Backdoors im Programmcode von IT-Sicherheitslösungen und wie wichtig ist der Herstellerstandort?

Backdoors im Programmcode von IT-Sicherheitslösungen

Im Dezember 2015 wurden schwerwiegende Backdoors in den Netscreen Firewall-Systemen von Juniper entdeckt. Bei einer internen Code-Prüfung wurde unautorisierter Code in dem ScreenOS Betriebssystem der Juniper Systeme entdeckt.

Ein seit 2012 eingeschleustes Code-Segment erlaubt die Entschlüsselung jeder VPN-Datenkommunikation der Firewall. Damit ist eine geheime Kommunikation über diese Geräten nicht möglich. Jede als sicher betrachtete Kommunikation konnte seit 2012 belauscht werden. Entsprechend konnten geheime Informationen und Zugangsdaten abgefangen werden. Diese Lücke beruht auf eine von der NSA forcierte Backdoor.

Folgen einer solch gezielt platzierte Schwachstelle werden an dem Beispiel des Falls Belgacom sehr deutlich. Entsprechend feuern diese neuen Backdoors in den Juniper-Geräten auch Spekulationen über den Einfallsvektor bei Belgacom neu an.

Ein weiteres Backdoor Code-Segment kann bis ins Jahr 2013 zurückdatiert werden. Dieses gewährt unautorisierten Root-Zugriff auf die Firewall System aus dem Internet. Dies bedeutet, dass JEDER mit Wissen über diese Backdoor über das Internet Vollzugriff auf die Systeme erhalten kann. Damit kann er Einstellungen verändern (Zugänge öffnen), Protokolle ansehen und Datenverkehr mitlesen.

Kurz nach bekannt werden der Schwachstelle waren ca. 26.000 verwundbare Systeme im Internet mit einer einfachen Shodan Sucheauffindbar.

 

Woher stammen die Backdoors?

Bisher kann der Firewall-Hersteller nicht erklären woher der Code stammt und wie die Backdoors ihren Weg durch die Qualitätskontrollen in die Release-Versionen finden konnten.

Unbestrittener Fakt ist jedenfalls, dass hier eine Backdoor in Kern-Systeme der IT-Sicherheit eingeschleust wurden und Endkunden statt der erwarteten höheren Sicherheit defacto angreifbarer wurden.

Mit dem Wissen um den NSA-Skandal sowie der Spionageaktivitäten von Russland und Chinasind diese beiden Backdoors in den Firewall-Systemen sicher nicht als Zufall zu betrachten.

Sind doch die Hürden für einen Geheimdienst in einem Land mit starken Befugnissen für Geheimdienste (wie USA, Russland, China, Iran,…) sehr Gering. Entweder kann das Unternehmen direkt gesteuert werden oder es reicht aus die richtigen Mitarbeiter zu „akquirieren“. Diese dürfen natürlich nicht über Ihre Aktivitäten sprechen. Wie schwer es ist gegen einen solchen Maulkorb vorzugehen zeigt dieses Beispiel.

 

Was kann man nun zum Schutz seiner Daten beachten?

Wenn man eine Schlussfolgerung aus den neuen Veröffentlichungen ziehen kann, dann die Standortbedeutung Herstellers. Dies verdeutlicht wie wichtig Gütesiegel wie „Made in Germany“ sind.

Der aktuelle Fall zeigt deutlich, dass blindes Vertrauen in Security-Produkte schwere Schäden nach sich ziehen kann. Nicht nur durch gezielte Spionage-Aktivitäten, sondern auch nach einem öffentlichen Bekanntwerden durch frei zugängliche Exploits.

 

Entsprechend lassen sich hieraus auch Handlungsempfehlungen für den Schutz von SAP-Systemen ableiten.

Gerade beim Schutz des digitalen Herzstücks eines Unternehmens darf der Herstellerstandort nun nicht mehr außer acht gelassen werden. Wie der Fall Juniper gezeigt hat ist dies nicht als Paranoia abzutun sondern eine inzwischen erforderliche Maßnahme.
Das Herkunftsland ist somit ein wichtiger Bewertungsfaktor bei der Auswahl von Sicherheitslösungen.

 

 

Quellen:

http://www.theregister.co.uk/2015/12/21/security_code_to_backdoor_juniper_firewalls_revealed_in_firmware/

http://thehackernews.com/2015/12/hacking-juniper-firewall-security.html

http://m.heise.de/security/meldung/Schnueffelcode-in-Juniper-Netzgeraeten-Weitere-Erkenntnisse-und-Spekulationen-3051260.html

http://m.heise.de/newsticker/meldung/Exploits-fuer-SSH-Backdoor-in-Junipers-Netzgeraeten-3054308.html

http://m.heise.de/newsticker/meldung/NSA-GCHQ-Skandal-Massiver-Cyberangriff-auf-Belgacom-mit-hochentwickelter-Malware-1972194.html

https://community.rapid7.com/community/infosec/blog/2015/12/20/cve-2015-7755-juniper-screenos-authentication-backdoor

http://www.theregister.co.uk/2015/12/23/juniper_analysis/