סיסקו נתבים שוב קח את האקר זרקור

סצינת פריצה סיסקו יש היה שקט למדי במשך שלוש השנים האחרונות, אבל בכנס האקר של בלאק האט השבוע בלאס וגאס, הולך להיות קצת רעש.

חוקרי אבטחה יתנו שיחות על rootkits ותוכנות פריצה וחדירה חדשות עבור נתבים כי רוב התנועה של האינטרנט.

לפני שלוש שנים, חוקר האבטחה מייקל לין הזריק זרקור על המוצרים של סיסקו כאשר הוא דיבר על איך הוא מנהל פשוט "קוד קודקוד" על הנתב ללא אישור. הדיבור השנוי במחלוקת של לין היה הסיפור הגדול ביותר ב Black Hat 2005. הוא נאלץ לעזוב את יום העבודה שלו כדי לעקוף את איסור החברה בדיון על סיסקו, וגם הוא וגם מארגני הוועידה נתבעו במהירות על ידי סיסקו. חברת הרשתות טענה כי המצגות של לין הכילו מידע שפגע בזכויות הקניין הרוחני של החברה, והדיבור של לין נקרע ממשאבי חומרי הוועידה. בהסכם פשרה נאסר על החוקר להמשיך ולדון בעבודתו, אך עותקים של המצגת שלו (pdf) פורסמו באינטרנט.

[קריאה נוספת: תיבות NAS הטובות ביותר עבור הזרמת מדיה וגיבוי]

היום, קצין הביטחון, ג'ון סטיוארט, אומר בכנות מופלאה על החוויה, ואמר שחברתו פעלה מהסיבות הנכונות - הגנה על לקוחותיה ועל קניין רוחני - אך הרחיקה לכת. "עשינו משהו טיפשי, "אמר. "לכן אני אישית נתתי חסות ל"בלק האט" ברמת הפלטינה מאז, כי אני חושב שהיה לנו איזה כפרה לעשות." לא היה לין בלי עבודה במשך זמן רב. הוא נחטף במהירות על ידי המתחרה סיסקו ג'וניפר נטוורקס, אבל במשך כמה שנים אחרי השיחה שלו, לא היה הרבה דיון ציבורי על פריצה סיסקו, על פי ג 'ף מוס, מנהל בלק האט.

מוס סבור כי הכלכלה עשויה להיות מונע כמה חוקרים סיסקו המחתרת. כל קוד שמנצל את נקודות התורפה של סיסקו הוא כה יקר, שכל האקר שבוחר לחשוף את ממצאיו, במקום למכור אותם לחברת אבטחה או לסוכנות ממשלתית, מוותר לעתים קרובות על הרבה כסף, אמר מוס. הפגיעות של מייק לין הייתה שווה בערך 250 אלף דולר, הוא מעריך. אבל השנה הדברים נפתחו. מארגני Black Hat מתכננים שלוש שיחות על נתבי סיסקו ועל מערכת ההפעלה של Internetwork שהם מפעילים. "פתאום, השנה, הרבה דברים כבר משתחררים", אומר מוס. לאחרונה, עם מיקרוסופט חלונות כבר לא קרקע פורייה לציד באגים כי זה היה פעם, החוקרים מסתכלים על מוצרים אחרים לפרוץ. נתבי סיסקו הם יעד מעניין. "אם אתה הבעלים של הרשת, אתה הבעלים של החברה", אמר ניקולס Fischbach, מנהל בכיר של הנדסת רשת ואבטחה עם קולט טלקום, אירופי ספק שירותי נתונים. "הבעלות על מחשב ה- Windows אינה עומדת בראש סדר העדיפויות."

אבל הנתבים של סיסקו מקשים על Windows. הם לא ידועים כמו האקרים והם באים בתצורות רבות, כך התקפה על נתב אחד עלול להיכשל על השני. הבדל נוסף הוא שמנהלי סיסקו לא כל הזמן מורידים ומפעילים תוכנות. לבסוף, סיסקו עשתה בשנים האחרונות עבודה רבה כדי לצמצם את מספר ההתקפות שניתן להפעיל נגד הנתבים שלה מהאינטרנט, על פי Fischbach. "כל המצלמות הבסיסיות, הקלות באמת שאפשר להשתמש בהן נגד שירותי רשת, נעלמו באמת", אמר. הסיכון שיש נתב מוגדר היטב שנפרץ על ידי מישהו מחוץ לרשת הארגונית שלך הוא "ממש נמוך".

