Názory k článku Postřehy z bezpečnosti: zařízení Juniper obsahují zadní vrátka

Možná hloupý dotaz, ale: co je CSR?
V IT se vyskytuje zkratek více, než je zdrávo a bohužel nekteré mají i více významů. Kdo se pak v tom má vyznat. :)
p.s.: Předpokládám, že backdoor měl být ukrytý a ne ukrytí (viz první řádek článku).

Super. Diky. Už je mi to jasnější.

Pošta už dávno umožňuje přijít pro vystavení certifikátu pouze s občankou a ID žádosti, která se vygeneruje v PC žadatele. Za poslední 3 roky jsem pomáhal zřídit certifikát desítkám uživatelů a ani jednou jsme to neřešili fleškou. Tak by mohli tu flešku zaříznout rovnou. Plus ty poštovní stanice běží na linuxu, jestli se nepletu, takže riziko by nemělo být nějaké enormní?

Na Linuxe sa da lahko branit bez dalsieho SW.

Pri boote alebo spustani treba zaistit volanie:

for bus in /sys/bus/usb/de­vices/usb*; do echo 0 > ${bus}/authori­zed_default; done


A staci raz pustit napriklad tento skript, co zariadi ostatne. Treba mat nainstalovane zenity a uz sa to bude uzivatela pytat na pripajanie zariadeni.

echo 'ACTION=="add", SUBSYSTEM=="usb", RUN+="/lib/udev/con­nectusb"' > /etc/udev/rules­.d/99-connect.rules

cat << EOF
#!/bin/sh

zenity --question --display=:0.0 --text="Suhlasite s pripojenim USB zariadenia ${ID_MODEL}?" 2>/tmp/err && echo 1 > /sys/${DEVPAT­H}/authorized
EOF > /lib/udev/con­nectusb

echo 'xhost local:root' > /etc/X11/Xses­sion.d/99allow-root

Bezpecnostne chyby by to nemalo mat - root ma pravo pripojit sa na nasu X session, ale to by urcite zvladal aj tak.
Dalo by sa spravit aj nieco lepsie, ale toto mi funguje (akurat to moze mat problem s niektorymi prostrediami ako Gnome / KDE, ktorym sa zariadenie nepodari pri prvom pokuse pripojit).

Toto som napisal ja este davno (uz som to davno zverejnil aj pre ludi v diskusii na dsl.sk) a nemam problem s tym, ked to hocikto lubovolne pouzije.

A este jedna vec - na poste vlastne to druhe ani nepotrebuju, ked nechcu dovolit pripajanie zariadeni. Alebo mozu overovat typ zariadenia.

"Pritom existuje nekolik reseni pro bezpecne in-browser generovani klicu, pripadne neni velkym problemem to pro ty nejbeznejsi napsat sam pomoci zdroju z Internetu."

Vazne? WebCryptoAPI neni dokoncene, podpora cipovych karet neexistuje a jedine, co je k dispozici, jsou ruzne proprietarni JS knihovny. Nebo prosim o doplneni, jak dnes bezpecne a predevsim obecne funkcne pouzivat na webu el. certifikaty a predevsim el. podpisy. Dekuji.

Spíš by mě zajímalo, která zařízení ta zadní vrátka nemají.

A jestli za tímhle stojí ta všemocná NSA, tak se ptám, proč nevymysleli něco chytřejšího, než backdoor stylu středoškolského studenta...

Nemaji je napriklad ty postavene na na cistem OpenBSD. no i kdyz...

Na jakém hardware to OpenBSD běží? Jak se ověří, že backdoor není ve firmware, v síťovce (má DMA přístup do paměti), nebo třeba přímo v procesoru?

Na to je prave ten dovetek. .....no i kdyz......
Ale z pohledu mnozstvi moznyho hw by takova dira musela bejt ve vsem a to snad zatim nebude.

> a to snad zatim nebude

Já nevím, když se podívám, že do svých produktů dávají backdoory Cisco, Juniper, Motorola, Dell, Lenovo, Sony, TP-Link a spousta dalších, tak nějak nevidím, v čem jsou Intel/AMD jiní.

ScreenOS? Opravdu ScreenOS? To ještě žije? Před mnoha roky jsem upgradoval na Junos zařízení a nemohu se zbavit pocitu, že ScreenOS je už dávno EOL. :)

Viz KB Juniperu (https://www.juniper.net/support/eol/ns_hw.html), podporované jsou ještě největší (nejdražší) NetScreeny, dále SSG a ISG a podle všeho je na nich právě ScreenOS 6.3.x.
Release notes pro ScreenOS jsou na http://www.juniper.net/techpubs/en_US/screenos6.3.0/information-products/pathway-pages/screenos/index.html