Cisco Router'lar Tekrar Hacker Spotlight al

Cisco’nun Hacking sahnesinde Geçtiğimiz üç yıl boyunca oldukça sessizdi, ama bu hafta Las Vegas'taki Black Hat hacker konferansında, küçük bir gürültü olacak.

Güvenlik araştırmacıları, yönlendiriciler için rootkits ve yeni bilgisayar korsanlığı ve saldırı tespit yazılımı hakkında görüşmeler yapacak İnternet trafiğinin çoğunu taşıyor.

Güvenlik araştırmacısı Michael Lynn, üç yıl önce Cisco'nun ürünlerine, yönlendirici olmadan bir yönlendirici üzerinde basit bir "kabuk kodu" programını nasıl çalıştırdığı hakkında konuştu. Lynn'in tartışmalı konuşması, Black Hat 2005'teki en büyük hikayeydi. Cisco'yu tartışmak üzere bir şirketin yasaklanması için işinden ayrılmak zorunda kaldı ve hem kendisi hem de konferans organizatörleri Cisco tarafından hızla dava edildi. Şebeke şirketi Lynn'in sunum slaytlarının şirketin fikri mülkiyet haklarını ihlal eden bilgileri içerdiğini ve Lynn'in konuşmasının tam anlamıyla konferans materyalleri paketinden çıkarıldığını iddia etti. Bir uzlaşma sözleşmesinde, araştırmacı çalışmasını daha ayrıntılı bir şekilde tartışmaktan men edildi, ancak sunumunun kopyaları (pdf) çevrimiçi yayınlandı.

[Daha fazla okuma: Medya akışı ve yedekleme için en iyi NAS kutuları]

Bugün, Cisco Şefi Güvenlik Görevlisi John Stewart, şirketin doğru nedenlerle - müşterilerini ve fikri mülkiyeti korumak - harekete geçtiğini, ancak çok ileri gittiğini söyleyerek, deneyim konusunda son derece samimi davranıyor. “Bir çeşit aptalca şeyler yaptık” dedi. “Bu yüzden, o zamandan beri Black Hat'i platin seviyesinde kişisel olarak destekledim. Çünkü bence biraz kefaretimiz vardı.”

Lynn uzun zamandır işsiz değildi. Cisco'nun rakibi Juniper Networks tarafından hızla yakalandı, ancak konuşmasının ardından birkaç yıl boyunca, Cisco korsanlığıyla ilgili olarak, Black Hat'ın yönetmeni Jeff Moss'a göre, çok fazla kamuoyu tartışması yoktu.

Moss, ekonominin sürdürebileceğine inanıyor. Bazı Cisco araştırmacıları yeraltı. Moss, Cisco açıklarını kullanan herhangi bir kodun, bir güvenlik şirketi veya devlet kurumuna satmak yerine bulgularını ifşa etmeyi seçen herhangi bir bilgisayar korsanının çok fazla para bıraktığını öylesine ödüllendirdi. Mike Lynn'in savunmasızlığı 250.000 ABD doları değerindeydi, diye düşünüyor.

Ama bu yıl işler başladı. Black Hat organizatörleri, Cisco yönlendiricileri ve çalıştırdıkları Internetwork İşletim Sistemi üzerinde üç görüşme planlıyorlar. Moss, "Bu sene aniden bir sürü şey parçalanıyor," diyor Moss.

Son zamanlarda, Microsoft Windows artık bir zamanlar olduğu gibi böcek avı için verimli bir zemin oluşturmuyor, araştırmacılar diğer ürünleri hacklemek için arıyorlar. Ve Cisco'nun yönlendiricileri ilginç bir hedef. Araştırma firması IDC'ye göre yönlendirici pazarının yüzde 60'ından fazlasını yönetiyorlar.

"Ağa sahipseniz, şirkete sahip olursunuz" diyen COLT Telecom, ağ mühendisliği ve güvenlik üst düzey yöneticisi Nicolas Fischbach veri servis sağlayıcısı. "Windows PC'ye sahip olmak artık gerçekten bir öncelik değil."

Ancak Cisco'nun yönlendiricileri Windows'dan daha zor bir hedef oluşturuyor. Hacker'lar tarafından iyi tanınmıyorlar ve pek çok konfigürasyonda geliyorlar, bu yüzden bir yönlendiriciye yapılan saldırı bir saniyede başarısız olabilir. Bir başka fark da Cisco yöneticilerinin yazılımları sürekli olarak indirip çalıştırmamasıdır.

