Routery Cisco znów biorą udział w hackerstwie

Scena hakowania Cisco ma przez ostatnie trzy lata było całkiem cicho, ale na tegorocznej konferencji hakerów Black Hat w Las Vegas, będzie trochę hałasu.

Badacze bezpieczeństwa przeprowadzą rozmowy na temat rootkitów i nowego oprogramowania hakerskiego i wykrywania włamań dla routerów które przenoszą większość ruchu w Internecie.

Trzy lata temu, badacz bezpieczeństwa Michael Lynn rzucił światło na produkty Cisco, kiedy mówił o tym, jak uruchamiał prosty program "shellcode" na routerze bez autoryzacji. Kontrowersyjna dyskusja Lynna była największą historią w Black Hat 2005. Musiał rzucić pracę na cały dzień, aby obejść zakaz firmy dotyczący omawiania Cisco, i zarówno on, jak i organizatorzy konferencji zostali szybko pozwani przez Cisco. Firma świadcząca usługi sieciowe argumentowała, że ​​slajdy prezentacji firmy Lynn zawierały informacje naruszające prawa własności intelektualnej firmy, a rozmowa Lynn została dosłownie wyrwana z pakietu materiałów konferencyjnych. W umowie ugodowej badaczowi uniemożliwiono dalszą dyskusję na temat jego pracy, ale kopie jego prezentacji (pdf) zostały zamieszczone w Internecie.

[Więcej informacji: Najlepsze pudełka NAS do strumieniowego przesyłania multimediów i tworzenia kopii zapasowych]

Dzisiaj Cisco Chief Specjalista ds. Bezpieczeństwa John Stewart jest wyjątkowo szczery pod względem doświadczenia, mówiąc, że jego firma działała z właściwych powodów - chroniąc swoich klientów i własność intelektualną - ale posunęła się za daleko. "Zrobiliśmy coś głupiego", powiedział. "Z tego powodu osobiście sponsorowałem Black Hat na poziomie platynowym od tamtej pory, ponieważ uważam, że mieliśmy do tego pewne zadanie".

Lynn nie była bez pracy przez długi czas. Szybko porwał go konkurent Cisco, Juniper Networks, ale przez kilka lat po swoim przemówieniu publicznie nie dyskutowano o hackowaniu Cisco, według Jeffa Mossa, dyrektora Black Hat.

Moss wierzy, że ekonomia mogła jechać niektórzy badacze Cisco pod ziemią. Każdy kod wykorzystujący luki Cisco jest tak cenny, że każdy haker, który zdecyduje się ujawnić swoje ustalenia, zamiast sprzedawać je firmie ochroniarskiej lub agencjom rządowym, często rezygnuje z dużej ilości pieniędzy, powiedział Moss. Wrażliwość Mike'a Lynna była warta około 250 000 $

Ale w tym roku rzeczy się otworzyły. Organizatorzy Black Hata planują trzy rozmowy na routerach Cisco i uruchomionym systemie operacyjnym Internetwork. "Nagle w tym roku wiele rzeczy się zepsuło" - powiedział Moss.

Ostatnio, gdy Microsoft Windows przestał być podatnym gruntem na polowanie na robaki, kiedyś było, naukowcy szukają innych produktów do włamania. A routery Cisco są interesującym celem. Według firmy badawczej IDC, zarządzają ponad 60 procent rynku routerów.

"Jeśli jesteś właścicielem sieci, jesteś właścicielem firmy", powiedział Nicolas Fischbach, starszy kierownik ds. Inżynierii sieci i bezpieczeństwa w COLT Telecom, Europejskim dostawca usług danych. "Posiadanie komputera z Windows nie jest już tak naprawdę priorytetem."

Ale routery Cisco robią trudniejszy cel niż Windows. Nie są tak dobrze znane hakerom i występują w wielu konfiguracjach, więc atak na jeden router może się nie powieść na sekundę. Kolejną różnicą jest to, że administratorzy Cisco nie ciągle pobierają i uruchamiają oprogramowanie.

