Router Cisco ancora Hacker Spotlight

La scena hacking di Cisco ha è stato piuttosto tranquillo negli ultimi tre anni, ma alla conferenza hacker di Black Hat di questa settimana a Las Vegas, ci sarà un po 'di rumore.

I ricercatori della sicurezza terranno discorsi sui rootkit e nuovi software di hacking e di rilevamento delle intrusioni per i router

Tre anni fa, il ricercatore di sicurezza Michael Lynn ha messo sotto i riflettori i prodotti Cisco quando ha parlato di come ha gestito un semplice programma "shellcode" su un router senza autorizzazione. Il controverso discorso di Lynn è stato la più grande storia di Black Hat 2005. Ha dovuto lasciare il suo lavoro diurno per aggirare il divieto della compagnia di discutere di Cisco, e sia lui che gli organizzatori della conferenza sono stati rapidamente denunciati da Cisco. La società di networking ha sostenuto che le diapositive di presentazione di Lynn contenevano informazioni che violavano i diritti di proprietà intellettuale della società e il discorso di Lynn è stato letteralmente strappato dal pacchetto dei materiali della conferenza. In un accordo transattivo, al ricercatore è stato impedito di discutere ulteriormente del suo lavoro, ma copie della sua presentazione (pdf) sono state pubblicate online.

[Ulteriori letture: i migliori NAS per streaming multimediale e backup]

Oggi, Chief Cisco Il responsabile della sicurezza John Stewart è molto sincero riguardo all'esperienza, affermando che la sua azienda ha agito per le giuste ragioni - proteggere i propri clienti e la proprietà intellettuale - ma è andata troppo oltre. "Abbiamo fatto una specie di sciocchezze", ha detto. "È per questo che personalmente ho sponsorizzato Black Hat a livello di platino da allora. Perché penso che abbiamo avuto qualche espiazione da fare."

Lynn non è stata senza un lavoro a lungo. È stato rapidamente rapito dal concorrente di Cisco Juniper Networks, ma per alcuni anni dopo il suo discorso, non c'è stata molta discussione pubblica sull'hacking di Cisco, secondo Jeff Moss, direttore di Black Hat.

Moss ritiene che l'economia possa aver guidato alcuni ricercatori Cisco sottoterra. Ogni codice che sfrutta le vulnerabilità di Cisco è così apprezzato che qualsiasi hacker che scelga di rivelare le sue scoperte, piuttosto che venderle a una società di sicurezza o ad un'agenzia governativa, sta spesso rinunciando a un sacco di soldi, ha detto Moss. La vulnerabilità di Mike Lynn valeva circa 250.000 dollari USA, secondo lui.

Ma quest'anno le cose si sono aperte. Gli organizzatori di Black Hat pianificano tre colloqui sui router Cisco e sul sistema operativo Internetwork che eseguono. "All'improvviso quest'anno molte cose si sono scatenate", ha detto Moss.

Ultimamente, con Microsoft Windows non è più il terreno fertile per la caccia agli insetti che una volta era, i ricercatori stanno cercando altri prodotti da hackerare. E i router Cisco sono un obiettivo interessante. Gestiscono oltre il 60 percento del mercato dei router, secondo la società di ricerca IDC

"Se possiedi la rete, sei il proprietario dell'azienda", ha dichiarato Nicolas Fischbach, senior manager della rete di ingegneria e sicurezza con COLT Telecom, un europeo fornitore di servizi di dati. "La proprietà del PC Windows non è più una priorità".

Ma i router Cisco sono più difficili di Windows. Non sono così noti agli hacker e sono disponibili in molte configurazioni, quindi un attacco su un router potrebbe fallire in un secondo. Un'altra differenza è che gli amministratori Cisco non scaricano e eseguono costantemente software.

Infine, Cisco ha fatto molto lavoro negli ultimi anni per ridurre il numero di attacchi che possono essere lanciati contro i suoi router da Internet, secondo Fischbach. "Tutti gli exploit di base, davvero facili da usare contro i servizi di rete sono davvero andati", ha detto. Il rischio di avere un router ben configurato hackerato da qualcuno al di fuori della rete aziendale è "veramente basso".

Ciò non ha scoraggiato l'ultimo raccolto di ricercatori di sicurezza.

Due mesi fa il ricercatore di Security Core Sebastian Muniz ha mostrato nuovi modi di costruire programmi rootkit difficili da rilevare per i router Cisco, e questa settimana il suo collega, Ariel Futoransky, fornirà un aggiornamento di Black Hat sulla ricerca dell'azienda in questo settore.

Inoltre, due ricercatori di Information Risk Management (IRM), una società di consulenza sulla sicurezza con sede a Londra, prevedono di rilasciare una versione modificata di GNU Debugger, che offre agli hacker una visione di ciò che accade quando il software Cisco IOS elabora il codice e tre programmi shellcode che può essere usato per controllare un router Cisco.

I ricercatori dell'IRM Gyan Chawdhary e Varun Uppal hanno dato una seconda occhiata al lavoro di Lynn. In particolare, hanno esaminato attentamente il modo in cui Lynn è riuscita a eludere una funzionalità di sicurezza IOS denominata Check Heap, che analizza la memoria del router per il tipo di modifiche che consentirebbero a un hacker di eseguire codice non autorizzato sul sistema.

Hanno scoperto che mentre Cisco aveva bloccato la tecnica usata da Lynn per ingannare Check Heap, c'erano ancora altri modi per introdurre il codice nel sistema. Dopo la rivelazione di Lynn, Cisco "ha semplicemente corretto le patch del vettore", ha affermato Chawdhary. "In un certo senso il bug rimane ancora."

Modificando una parte della memoria del router, sono stati in grado di bypassare Check Heap ed eseguire il loro shellcode sul sistema, ha detto.

Il ricercatore Lynn ha meritato di fare il suo Possibile ricerca, Felix "FX" Lindner, parlerà anche di hacking Cisco su Black Hat. Lindner, responsabile dei Recurity Labs, prevede di rilasciare il suo nuovo strumento forense Cisco, denominato CIR (Cisco Incident Response), che ha testato beta negli ultimi mesi. Ci sarà una versione gratuita, che controllerà la memoria del router per i rootkit, mentre una versione commerciale del software sarà in grado di rilevare gli attacchi ed eseguire analisi forensi dei dispositivi.

Questo software fornirà ai professionisti della rete come Fischbach un modo per tornare indietro e guardare la memoria di un dispositivo Cisco e vedere se è stata manomessa. "Penso che ci sia un uso per questo", ha detto. "Per me, fa parte del toolkit quando si fa la scientifica, ma non è l'unico strumento su cui si dovrebbe fare affidamento."

Ci sono ancora ostacoli importanti per qualsiasi utente malintenzionato Cisco, afferma Stewart. Ad esempio, molti aggressori sono riluttanti a hackerare i router, perché se commettono un errore, mettono fuori gioco l'intera rete. "Abbiamo una specie di lasciapassare perché nessuno vuole scimmiottare con l'infrastruttura che sta usando", ha detto. "È come rovinare la superstrada mentre stai provando ad andare in un'altra città."

Anche se Cisco non ha grandi preoccupazioni per la sicurezza in questo momento, Stewart non dà nulla per scontato.

Infatti, anche lui ha ammesso che la sua compagnia è stata fortunata finora e sa che potrebbe cambiare se un numero sufficiente di persone come Lindner inizi a lavorare sul problema. "Abbiamo tempo" disse. "Abbiamo l'opportunità di essere migliori, e dovremmo investire continuamente per ridurre la superficie di attacco."