АНБ помогло британским спецслужбам использовать уязвимости в файерволах Juniper
Засекреченный документ, датированный февралем 2011 года, свидетельствует о том, что Штаб правительственной связи Великобритании (GCHQ) с помощью Агентства национальной безопасности США получил возможность тайно использовать уязвимости 13 различных моделей файерволов, выпускаемых компанией Juniper Networks, ведущего поставщика сетевого оборудования и средств обеспечения IT-безопасности, сообщает The Intercept.
Шестистраничный документ под названием «Оценка возможности получения разведданных – Juniper» (один из документов, представленных для изучения общественности бывшим сотрудником АНБ Эдвардом Сноуденом) позволяет предположить, что АНБ ответственно за создание дыр в защите ПО компании, которые были обнаружены на прошлой неделе.
Хотя прямой связи между GCHQ, АНБ и взломами Juniper не установлено, понятно, что спецслужбы использовали те же уязвимости, что и хакеры, чтобы обойти защиту программно-аппаратных комплексов NetScreen (корпоративные файерволы и VPN-продукты, используемые во многих дата-центрах). Как и хакеры, шпионы пользовались уязвимостью ScreenOS — специализированной операционной системы, используемой в NetScreen. Другие продукты Juniper, включая высокопроизводительные интернет-роутеры, управляются другой ОС — JUNOS.
Возможная связь между уязвимостями и разведками весьма важна, учитывая продолжающиеся в США и Великобритании дебаты – должно ли правительство иметь «черный ход» к устройствам и софту, чтобы получать доступ к зашифрованной информации. Эксперты по кибербезопасности и криптографы допускают возможность, что одна из обнаруженных недавно уязвимостей ПО Juniper искусственно создана АНБ, а затем обнаружена и использована неизвестными злоумышленниками. В итоге под удар поставлены не только коммерческие структуры, но и государственные информационные ресурсы, использующие продукты Juniper.
The Intercept направил запросы спецслужбам и в Juniper. АНБ на запрос не ответило, из GCHQ пришел ответ о невозможности обсуждать вопросы, касающиеся секретных документов, в Juniper заявили, что намеренное внедрение уязвимостей в продукты «противоречит политике и этическим принципам компании».