Son olarak, Cisco son yıllarda internet üzerinden yönlendiricilere karşı başlatılabilen saldırıların sayısını azaltmak için çok fazla çalışma yaptı. Fischbach. “Ağ hizmetlerine karşı kullanabileceğiniz tüm temel, gerçekten kolay istismarlar gerçekten gitti” dedi. Kurumsal ağınızın dışından bir kişi tarafından saldırıya uğrayan iyi yapılandırılmış bir yönlendiriciye sahip olma riski "gerçekten düşük".

Güvenlik araştırmacılarının en son ürününü engellemedi.

İki ay önce Çekirdek Güvenlik araştırmacısı Sebastian Muniz Cisco yönlendiricileri için tespit edilmesi zor olan rootkit programlarının oluşturulmasının yeni yollarını gösterdi ve bu hafta meslektaşı Ariel Futoransky, şirketin bu alanda yaptığı araştırmaya bir Siyah Şapka güncellemesi verecek.

Ayrıca, Londra merkezli bir güvenlik danışmanlığı olan Bilgi Riski Yönetimi'nden (IRM) iki araştırmacı, GNU Debugger'ın değiştirilmiş bir sürümünü serbest bırakmayı planlamaktadır. Bu, Hacker IOS yazılımının kodlarını işlediğinde ve üç kabuk kodu programında korsanlara ne olduğu hakkında bir fikir vermektedir. Cisco yönlendiricisini kontrol etmek için kullanılabilir.

IRM araştırmacıları Gyan Chawdhary ve Varun Uppal, Lynn'in çalışmalarına ikinci bir bakış attılar. Özellikle, Lynn'in bilgisayar korsanının sistemde izinsiz kod çalıştırmasına izin verecek değişiklik türleri için yönlendiricinin belleğini tarayan Check Heap adlı bir IOS güvenlik özelliğini atlatma yolunu yakından incelediler.

Cisco, Lynn'in Heap'i kandırmak için kullandığı tekniği bloke ederken, kodlarını sisteme gizlemenin başka yolları olduğunu keşfettiler. Lynn'in ifşasından sonra Cisco "sadece vektörü yamalı" diyor Chawdhary. “Bir anlamda hata hala devam ediyor.”

Yönlendiricinin belleğinin bir kısmını değiştirerek, Check Heap'ı atlayıp sisteme kabuk kodlarını koyabildiklerini söyledi.

Araştırmacı Lynn, Kendi araştırması mümkün, Felix "FX" Lindner, ayrıca Black Hat'ta Cisco’yu korsanlıktan bahsedecek. Recurity Labs başkanı Lindner, son birkaç aydır beta testi yaptığı CIR (Cisco Incident Response) adlı yeni Cisco adli tıp aracını yayınlamayı planlıyor. Yazılımın ticari bir versiyonu saldırıları tespit edebilecek ve cihazların adli analizini gerçekleştirebilecekken, bir yönlendirici belleğini rootkit'leri kontrol edecek ücretsiz bir sürüm olacak.

Bu yazılım Fischbach gibi network profesyonellerine bir yol gösterecek. Geri dönüp bir Cisco cihazının belleğine bakıp, kurcalanmış olup olmadığına bakın. “Bence bunun için bir kullanım var” dedi. “Bana göre, adli tıp yaptığınızda araç takımının bir parçası, ancak güvenmeniz gereken tek araç bu değil.”

Stewart'ın herhangi bir Cisco saldırıcısı için hala büyük engeller var. Örneğin, birçok saldırgan yönlendiricileri kesmek konusunda isteksizdir, çünkü eğer bir hata yaparlarsa, tüm ağı kesiyorlar. “Bir çeşit geçiş yaptık çünkü hiç kimse kullanmakta oldukları altyapı ile maymun yapmak istemiyor” dedi. "Farklı bir şehre gitmeye çalışırken otobanı berbat etmek gibi."

Cisco'nun şu an büyük bir güvenlik endişesi olmasa da, Stewart hiçbir şeyden ödün vermiyor.

Aslında Firmasının şimdiye kadar şanslı olduğunu kabul etti ve Lindner gibi insanların problem üzerinde çalışmaya başlaması durumunda değişebileceğini biliyor. "Zamanımız var" dedi. "Daha iyi olma fırsatımız var ve saldırı yüzeyini azaltmaya sürekli yatırım yapmalıyız."