Wreszcie, Cisco wykonało wiele pracy w ostatnich latach, aby ograniczyć liczbę ataków, które mogą zostać uruchomione przeciwko ruterom z Internetu, zgodnie z Fischbach. "Wszystkie podstawowe, naprawdę łatwe exploity, których można użyć przeciwko usługom sieciowym, naprawdę zniknęły" - powiedział. Ryzyko posiadania dobrze skonfigurowanego routera zhakowanego przez kogoś spoza sieci korporacyjnej jest "naprawdę niskie".

To nie powstrzymało najnowszych naukowców zajmujących się bezpieczeństwem

Dwa miesiące temu badacz Core Security Sebastian Muniz pokazał nowe sposoby budowania trudnych do wykrycia programów rootkitowych dla routerów Cisco, aw tym tygodniu jego kolega, Ariel Futoransky, udzieli Black Hat aktualizacji badań firmy w tej dziedzinie.

Ponadto dwóch naukowców z Information Risk Management (IRM), doradcy ds. Bezpieczeństwa z siedzibą w Londynie, planuje wydanie zmodyfikowanej wersji GNU Debugger, która daje hakerom pogląd na to, co dzieje się, gdy oprogramowanie Cisco IOS przetwarza ich kod, oraz trzy programy powłoki które można wykorzystać do sterowania routerem Cisco.

Badacze IRM Gyan Chawdhary i Varun Uppal ponownie przyjrzeli się pracy Lynna. W szczególności przyjrzeli się sposobowi, w jaki Lynn mogła ominąć funkcję bezpieczeństwa IOS o nazwie Check Heap, która skanuje pamięć routera pod kątem rodzaju modyfikacji, które umożliwiłyby hakerowi uruchomienie nieautoryzowanego kodu w systemie.

Odkryli, że podczas gdy Cisco zablokowało technikę, którą Lynn wykorzystywała do oszukiwania Check Heap, wciąż istniały inne sposoby na przekradnięcie ich kodu do systemu. Po ujawnieniu się Lynn, Cisco "po prostu załatało wektor" - powiedział Chawdhary. "W pewnym sensie błąd nadal istnieje."

Modyfikując jedną część pamięci routera, byli oni w stanie ominąć Check Heap i uruchomić swój kod powłoki w systemie, powiedział.

Naukowiec Lynn przyznał, że dokonał swojej własne badania możliwe, Felix "FX" Lindner, będzie również mówił o hakowaniu Cisco w Black Hat. Lindner, szef Recurity Labs, zamierza wydać swoje nowe narzędzie Cisco Forensics o nazwie CIR (Cisco Incident Response), które przetestował w wersji beta przez ostatnie kilka miesięcy. Będzie dostępna bezpłatna wersja, która sprawdzi pamięć routera pod kątem rootkitów, podczas gdy komercyjna wersja oprogramowania będzie w stanie wykryć ataki i przeprowadzić analizę kryminalistyczną urządzeń.

To oprogramowanie da profesjonalistom sieciowym, takim jak Fischbach, sposób wrócić i spojrzeć na pamięć urządzenia Cisco i sprawdzić, czy zostało naruszone. "Myślę, że jest na to użyteczny", powiedział. "Dla mnie jest to część zestawu narzędzi, gdy zajmujesz się medycyną sądową, ale nie jest to jedyne narzędzie, na którym powinieneś polegać."

Nadal istnieją poważne bariery dla każdego napastnika Cisco, mówi Stewart. Na przykład wielu atakujących niechętnie hakuje routery, ponieważ jeśli popełnią błąd, wybiją całą sieć. "W pewnym sensie mamy przepustkę, ponieważ nikt nie chce ingerować w infrastrukturę, z której korzystają" - powiedział. "To jak zepsucie autostrady podczas próby przejścia do innego miasta."

Choć Cisco może nie mieć obecnie żadnych poważnych problemów związanych z bezpieczeństwem, Stewart nie bierze nic za pewnik.

W rzeczywistości on także przyznał, że jego firma ma już szczęście i wie, że może się zmienić, jeśli wystarczająco dużo osób, takich jak Lindner, zacznie pracować nad problemem. "Mamy czas", powiedział. "Mamy szansę być lepsi i powinniśmy stale inwestować w obniżanie powierzchni ataku."