Οι δρομολογητές της Cisco παίρνουν πάλι το Hacker Spotlight

Οι ερευνητές της ασφάλειας θα δώσουν συνομιλίες για τα rootkits και το νέο λογισμικό hacking και ανίχνευσης εισβολής για τους δρομολογητές οι οποίοι ασχολούνται με το μεγαλύτερο μέρος της κίνησης του Διαδικτύου.

Πριν από τρία χρόνια, ο ερευνητής ασφάλειας Michael Lynn έδωσε το προβάδισμα στα προϊόντα της Cisco όταν μίλησε για το πώς εκτέλεσε ένα απλό πρόγραμμα "shellcode" σε δρομολογητή χωρίς άδεια. Η αμφιλεγόμενη ομιλία του Lynn ήταν η μεγαλύτερη ιστορία στο Black Hat 2005. Έπρεπε να σταματήσει την καθημερινή του δουλειά για να απαλλαγεί από την απαγόρευση της συζήτησης της Cisco και τόσο ο ίδιος όσο και οι διοργανωτές του συνεδρίου κατηγορήθηκαν γρήγορα από τη Cisco. Η εταιρεία δικτύωσης ισχυρίστηκε ότι οι διαφάνειες παρουσίασης της Lynn περιείχαν πληροφορίες που παραβίαζαν τα δικαιώματα πνευματικής ιδιοκτησίας της εταιρείας και η συζήτηση του Lynn κυριολεκτικά εξαφανίστηκε από το πακέτο υλικών του συνεδρίου. Σε μια συμφωνία διακανονισμού, ο ερευνητής αποκλείστηκε από την περαιτέρω συζήτηση του έργου του, αλλά αντίγραφα της παρουσίασής του (pdf) δημοσιεύθηκαν στο διαδίκτυο.

[Περισσότερα ανάγνωση: Καλύτερα πλαίσια NAS για streaming media και backup]

Σήμερα, Ο αξιωματικός ασφαλείας John Stewart είναι εξαιρετικά ειλικρινής σχετικά με την εμπειρία, λέγοντας ότι η εταιρεία του ενεργούσε για τους σωστούς λόγους - προστατεύοντας τους πελάτες και την πνευματική του ιδιοκτησία - αλλά πήγε πολύ μακριά. «Κάναμε κάποιου είδους ανόητα πράγματα», είπε. "Γι 'αυτό και εγώ προσωπικά χορηγούσα Black Hat σε επίπεδο πλατίνας από τότε, γιατί νομίζω ότι είχαμε κάποια εξιλέωση."

Η Lynn δεν ήταν χωρίς δουλειά για πολύ. Αργότερα άρπαξε ο ανταγωνιστής της Cisco, Juniper Networks, αλλά για λίγα χρόνια μετά τη συζήτησή του, δεν υπήρξε πολλή δημόσια συζήτηση για το hacking της Cisco, σύμφωνα με τον Jeff Moss, διευθυντή του Black Hat.

Ο Moss πιστεύει ότι τα οικονομικά μπορεί να έχουν οδηγήσει μερικοί ερευνητές της Cisco είναι υπόγεια. Οποιοσδήποτε κώδικας που εκμεταλλεύεται τα ευπάθειες της Cisco είναι τόσο πολύτιμος που κάθε χάκερ που επιλέγει να αποκαλύψει τα ευρήματά του, αντί να τα πουλήσει σε μια εταιρεία ασφαλείας ή σε κυβερνητική υπηρεσία, συχνά παραιτείται από πολλά χρήματα, είπε ο Moss. Το ευάλωτο του Mike Lynn ήταν αξίας περίπου 250.000 δολαρίων ΗΠΑ, εκτιμά.

Αλλά φέτος τα πράγματα έχουν ανοίξει. Οι μαύροι υπεύθυνοι διοργανωτές προγραμματίζουν τρεις συνομιλίες για τους δρομολογητές Cisco και το λειτουργικό σύστημα Internetwork που εκτελούν. "Μόλις ξαφνικά φέτος, πολλά πράγματα έχουν ξεσπάσει", δήλωσε ο Moss.

Τέλος, με τα Microsoft Windows να μην είναι πλέον το εύφορο έδαφος για το κυνήγι σφαλμάτων που ήταν κάποτε, οι ερευνητές κοιτάζουν άλλα προϊόντα για να χάσουν. Και οι δρομολογητές της Cisco είναι ένας ενδιαφέροντος στόχος. Οι ιδιοκτήτες της εταιρείας είναι ιδιοκτήτες της εταιρείας ", δήλωσε ο Nicolas Fischbach, ανώτερος διευθυντής της δικτυακής μηχανικής και της ασφάλειας με την COLT Telecom, έναν ευρωπαϊκό φορέα παροχής υπηρεσιών δεδομένων. "Η κατοχή του υπολογιστή Windows δεν είναι πια μια προτεραιότητα."

Ωστόσο, οι δρομολογητές της Cisco κάνουν πιο δύσκολο στόχο από τα Windows. Δεν είναι τόσο γνωστές στους χάκερς και έρχονται σε πολλές διαμορφώσεις, οπότε μια επίθεση σε ένα δρομολογητή μπορεί να αποτύχει σε ένα δευτερόλεπτο. Μια άλλη διαφορά είναι ότι οι διαχειριστές της Cisco δεν κάνουν διαρκώς λήψη και εκτέλεση λογισμικού.

