1.新闻网址︰
※ 网址超过一行 请缩网址 ※
https://bit.ly/3rk21bj
2.新闻来源︰
ithome
3.完整新闻标题
※ 请完整转载标题 请勿修改与编排 ※
美国会议员质疑SolarWinds攻击是NSA让Juniper后门事件重演
4.完整新闻内容︰
※ 请完整转载原文 请勿修改内文与编排 ※
SolarWinds供应链攻击再度引发软件后门泄露客户资讯的疑虑。这也让美国政府再度想
起2015年Juniper软件后门事件之后,国安局(National Security Agency,NSA)没有
因此尽到保护政府的职责。
SolarWinds攻击事件导致美国商务部、财政部及国土安全部等一级单位,遭植入Sunbur
st等后门软件,犯案者据信为俄罗斯骇客组织,可以此蒐集资讯或发动第二波攻击。
此事让 Ron Wyden等2名参议员及8名众议员再度关切起Juniper后门事件,并质疑NSA何
以让政府导入的软件被植入后门事件再度发生。
2015年Juniper被外部研究人员揭露,有不知名骇客修改了路由器作业系统ScreenOS,加
入未授权程式码。
追查之下发现,这些程式码实为一道后门,但用意在修改更早以前的后门密钥。这更早
的后门出在Juniper使用,由NSA开发的加密算法Dual_EC_DRBG之中。
Juniper于2015年宣布要调查这起攻击事件,并在2016年移除由NSA开发的算法。
然而事隔5年之后,Juniper仍然没有公布调查结果。2019年美国国会就曾经追问过Juni
per此事。
而在SolarWinds事件后,美国参众议员再度想起此事,而且追究新责任。
本周对NSA的去函中,议员指出,美国人民有权知道,在Juniper骇入事件后,NSA何以没
有着手保护政府免于供应链攻击的重大威胁。
最近SolarWinds事件即为相同的供应链攻击,导致多个政府部门因软件更新被植入恶意
程式遭骇。
议员提出许多疑问要求NSA回答。包括Juniper后门事件后,NSA有做什么强化措施保护自
己、国防部、美国政府不受供应链攻击,又何以失败导致SolarWinds事件?
此外他们也追问NSA对Dual_EC_DRBG算法的后门是否事先知情,而NSA在送交NIST认证
的算法加入后门,是否有获得立法机关同意、外国情报监控法庭命令、经NSA局长批准
、或征询过网络安全暨基础架构安全局(CISA)、商务部、美国交易委员会(FTC)及通
讯委员会(FCC),这件事是否应通知国会。
最后,他们想知道,是不是NSA要求Juniper在自家产品的Dual_EC_DRBG算法中加入后
门,或是调整成不同于NIST公布的参数值。
5.附注、心得、想法︰
※ 40字心得、备注 ※
唉呀,这种混饭吃的行为早就有了啊,结果没有人注意到
到了三普要下台时才一连串的爆炸。
嘛,三普离开白宫也好,这么肮脏的邪恶之处不待也罢