Cisco Routers Muli Lumabas Spotlight Hacker

Ang Cisco pataga eksena ay may ay medyo tahimik sa loob ng nakaraang tatlong taon, ngunit sa kumperensya ng Black Hat hacker na ito sa linggong ito, mayroong maliit na ingay.

Mga mananaliksik ng seguridad ay magbibigay ng mga pag-uusap sa mga rootkit at bagong pag-hack at panghihimasok-detection software para sa mga routers na nagdadala ng karamihan sa trapiko ng Internet.

Tatlong taon na ang nakalilipas, ang security researcher na si Michael Lynn ay sumikat ng pansin sa mga produkto ng Cisco nang magsalita siya tungkol sa kung paano siya nagpatakbo ng isang simpleng "shellcode" na programa sa isang router nang walang pahintulot. Ang kontrobersyal na pahayag ni Lynn ay ang pinakamalaking kuwento sa Black Hat 2005. Kinailangan niyang umalis sa kanyang trabaho sa araw upang makakuha ng isang pagbabawal ng kumpanya sa pagtalakay sa Cisco, at parehong siya at ang mga organizer ng kumperensya ay mabilis na inakusahan ng Cisco. Nagtalo ang kumpanya ng networking na ang mga slide ng pagtatanghal ni Lynn ay naglalaman ng impormasyon na lumalabag sa mga karapatan sa intelektwal na pagmamay-ari ng kumpanya, at ang pahayag ni Lynn ay literal na natanggal sa pakete ng mga materyales sa pagpupulong. Sa isang kasunduan sa pag-areglo, ang tagapanaliksik ay hindi pinahihintulutan sa karagdagang pag-usapan ang kanyang trabaho, ngunit ang mga kopya ng kanyang presentasyon (pdf) ay na-post online.

[Karagdagang pagbabasa: Pinakamahusay na mga kahon ng NAS para sa streaming at backup ng media]

Ngayon, Cisco Chief Ang Opisyal ng Seguridad na si John Stewart ay totoong tapat tungkol sa karanasan, na nagsasabi na ang kanyang kumpanya ay kumilos para sa mga tamang dahilan - na nagpoprotekta sa mga customer nito at intelektwal na ari-arian - ngunit napakalayo. "Ginawa namin ang ilang uri ng mga nakakatawa na bagay," sabi niya. "Alin ang dahilan kung bakit ako personal na naka-sponsor na Black Hat sa antas ng platinum mula noon, dahil sa tingin ko nagkaroon kami ng pagbabayad-sala upang gawin."

Lynn ay hindi walang trabaho para sa mahaba. Siya ay mabilis na inagaw ng Cisco competitor Juniper Networks, ngunit sa loob ng ilang taon pagkatapos ng kanyang pag-uusap, walang gaanong pag-uusap sa publiko sa pag-hack ng Cisco, ayon kay Jeff Moss, director ng Black Hat.

Moss ang ilang mga Cisco mananaliksik sa ilalim ng lupa. Ang anumang code na nagsasamantala sa mga kahinaan ng Cisco ay napakahalaga na ang sinumang hacker na pipili na ibunyag ang kanyang mga natuklasan, sa halip na ipagbili ang mga ito sa isang kumpanya ng seguridad o ahensiya ng pamahalaan, ay madalas na nagbibigay ng maraming pera, sinabi ni Moss. Ang kahinaan ni Mike Lynn ay nagkakahalaga ng tungkol sa US $ 250,000, siya reckons.

Ngunit sa taong ito ng mga bagay na nagbukas. Ang plano ng Black Hat ay nagplano ng tatlong pag-uusap sa mga routing ng Cisco at ng Internetwork Operating System na pinapatakbo nila. "Ang lahat ng isang biglaang sa taong ito ng maraming mga bagay-bagay ay nagbabagang maluwag," sinabi Moss.

Kani-kanina lamang, na may Microsoft Windows hindi na ang mayabong lupa para sa bug pangangaso na ito ay isang beses ay, ang mga mananaliksik ay naghahanap sa iba pang mga produkto sa hack. At ang mga router ng Cisco ay isang kagiliw-giliw na target. Sila ay nag-utos ng higit sa 60 porsyento ng router market, ayon sa research firm IDC.

"Kung nagmamay-ari ka ng network, pagmamay-ari mo ang kumpanya," sabi ni Nicolas Fischbach, senior manager ng network engineering at seguridad sa COLT Telecom, isang European provider ng data ng data. "Ang pagmamay-ari ng Windows PC ay hindi talagang isang priyoridad."

