О бумажной безопасности

#security #russian

Снова бушует буря в уютном болотце информационной безопасности: компания Juniper сообщила об обнаружении двух бэкдоров в софте ScreenOS, используемом в файрволах NetScreen.

Краткая суть истории такова: в межсетевых экранах Juniper используется генератор псевдослучайных чисел на основе алгоритма Dual EC DRBG. Есть предположение, что этот алгоритм, при использовании стандартных констант содержит бэкдор, позволяющий атакующему, знающему некоторые сведения об этих константах, выяснять внутреннее состояние генератора и предсказывать следующие случайные значения. Подробности можно почитать, например, на сайте projectbullrun.org или посмотреть презентацию Жени Сидорова про криптографические бэкдоры.

Помимо анонса Juniper, есть еще пара интересных обсуждений в блогах Ralf-Philipp Weinmann и Adam Langley.

Но самое забавное, на мой взгляд, то, что уязвимая версия ScreenOS получила сертификат ФСТЭК по 3 классу защищённости для МСЭ.

На всякий случай, сохраняю скриншой сайта сертификационной лаборатории.

Кажется, это ярко иллюстрирует текущее состояние бумажной безопасности и пользу, наносимую этими людьми.