Τέλος, η Cisco έχει κάνει πολλή δουλειά τα τελευταία χρόνια για να μειώσει τον αριθμό των επιθέσεων που μπορεί να ξεκινήσει εναντίον των δρομολογητών της από το Internet, σύμφωνα με Fischbach. "Όλα τα βασικά, πολύ εύκολα εκμεταλλεύματα που θα μπορούσατε να χρησιμοποιήσετε ενάντια στις υπηρεσίες δικτύου είναι πραγματικά πάει", είπε. Ο κίνδυνος να έχεις ένα καλά διαμορφωμένο δρομολογητή που έχει χάσει κάποιος από κάποιον εκτός του εταιρικού σου δικτύου είναι "πολύ χαμηλός."

Αυτό δεν αποθάρρυνε την πρόσφατη συλλογή ερευνητών ασφαλείας

Πριν από δύο μήνες ο ερευνητής της πυρηνικής ασφάλειας Sebastian Muniz έδειξε νέους τρόπους για την κατασκευή σκληρών προγραμμάτων ανίχνευσης rootkit για τους δρομολογητές Cisco και αυτή την εβδομάδα ο συνάδελφός του, Ariel Futoransky, θα δώσει μια ενημερωμένη έκδοση Black Hat σχετικά με την έρευνα της εταιρείας σε αυτόν τον τομέα.

Επίσης, δύο ερευνητές από το IRM, ένας σύμβουλος ασφάλειας που εδρεύει στο Λονδίνο, σχεδιάζουν να κυκλοφορήσουν μια τροποποιημένη έκδοση του GNU Debugger, ο οποίος δίνει στους hackers μια άποψη για το τι συμβαίνει όταν το λογισμικό Cisco IOS επεξεργάζεται τον κώδικα τους και τρία προγράμματα κελυφών που μπορούν να χρησιμοποιηθούν για τον έλεγχο ενός δρομολογητή της Cisco.

Οι ερευνητές του IRM, Gyan Chawdhary και Varun Uppal, έχουν εξετάσει το έργο του Lynn. Συγκεκριμένα, εξέτασαν προσεκτικά τον τρόπο με τον οποίο η Lynn κατάφερε να παρακάμψει ένα χαρακτηριστικό ασφαλείας IOS που ονομάζεται Check Heap, το οποίο σαρώνει τη μνήμη του δρομολογητή για το είδος των τροποποιήσεων που θα επέτρεπαν σε έναν χάκερ να τρέξει μη εξουσιοδοτημένο κώδικα στο σύστημα.

Ανακάλυψαν ότι ενώ η Cisco είχε μπλοκάρει την τεχνική που ο Lynn χρησιμοποίησε για να εξαπατήσει το Check Heap, υπήρχαν ακόμα άλλοι τρόποι για να γλιστρήσουν ο κώδικας τους στο σύστημα. Μετά την αποκάλυψη του Lynn, η Cisco απλώς έσπασε το διάνυσμα ", δήλωσε ο Chawdhary. "Από μια άποψη το σφάλμα παραμένει."

Τροποποιώντας ένα μέρος της μνήμης του δρομολογητή, μπορούσαν να παρακάμψουν το Check Heap και να εκτελέσουν το shellcode τους στο σύστημα, δήλωσε.

Ο ερευνητής Lynn πίστευε η δική του έρευνα, Felix "FX" Lindner, θα μιλήσει επίσης για την hacking της Cisco στο Black Hat. Ο Lindner, επικεφαλής του εργαστηρίου Recurity Labs, σχεδιάζει να κυκλοφορήσει το νέο εργαλείο εγκληματολογίας της Cisco, που ονομάζεται CIR (Cisco Incident Response), το οποίο έχει δοκιμάσει beta για τους τελευταίους μήνες. Θα υπάρχει μια δωρεάν έκδοση, η οποία θα ελέγχει τη μνήμη του δρομολογητή για τα rootkits, ενώ μια εμπορική έκδοση του λογισμικού θα είναι σε θέση να ανιχνεύσει επιθέσεις και να εκτελέσει ιατροδικαστική ανάλυση των συσκευών.

Αυτό το λογισμικό θα δώσει στους επαγγελματίες του δικτύου όπως το Fischbach έναν τρόπο να επιστρέψετε και να κοιτάξετε τη μνήμη μιας συσκευής της Cisco και να δείτε αν έχει παραβιαστεί. "Νομίζω ότι υπάρχει μια χρήση για αυτό", είπε. "Για μένα, είναι μέρος της εργαλειοθήκης όταν κάνετε ιατροδικαστική, αλλά δεν είναι το μόνο εργαλείο που θα πρέπει να βασιστείτε."

Υπάρχουν ακόμη μεγάλα εμπόδια για κάθε εισβολέα της Cisco, λέει ο Stewart. Για παράδειγμα, πολλοί επιτιθέμενοι είναι απρόθυμοι να hack δρομολογητές, επειδή αν κάνουν κάποιο λάθος, χτυπούν ολόκληρο το δίκτυο. "Παίρνουμε ένα πέρασμα διότι κανείς δεν θέλει να πιει μαϊμού με την υποδομή που χρησιμοποιούν", είπε. "Είναι σαν να σκίζεις τον αυτοκινητόδρομο, ενώ προσπαθείς να πάς σε μια διαφορετική πόλη."

Παρόλο που η Cisco μπορεί να μην έχει σοβαρές ανησυχίες για την ασφάλεια αυτή τη στιγμή, ο Stewart δεν παίρνει τίποτα ως δεδομένο. παραδέχτηκε ότι η εταιρεία του ήταν τυχερή μέχρι στιγμής και ξέρει ότι θα μπορούσε να αλλάξει αν αρκετά άτομα όπως η Lindner αρχίσουν να δουλεύουν στο πρόβλημα. "Έχουμε χρόνο", είπε. "Έχουμε την ευκαιρία να είμαστε καλύτεροι, και πρέπει να επενδύουμε συνεχώς στη μείωση της επιφάνειας επίθεσης"