זה לא הרתיע את היבול האחרון של חוקרי אבטחה.

לפני חודשיים Core Core Security חוקר סבסטיאן מוניז הראה דרכים חדשות לבניית תוכניות לזיהוי תוכנות rootkit עבור נתבי סיסקו, והשבוע, עמיתו, אריאל פוטורנסקי, ייתן עדכון בלק-האט על מחקריה של החברה בתחום זה.כמו כן, שני חוקרים מ - Information Risk Management (IRM), יועץ אבטחה המתבסס בלונדון, מתכננים לשחרר גרסה מעודכנת של גנו Debugger, אשר מעניקה לאקרים מבט על מה שקורה כאשר תוכנת Cisco IOS מעבדת את הקוד שלהם ושלוש תוכניות קודקוד זה יכול לשמש כדי לשלוט על נתב סיסקו.

חוקרים IRM גיאן Chawdhary ו Varun Uppal לקחו מבט שני על עבודתה של לין. בפרט, הם לקחו מקרוב את הדרך שבה לין היה מסוגל לעקוף את התכונה אבטחה IOS שנקרא Check Heap, אשר סורק את זיכרון הנתב עבור סוג של שינויים שיאפשר האקר להריץ קוד לא מורשה על המערכת. הם גילו כי בעוד סיסקו חסמה את הטכניקה שלין השתמשה בה כדי להערים על Check Heap, עדיין היו דרכים אחרות להגניב את הקוד שלהם למערכת. לאחר הגילוי של לין, סיסקו "טשטשה את הווקטור", אמר צ'אודהרי. "במובן מסוים הבאג נשאר עדיין".

על ידי שינוי חלק אחד מזיכרון הנתב, הם הצליחו לעקוף את Check Heap ולהפעיל את הקודקוד שלהם על המערכת, אמר. מחקר משלו אפשרי, פליקס "FX" לינדנר, יהיה גם מדבר על פריצה סיסקו ב Black Hat. לינדנר, ראש מעבדת רקוריטי, מתכנן לשחרר את הכלי החדש שלו לזיהוי פלילי של סיסקו, הנקרא CIR (Cisco Incident Response), שאותו ביצע בדיקות ביתא בחודשים האחרונים. תהיה גרסה חופשית, אשר תבדוק את זיכרון הנתב עבור rootkits, בעוד גרסה מסחרית של התוכנה יוכלו לזהות התקפות ולבצע ניתוח משפטי של המכשירים.

תוכנה זו תיתן מקצוע ברשת כמו Fischbach דרך לחזור אחורה ולראות את הזיכרון של מכשיר סיסקו ולראות אם זה היה מטופל. "אני חושב שיש לזה תועלת, "אמר. "בשבילי, זה חלק מחבילת הכלים כאשר אתה עושה פלילי, אבל זה לא הכלי היחיד שאתה צריך להסתמך עליו." עדיין יש מחסומים גדולים עבור כל התוקף סיסקו, אומר סטיוארט. לדוגמה, התוקפים רבים מסרבים לפרוץ נתבים, כי אם הם עושים טעות, הם לדפוק את הרשת כולה. "אנחנו מקבלים קצת מעבר כי אף אחד לא רוצה לקוף עם התשתית שבה הם משתמשים", אמר. "זה כמו לדפוק את הכביש המהיר בזמן שאתה מנסה להגיע לעיר אחרת." "למרות שלסיסקו אין חששות ביטחוניים גדולים כרגע, סטיוארט לא לוקחת שום דבר כמובן מאליו. הודה כי החברה שלו היה בר מזל עד כה והוא יודע שזה יכול להשתנות אם מספיק אנשים כמו Lindner להתחיל לעבוד על הבעיה. "יש לנו זמן, "אמר. "יש לנו הזדמנות להיות טוב יותר, ואנחנו צריכים להמשיך להשקיע על הורדת משטח ההתקפה."