Cisco Routers igen Tag Hacker Spotlight

Cisco hacking scenen har har været temmelig stille i de sidste tre år, men i weekens Black Hat hacker-konference i Las Vegas vil der være en lille smule støj.

Sikkerhedsforskere vil give foredrag om rootkits og ny software til hacking og indtrængningsdetektion for routerne der bærer det meste af internets trafik.

For tre år siden skildrede sikkerhedsforsker Michael Lynn et fokus på Ciscos produkter, da han talte om, hvordan han kørte et simpelt "shellcode" -program på en router uden tilladelse. Lynn's kontroversielle tale var den største historie på Black Hat 2005. Han måtte afslutte sit arbejde for at omgå et firmaforbud mod at diskutere Cisco, og både han og konferencens arrangører blev straks sagsøgt af Cisco. Netværksfirmaet hævdede, at Lynns præsentationsglas indeholdt oplysninger, der krænkede virksomhedens immaterielle rettigheder, og Lynns tale blev bogstaveligt talt revet ud af konferencematerialepakken. I en forligsaftale blev forskeren udelukket fra at drøfte sit arbejde yderligere, men kopier af sin præsentation (pdf) blev sendt online.

[Yderligere læsning: Bedste NAS-kasser til streaming og backup af medier]

I dag er Cisco Chief Sikkerhedsofficer John Stewart er bemærkelsesværdigt ærlig overfor oplevelsen og siger, at hans firma handlede af de rigtige grunde - at beskytte sine kunder og intellektuelle ejendomsrettigheder - men gik for langt. "Vi gjorde en slags dumme ting," sagde han. "Derfor har jeg personligt sponsoreret Black Hat på platiniveau siden da. Fordi jeg tror, ​​vi havde lidt forsoning at gøre."

Lynn var ikke uden arbejde for længe. Han blev hurtigt opsnappet af Cisco-konkurrenten Juniper Networks, men for nogle få år efter sin tale var der ikke meget offentlig diskussion om Cisco-hacking, siger Jeff Moss, Black Hats direktør.

Moss mener, at økonomien kan have drevet nogle Cisco forskere under jorden. Enhver kode, der udnytter Cisco-sårbarheder, er så værdsat, at enhver hacker, der vælger at videregive sine resultater, snarere end at sælge dem til et sikkerhedsselskab eller et statsligt organ, ofte giver op med mange penge, siger Moss. Mike Lynns sårbarhed var værd omkring US $ 250.000, regner han.

Men i år er tingene blevet åbnet. Black Hat-arrangører planlægger tre samtaler om Cisco-routere og operativsystemet Internetwork, som de kører. "Pludselig i år er mange ting gået løs," sagde Moss.

I sidste ende med Microsoft Windows ikke længere den frugtbare grund til at jage, at det engang var, forskere ser på andre produkter til hack. Og Ciscos routere er et interessant mål. De styrer mere end 60 procent af routermarkedet, ifølge forskningsfirma IDC.

"Hvis du ejer netværket, ejer du virksomheden", siger Nicolas Fischbach, seniorchef for netværksteknologi og sikkerhed med COLT Telecom, en europæisk datatjenesteudbyder. "At eje Windows-pc'en er ikke længere en prioritet."

Men Ciscos routere gør et hårdere mål end Windows. De er ikke så velkendte for hackere, og de kommer i mange konfigurationer, så et angreb på en router kan mislykkes i et sekund. En anden forskel er, at Cisco-administratorer ikke hele tiden downloader og kører software.

Endelig har Cisco arbejdet meget i de seneste år for at reducere antallet af angreb, der kan lanceres mod sine routere fra internettet, ifølge Fischbach. "Alle de grundlæggende, virkelig let udnytter du kunne bruge imod netværkstjenester er virkelig væk," sagde han. Risikoen for at have en velkonfigureret router hacket af en person uden for dit virksomhedsnetværk er "virkelig lav".

Det har ikke afskrækket den nyeste afgrøde af sikkerhedsforskere.

For to måneder siden Core Security forsker Sebastian Muniz viste nye måder at opbygge vanskelige at opdage rootkit programmer til Cisco routere, og denne uge vil hans kollega, Ariel Futoransky, give en Black Hat opdatering om virksomhedens forskning på dette område.

Desuden planlægger to forskere fra Information Risk Management (IRM), en sikkerhedskonsulent i London, at frigive en ændret version af GNU Debugger, som giver hackere et billede af, hvad der sker, når Cisco IOS-softwaren behandler deres kode og tre shellcode programmer som kan bruges til at styre en Cisco router.

IRM forskere Gyan Chawdhary og Varun Uppal har taget et andet kig på Lynns arbejde. I særdeleshed tog de et tæt kig på den måde Lynn var i stand til at omgå en IOS-sikkerhedsfunktion kaldet Check Heap, som scanner routers hukommelse for den type modifikationer, der ville tillade en hacker at køre uautoriseret kode på systemet.

De opdagede, at mens Cisco havde blokeret teknikken, som Lynn plejede at lure Check Heap, var der stadig andre måder at snige deres kode på systemet. Efter Lynn's afsløring, Cisco "blot patched vektor," sagde Chawdhary. "På en måde forbliver fejlen stadig."

Ved at ændre en del af routerens hukommelse kunne de omgå Check Heap og køre deres shellcode på systemet, sagde han.

Forskeren Lynn krediterede med at lave hans egen forskning mulig, Felix "FX" Lindner, vil også tale om Cisco hacking på Black Hat. Lindner, leder af Recurity Labs, planlægger at frigive sit nye Cisco Forensics-værktøj, kaldet CIR (Cisco Incident Response), som han har testet i løbet af de seneste måneder. Der vil være en gratis version, som kontrollerer en routerens hukommelse til rootkits, mens en kommerciel version af softwaren vil kunne registrere angreb og udføre retsmedicinsk analyse af enhederne.

Denne software vil give netværksfolk som Fischbach en måde at gå tilbage og se på minde om en Cisco-enhed og se om den er blevet manipuleret. "Jeg tror, ​​der er brug for det," sagde han. "For mig er det en del af værktøjssætet, når du gør retsmedicin, men det er ikke det eneste værktøj, du skal stole på."

Der er stadig store hindringer for enhver Cisco-angriber, siger Stewart. For eksempel er mange angribere tilbageholdende med at hack routere, fordi hvis de laver en fejl, banker de hele netværket ud. "Vi slags få et pas, fordi ingen ønsker at abe med den infrastruktur, de bruger," sagde han. "Det er som at skrue op ad motorvejen, mens du forsøger at gå til en anden by." Selv om Cisco muligvis ikke har nogen større sikkerhedsproblemer lige nu, tager Stewart ikke noget for givet.

Faktisk er han også indrømmede at hans firma har haft heldige hidtil, og han ved, at det kan ændre sig, hvis nok folk som Lindner begynder at arbejde på problemet. "Vi har tid," sagde han. "Vi har mulighed for at være bedre, og vi skal løbende investere i at sænke angrebsfladen."