Routerele Cisco din nou iau hacker Spotlight

Cercetătorii în domeniul securității vor discuta despre rootkiturile și software-ul de hacking și detectare a intruziunilor pentru routere care transportă cea mai mare parte a traficului pe Internet

În urmă cu trei ani, cercetătorul de securitate Michael Lynn a arătat un accent pe produsele Cisco atunci când a vorbit despre modul în care a executat fără autorizare un program simplu "shell" pe un router. Discuția controversată a lui Lynn a fost cea mai mare poveste la Black Hat 2005. El a trebuit să renunțe la slujba de zi pentru a obține o interdicție de a discuta despre Cisco, iar el și organizatorii conferinței au fost acționați rapid de Cisco. Compania de rețea a susținut că slide-urile de prezentare ale Lynn conțineau informații care încalcă drepturile de proprietate intelectuală ale companiei și discuția lui Lynn a fost eliminată literalmente din pachetul de materiale al conferinței. Într-un acord de decontare, cercetătorului ia fost interzis să discute în continuare munca sa, dar copii ale prezentării sale (pdf) au fost postate online.

Astăzi, șeful Cisco Ofițerul de securitate, John Stewart, este remarcabil de sincer în ceea ce privește experiența, spunând că compania sa a acționat din motive juste - protejând clienții și proprietatea intelectuală - dar a mers prea departe. "Am făcut niște lucruri stupide", a spus el. "De aceea am sponsorizat Black Hat la nivel de platină încă de atunci, pentru că cred că am avut o ispășire de făcut."

Lynn nu a fost fără un loc de muncă de mult timp. El a fost rapid smulgat de concurentul Cisco Juniper Networks, dar pentru câțiva ani după ce a vorbit, nu a existat prea multă discuție publică despre hacking-ul Cisco, potrivit lui Jeff Moss, directorul Black Hat.

Moss consideră că economia poate fi condusă unii cercetători Cisco în subteran. Orice cod care exploatează vulnerabilitățile Cisco este atât de apreciat încât orice hacker care alege să dezvăluie rezultatele sale, mai degrabă decât să le vândă unei companii de securitate sau unei agenții guvernamentale, renunță adesea la o mulțime de bani, a spus Moss. Vulnerabilitatea lui Mike Lynn era în valoare de aproximativ 250.000 de dolari, consideră el.

Dar în acest an lucrurile s-au deschis. Organizatorii Black Hat planifică trei discuții despre routerele Cisco și despre sistemul de operare internă pe care îl conduc. "În tot acest timp, multe lucruri s-au desființat", a spus Moss. În ultima vreme, când Microsoft Windows nu mai era terenul fertil pentru vânătoarea de bug-uri, o dată, cercetătorii se uită la alte produse care să-i spargă. Și routerele Cisco sunt o țintă interesantă. Acestea comandă mai mult de 60% din piața ruteră, potrivit firmei de cercetare IDC.

"Dacă dețineți rețeaua, sunteți proprietarul companiei", a declarat Nicolas Fischbach, senior manager în domeniul ingineriei și securității rețelelor cu COLT Telecom, furnizor de servicii de date. "Deținerea PC-ului Windows nu este o prioritate."

Dar routerele Cisco fac o țintă mai grea decât Windows. Nu sunt la fel de bine cunoscute de hackeri și vin în mai multe configurații, astfel încât un atac asupra unui router ar putea să nu reușească o secundă. O altă diferență este că administratorii Cisco nu descarcă și rulează în mod constant software.

În cele din urmă, Cisco a făcut multă muncă în ultimii ani pentru a reduce numărul atacurilor care pot fi lansate împotriva ruterelor sale de pe Internet, potrivit Fischbach. "Toate exploatările de bază, foarte ușor de utilizat pe care le puteți folosi împotriva serviciilor de rețea sunt într-adevăr dispărute", a spus el. Riscul de a avea un ruter bine configurat hacked de cineva din afara rețelei dvs. corporative este "într-adevăr scăzut".

Acest lucru nu a descurajat ultima recoltă de cercetători în domeniul securității.

Acum două luni cercetătorul de securitate Sebastian Muniz a arătat noi modalități de a construi programe de rootkit greu de detectat pentru routerele Cisco și săptămâna aceasta colegul său, Ariel Futoransky, va oferi o actualizare Black Hat privind cercetarea companiei în acest domeniu.

De asemenea, doi cercetatori de la Information Management Management (IRM), un consultant de securitate bazat in Londra, intentioneaza sa lanseze o versiune modificata a GNU Debugger, care ofera hackerilor o imagine a ceea ce se intampla cand software-ul Cisco IOS isi proceseaza codul si trei programe de shellcode care pot fi folosite pentru a controla un router Cisco.

Cercetatorii IRM, Gyan Chawdhary si Varun Uppal, au luat oa doua privire la munca lui Lynn. În special, au analizat cu atenție modul în care Lynn a reușit să eludeze o caracteristică de securitate IOS numită Check Heap, care scanează memoria routerului pentru tipul de modificări care ar permite unui hacker să ruleze un cod neautorizat pe sistem.

Ei au descoperit că, deși Cisco a blocat tehnica pe care Lynn o folosea pentru a păcăli Check Heap, au existat și alte modalități de a-și strecura codul pe sistem. După dezvăluirea lui Lynn, Cisco "a patch-uri pur și simplu vectorul", a spus Chawdhary. "Într-un fel, bug-ul mai rămâne."

Prin modificarea unei părți din memoria routerului, au fost capabili să ocolească Check Heap și să-și execute codul shell-ului pe sistem, a spus el. propria cercetare posibilă, Felix "FX" Lindner, va vorbi, de asemenea, despre hacking-ul Cisco de la Black Hat. Lindner, șeful Labs Recurity, intenționează să lanseze noul său instrument criminalistic Cisco, denumit CIR (Cisco Incident Response), pe care la testat beta pentru ultimele câteva luni. Va exista o versiune gratuită, care va verifica memoria routerului pentru rootkit, în timp ce o versiune comercială a software-ului va detecta atacuri și va efectua analize medico-legale ale dispozitivelor.

Acest software va oferi profesioniștilor din rețea cum ar fi Fischbach un mod să se întoarcă și să privească memoria unui dispozitiv Cisco și să vadă dacă a fost manipulat. "Cred că există o utilizare pentru asta", a spus el. "Pentru mine, face parte din setul de instrumente atunci când faci criminalistica, dar nu este singurul instrument pe care ar trebui să te bazezi."

Există încă obstacole majore pentru orice atacator Cisco, spune Stewart. De exemplu, mulți atacatori sunt reticenți în a împiedica ruterul, deoarece dacă fac o greșeală, aceștia distrug întreaga rețea. "Avem un pas, pentru că nimeni nu dorește să mănânce cu infrastructura pe care o folosesc", a spus el. "Este ca și cum ați încurca autostrada în timp ce încercați să mergeți într-un oraș diferit."

Chiar dacă Cisco nu are probleme majore de securitate chiar acum, Stewart nu ia nimic de la sine înțeles. a recunoscut că firma sa a fost norocoasă până acum și știe că s-ar putea schimba dacă destul de mulți oameni ca Lindner încep să lucreze la această problemă. - Avem timp, spuse el. "Avem ocazia să fim mai buni și ar trebui să investim continuu în scăderea suprafeței de atac"