC_DRBG; começando pela linha de firewalls NetScreen.
Pesquisadores de segurança têm conhecimento, desde 2007, que este algoritmo contém uma fraqueza que dá a adversários experientes, a capacidade de decifrar as comunicações criptografadas que dependam desta função. Documentos fornecidos pelo ex-subcontratado da NSA, Edward Snowden, mostrou a fraqueza pode ser explorada pela agência de espionagem norte-americana (The New York Times informou em 2013).
Um mês após o relatório NYT ter sido publicado, os funcionários da Juniper escreveram em um artigo da base de conhecimento que a criptografia NetScreen não poderia ser subvertida pela fraqueza porque Dual_EC_DRBG não era a única fonte para a geração de números aleatórios necessárias para assegurar a criptografia forte. O post da Juniper afirmava que o NetScreen também contou com um gerador de números aleatórios separado conhecido como ANSI X.9.31, que tornava inviável a exploração das fraquezas Dual_EC_DRBG.
Geradores de números aleatórios são um ingrediente fundamental na criptografia forte. Seu papel é semelhante ao lançamento de dados em uma mesa de jogo e são utilizados para garantir que as chaves-secretas utilizadas, possuem suficiente entropia (aleatoriedade e mistura) para torná-las inviáveis de adivinhar ou prever.
Entretanto, uma pesquisa apresentada esta semana no Real World Cryptography Conference 2015, contradiz a afirmação da Juniper.
Em essência, os pesquisadores disseram que a linha NetScreen tem usado saídas previsíveis da Dual_EC_DRBG para bypass do algoritmo ANSI X.9.31. Os investigadores passaram a documentar uma alteração de código feito em 2008, que aumentava o tamanho de uma "semente" (número utilizado como início da geração de números aleatórios). Alongando-o a partir de 20 para 32 bytes, o novo código assegurava aos atacantes uma saída bruta suficiente para explorar as fraquezas Dual_EC_DRBG.
Os pesquisadores passaram também a documentar duas alterações adicionais de código que permite a adversários quebrar a criptografia fornecida por firewalls NetScreen.
A primeira foi feita em 2012, mudando uma constante matemática que os pesquisadores acreditam permitir ao seu criador espionar o tráfego.
A segunda foi feita em 2014 e tornou possível para qualquer um que sabia uma senha embutida no equipamento descriptografar as comunicações. Os pesquisadores ainda têm de divulgar provas da implicação de uma pessoa ou grupo específico responsável pelas mudanças, mas a questão da Dual_EC_DRBG está levando muitos pesquisadores a suspeitar que a NSA está envolvida.
Slides desta apresentação podem ser encontrados neste link.
O crédito para a descoberta da senha backdoor vai para a Chief Research Rapid7 Oficial HD Moore.
Crédito para muitos dos resultados relacionados com Dual_EC_DRBG vai para Ralf Philipp Weinmann e Willem Pinckaers.
