Cisco usmjerivači ponovno uzimaju hakersku točku

Istraživači sigurnosti će razgovarati o rootkitima i novom softveru za otkrivanje i hakiranje usmjerivača koji nose najveći dio prometa na internetu.

Prije tri godine, istraživač sigurnosti Michael Lynn obasuo je pozornost na Ciscovim proizvodima kada je govorio o tome kako je pokrenuo jednostavan program "shellcode" na usmjerivaču bez odobrenja. Lynn je kontroverzni razgovor bio najveća priča u Black Hatu 2005. godine. Morao je napustiti svoj danski posao kako bi se spriječio zabranom razgovora o Ciscu, a Ciscu su brzo i tužili i organizatore i konferencije. Tvrtka za umrežavanje tvrdi da Lynnov prezentacijski dijapodaci sadrže informacije koje su kršile prava intelektualnog vlasništva tvrtke, a Lynnova priča doslovno je izbačena iz paketa konferencije. U ugovoru o nagodbi istraživač je zabranjen daljnji razgovor o svom radu, ali kopije njegove prezentacije (pdf) objavljene su na mreži.

[Daljnje čitanje: Najbolji NAS kutije za streaming i backup medija]

Sigurnosni službenik John Stewart izuzetno je iskren prema iskustvu, rekavši da je njegova tvrtka djelovala iz pravih razloga - štiteći svoje kupce i intelektualno vlasništvo - ali je prešla. "Napravili smo neke vrste gluposti", rekao je. "Zato sam osobno sponzorirala Black Hat na razini platine, jer mislim da smo imali neko pomirenje."

Lynn nije dugo bila bez posla. Ciscoovog konkurenta Juniper Networksa brzo je uhvatio, no nekoliko godina nakon njegova razgovora nije bilo puno javne rasprave o Ciscovom hakiranju, tvrdi Jeff Moss, direktor Black Hatove.

Moss vjeruje da bi ekonomija mogla potisnuti neki istraživači Cisco pod zemljom. Svi kodovi koji iskorištavaju Ciscove ranjivosti toliko su cijenjeni da svaki haker koji odluči otkriti svoje nalaze, a ne ih prodati sigurnosnoj tvrtki ili vladinoj agenciji, često odustaje od puno novca, rekao je Moss. Ranjivost Mikea Lynnja vrijedila je oko 250.000 dolara, smatra on.

Ali ove su se godine otvorile stvari. Organizatori Black Hat planiraju tri razgovora o Cisco usmjerivačima i Operacijskom sustavu Internetwork koji rade. "Odjednom ove godine mnogo je stvari razbijeno", rekao je Moss.. U posljednje vrijeme, s Microsoft Windowsom više nije plodno tlo za lovački bug koji je nekoć bio, istraživači gledaju na druge proizvode kako bi se hakirali. Ciscoovi usmjerivači su zanimljiva meta.

"Ako posjedujete mrežu, posjedujete tvrtku", izjavio je Nicolas Fischbach, viši menadžer mrežnog inženjeringa i sigurnosti u suradnji s tvrtkom COLT Telecom, europskom tvrtkom davatelj podatkovnih usluga. "Posjedovanje Windows računala više nije prioritet."

Ali Ciscoovi usmjerivači čine težim ciljem od Windowsa. Oni nisu tako dobro poznati hakerima i dolaze u mnogim konfiguracijama, tako da napad na jedan usmjerivač možda neće uspjeti u sekundi. Još jedna razlika je u tome što Cisco administratori ne stalno preuzimaju i izvode softver.

Konačno, Cisco je posljednjih godina učinio dosta posla kako bi smanjio broj napada koji se mogu pokrenuti protiv svojih usmjerivača s Interneta, prema Fischbach. "Svi osnovni, stvarno jednostavni pothvati koje možete koristiti protiv mrežnih usluga zapravo su nestali", rekao je. Rizik od dobro konfiguriranog usmjerivača koji je hakirao netko izvan vaše korporacijske mreže je "stvarno nizak".

To nije odvratilo najnovije rezultate istraživača sigurnosti.

Prije dva mjeseca istraživačica Core Securitya Sebastiana Muniza pokazali su nove načine izgradnje hard-to-otkriti rootkit programe za Cisco usmjerivače, a ovaj tjedan njegov kolega, Ariel Futoransky, će dati Black Hat ažurirati na tvrtke istraživanja na ovom području.

Također, dva istraživača iz IRM-a, sigurnosne konzultantske tvrtke sa sjedištem u Londonu planiraju objaviti modificiranu verziju GNU Debugger-a, koja hakeru daje uvid u ono što se događa kada Cisco IOS obradi svoj kod i tri programa shellcode koji se može koristiti za kontrolu Cisco usmjerivača.

IRM istraživači Gyan Chawdhary i Varun Uppal uzeli su drugi pogled na Lynnov rad. Konkretno, proučavali su način na koji je Lynn uspio zaobići sigurnosnu značajku IOS pod nazivom Check Heap, koja skenira memoriju usmjerivača za vrstu izmjena koje bi omogućile hakeru da pokreće neovlašteni kod na sustavu.

Otkrili su da, dok je Cisco blokirao tehniku ​​koju je Lynn trgnuo Check Heap, još su postojali drugi načini prikrivanja koda na sustav. Nakon Lynnova otkrića, Cisco "jednostavno zakrpa vektor", rekao je Chawdhary. "U nekom smislu bug još uvijek ostaje."

Promjenom jednog dijela memorije usmjerivača uspjeli su zaobići Check Heap i pokrenuti svoj shellcode na sustav, rekao je. moguće je i vlastito istraživanje, Felix "FX" Lindner, također će govoriti o Ciscovom hakiranju Black Hatu. Lindner, čelnik tvrtke Recurity Labs, planira otpustiti svoj novi Cisco forenzika alat, nazvan CIR (Cisco Incident Response), koji je beta testiran posljednjih nekoliko mjeseci. Bit će besplatna verzija koja će provjeriti memoriju usmjerivača za rootkite, dok će komercijalna inačica softvera moći otkriti napade i obavljati forenzičku analizu uređaja.

Ovaj softver će profesionalcima umrežavanja poput Fischbacha pružiti način vratiti se i sjetiti se memorije uređaja Cisco i vidjeti je li to bila neovlaštena. "Mislim da ima koristi za to", rekao je. "Za mene, to je dio alata kada obavljate forenziku, ali to nije jedini alat na koji biste se trebali osloniti."

Još uvijek postoje velike prepreke svakom Ciscovom napadaču, kaže Stewart. Na primjer, mnogi napadači nisu voljni hakirati usmjerivače, jer ako izvrše pogrešku, uništavaju cijelu mrežu. "Možemo se probiti jer nitko ne želi majmuna s infrastrukturom koju upotrebljavaju", rekao je. "To je kao pričvršćivanje autoceste dok pokušavate otići u drugi grad."

Iako Cisco možda ne bi imao nikakvih ozbiljnih sigurnosnih problema, Stewart ne uzima ništa zdravo za gotovo. priznao je da je njegova tvrtka do sada imala sreće i zna da bi to moglo promijeniti ako ljudi poput Lindnera počnu raditi na tom problemu. "Imamo vremena", rekao je. "Imamo priliku da budemo bolji i neprestano bismo uložili na smanjenje površine napada."