Ngunit ang mga router ng Cisco ay gumawa ng mas mahirap na target kaysa sa Windows. Hindi sila kilala sa mga hacker at dumating sila sa maraming mga configuration, kaya ang isang pag-atake sa isang router ay maaaring mabigo sa isang segundo. Ang isa pang kaibahan ay ang mga administrator ng Cisco ay hindi patuloy na nagda-download at tumatakbo sa software. Sa wakas, ang Cisco ay gumawa ng maraming trabaho sa mga nakaraang taon upang mabawasan ang bilang ng mga pag-atake na maaaring mailunsad laban sa mga routers nito mula sa Internet, ayon sa Fischbach. "Ang lahat ng mga pangunahing, tunay na madaling pagsasamantala na magagamit mo laban sa mga serbisyo sa network ay talagang nawala," sabi niya.

Dalawang buwan na ang nakalilipas ang tagapagpabatid ng Core Security Sebastian Muniz nagpakita ng mga bagong paraan ng pagbuo ng mga programa ng rootkit na hard-to-detect para sa mga router ng Cisco, at sa linggong ito ang kanyang kasamahan, si Ariel Futoransky, ay magbibigay ng pag-update ng Black Hat sa pananaliksik ng kumpanya sa lugar na ito.

Gayundin, ang dalawang mananaliksik mula sa Information Risk Management (IRM), isang konsulta sa seguridad na nakabase sa London, ay nagplano na ilabas ang binagong bersyon ng GNU Debugger, na nagbibigay sa mga hacker ng pananaw kung ano ang mangyayari kapag ang Cisco IOS software ay nagpoproseso ng kanilang code, at tatlong programang shellcode na maaaring magamit upang kontrolin ang isang router ng Cisco.

Ang mga mananaliksik ng IRM na si Gyan Chawdhary at Varun Uppal ay gumawa ng pangalawang pagtingin sa trabaho ni Lynn. Sa partikular, tinitingnan nila ang paraan ng Lynn upang maiwasan ang isang tampok na seguridad ng IOS na tinatawag na Check Heap, na nag-scan ng memorya ng router para sa uri ng mga pagbabago na magpapahintulot sa isang hacker na magpatakbo ng hindi awtorisadong code sa system.

Natuklasan nila na habang hinarang ni Cisco ang pamamaraan na ginamit ni Lynn upang linlangin ang Check Heap, mayroon pa ring iba pang mga paraan upang i-sneak ang kanilang code papunta sa system. Pagkatapos ng pagbubunyag ni Lynn, "pinatugtog lamang ni Cisco ang vector," sabi ni Chawdhary. "Sa isang kahulugan ang bug ay nananatili pa rin."

Sa pamamagitan ng pagbabago ng isang bahagi ng memorya ng router, nagawa nilang i-bypass ang Check Heap at patakbuhin ang kanilang shellcode papunta sa system, sinabi niya.

Sinuri ng mananaliksik na si Lynn sariling pananaliksik posible, Felix "FX" Lindner, ay din ang pakikipag-usap tungkol sa Cisco pag-hack sa Black sumbrero. Ang Lindner, pinuno ng Recurity Labs, ay nagplano na ilabas ang kanyang bagong tool para sa forensics ng Cisco, na tinatawag na CIR (Cisco Incident Response), na sinubukan niyang beta para sa nakaraang ilang buwan. Magkakaroon ng libreng bersyon, na susuriin ang memorya ng router para sa mga rootkit, habang ang isang komersyal na bersyon ng software ay makakakita ng mga pag-atake at magsagawa ng forensic analysis ng mga device.

Ang software na ito ay magbibigay sa mga propesyonal sa networking tulad ng Fischbach isang paraan upang bumalik at tingnan ang memory ng isang Cisco device at tingnan kung ito ay binago. "Sa tingin ko may isang paggamit para dito," sabi niya. "Para sa akin, ito ay bahagi ng toolkit kapag ginagawa mo ang forensics, ngunit hindi lamang ang tanging kasangkapan na dapat mong umasa."

May mga pangunahing hadlang para sa sinasalakay ng Cisco, sabi ni Stewart. Halimbawa, maraming nag-aatubili ay nag-aatubili na mag-hack ng mga router, dahil kung nagkakamali sila, pinupuksa nila ang buong network. "Namin ang uri ng makakuha ng isang pass dahil walang gustong unggoy sa imprastraktura na ginagamit nila," sinabi niya. "Ito ay tulad ng screwing up ng malawak na daanan habang sinusubukan mong pumunta sa ibang lungsod."

Kahit Cisco ay hindi maaaring magkaroon ng anumang mga pangunahing alalahanin sa seguridad ngayon, Stewart ay walang pagkuha para sa ipinagkaloob.

Sa katunayan, siya din inamin na ang kanyang kumpanya ay masuwerteng sa ngayon at alam niya na maaaring baguhin kung sapat na mga tao tulad ng Lindner simulan ang nagtatrabaho sa problema. "Mayroon kaming oras," sabi niya. "Mayroon kaming pagkakataon na maging mas mahusay, at dapat kaming patuloy na mamuhunan sa pagbaba ng pag-atake ibabaw."