По информации Reuters, иностранное государство смогло как минимум один раз воспользоваться бэкдором в продукции Juniper Networks Inc, который был предусмотрен по соглашению с американским Агентством по нацбезопасности. О том, что оборудование было взломано, сообщалось еще в 2015 году.
В июльском заявлении членам Конгресса от имени компании говорится, что неназванное национальное правительство преобразовало механизм, созданный АНБ. Изначально в Агентстве признали ошибку и пообещали сделать выводы, но в итоге этот документ просто исчез.
Ни АНБ, ни Juniper официально не комментируют инцидент.
Агентство США по национальной безопасности добивалось соглашения с технологическими компаниями, в соответствии с которыми они обеспечили бы специальный доступ к своим продуктам. Об этом сообщал бывший подрядчик АНБ Эдвард Сноуден и другие источники.
Несмотря на пересмотр политики Белого дома после череды скандалов, связанных с публикациями Сноудена, секретные правительственные контракты на бэкдоры остались за рамками официального рассмотрения. Юристы утверждают, что у АНБ были контракты с компаниями по всему миру.
Бэкдоры позволяют АНБ и другим агентствам сканировать большие объемы трафика без ордера. Там утверждают, что эта практика облегчила сбор важной разведывательной информации в других странах, включая перехват сообщений террористов.
Агентство разработало новые правила такой практики после утечки информации о Сноудене, чтобы снизить вероятность разоблачения и компрометации, сообщили Reuters трое бывших сотрудников разведки. Но помощники сенатора Рона Уайдена, ведущего демократа в сенатском комитете по разведке, говорят, что АНБ воздерживается от предоставления любой информации по этому поводу.
«Секретные лазейки в шифровании представляют собой угрозу национальной безопасности и безопасности наших семей — это лишь вопрос времени, когда иностранные хакеры или преступники воспользуются ими таким образом, чтобы подорвать национальную безопасность Америки», — говорит Уайден.
Агентство отказалось сообщить, как оно обновило свою политику в отношении получения специального доступа к коммерческим продуктам. Представители АНБ заявили, что агентство восстанавливает доверие к частному сектору с помощью таких мер, как предупреждение о недостатках программного обеспечения.
Три бывших высокопоставленных представителя разведки сообщили Reuters, что теперь АНБ требует оценки возможных последствий использования бэкдора и принять меры на случай, если он будет обнаружен третьими лицами.
Критики методов АНБ заявляют, что они подрывают доверие к технологиям США и компрометируют американское оборудование, которое наряду с китайским может быть использовано для слежки.
Самым ярким примером такого риска стала история с компонентом системы шифрования Dual Elliptic Curve. Разведывательное агентство работало с Министерством торговли, чтобы технология была принята в качестве глобального стандарта, но позже криптографы показали, что АНБ может использовать Dual EC для доступа к зашифрованным данным.
В 2013 году стало известно, что RSA подписала контракт на $10 млн за включение Dual EC в широко используемую систему сетевой безопасности. RSA публично заявила, что не намеренно устанавливала бэкдор.
Два года спустя Juniper Networks тоже оказалась в центре скандала из-за Dual EC. В конце 2015 года производитель интернет-коммутаторов сообщил, что обнаружил вредоносный код в некоторых брандмауэрах. Позже исследователи определили, что хакеры превратили брандмауэры в свой собственный шпионский инструмент, изменив версию Dual EC от Juniper. В 2016 году компания призналась исследователю в области безопасности Энди Айзексону, что установила Dual EC как часть «требования клиента». Исследователи считают, что заказчиком было АНБ.
По данным Reuters, хакеры, которые использовали этот бэкдор, связаны с китайским правительством.
Бывший высокопоставленный чиновник АНБ сообщил Reuters, что многие технологические компании по-прежнему опасаются тайного сотрудничества с правительством. Но, по словам этого человека, агентство продолжает прикладывать усилия для этого.
См. также: