Cisco Router erneut Hacker Spotlight

Die Cisco Hacking-Szene hat In den letzten drei Jahren war es ziemlich ruhig, aber auf der Black Hat-Hacker-Konferenz in Las Vegas wird es ein wenig Lärm geben.

Sicherheitsforscher werden Vorträge über Rootkits und neue Hacker- und Intrusion-Detection-Software für die Router halten die meisten Datenströme des Internets.

Vor drei Jahren hat der Sicherheitsforscher Michael Lynn die Produkte von Cisco ins Rampenlicht gerückt, als er darüber sprach, wie er ein einfaches "Shellcode" -Programm ohne Autorisierung auf einem Router laufen ließ. Lynns umstrittener Vortrag war die größte Geschichte bei Black Hat 2005. Er musste seinen Job aufgeben, um ein Firmenverbot für Diskussionen über Cisco zu umgehen, und sowohl er als auch die Organisatoren der Konferenz wurden schnell von Cisco verklagt. Das Netzwerkunternehmen argumentierte, dass die Präsentationsfolien von Lynn Informationen enthielten, die gegen die Rechte des Unternehmens an geistigem Eigentum verstoßen, und Lynns Vortrag wurde buchstäblich aus dem Paket der Konferenzmaterialien herausgerissen. In einer Vergleichsvereinbarung wurde dem Forscher die weitere Diskussion seiner Arbeit untersagt, Kopien seiner Präsentation (pdf) wurden jedoch online veröffentlicht.

[Weiterführende Literatur: Beste NAS-Boxen für Media-Streaming und Backup]

Heute Cisco Chief Sicherheitsbeauftragter John Stewart ist bemerkenswert aufrichtig über die Erfahrung und sagte, dass sein Unternehmen aus den richtigen Gründen handelte - seinen Kunden und geistiges Eigentum zu schützen - aber ging zu weit. "Wir haben irgendwelche dummen Sachen gemacht", sagte er. "Deshalb sponsere ich Black Hat seitdem auf Platin-Ebene. Weil ich glaube, wir hatten etwas zu tun."

Lynn war lange nicht ohne Job. Er wurde schnell von Cisco Wettbewerber Juniper Networks geschnappt, aber für ein paar Jahre nach seinem Vortrag, gab es nicht viel öffentliche Diskussion über Cisco Hacking, nach Jeff Moss, Black Hat Direktor.

Moss glaubt, dass die Wirtschaft getrieben haben könnte einige Cisco-Forscher untertage. Jeder Code, der Cisco-Sicherheitslücken ausnutzt, ist so wertvoll, dass jeder Hacker, der sich entschließt, seine Ergebnisse offenzulegen, anstatt sie an eine Sicherheitsfirma oder Regierungsbehörde zu verkaufen, oft viel Geld aufgibt, sagte Moss. Mike Lynns Verwundbarkeit sei ungefähr 250.000 US-Dollar wert, meint er.

Aber dieses Jahr haben sich die Dinge geöffnet. Black Hat-Organisatoren planen drei Vorträge über Cisco-Router und das von ihnen betriebene Internetwork-Betriebssystem. "In diesem Jahr ist plötzlich viel los", sagte Moss.

Da Microsoft Windows nicht länger der fruchtbare Boden für die Fehlersuche war, die es einmal war, suchen die Forscher nach anderen Produkten, die sie hacken können. Und Cisco Router sind ein interessantes Ziel. Laut IDC verfügen sie über mehr als 60 Prozent des Router-Marktes.

"Wenn Sie das Netzwerk besitzen, besitzen Sie das Unternehmen", sagte Nicolas Fischbach, Senior Manager für Netzwerk-Engineering und Sicherheit bei COLT Telecom, einem europäischen Unternehmen Datendienstanbieter. "Den Windows-PC zu besitzen, hat keine wirkliche Priorität mehr."

Aber die Router von Cisco sind ein schwierigeres Ziel als Windows. Sie sind Hackern nicht so bekannt und sie kommen in vielen Konfigurationen vor, so dass ein Angriff auf einen Router auf einmal fehlschlagen kann. Ein weiterer Unterschied ist, dass Cisco-Administratoren nicht ständig Software herunterladen und ausführen.

Schließlich hat Cisco in den letzten Jahren eine Menge Arbeit geleistet, um die Zahl der Angriffe gegen seine Router aus dem Internet zu reduzieren Fischbach. "All die grundlegenden, wirklich einfachen Exploits, die Sie gegen Netzwerkdienste verwenden könnten, sind wirklich weg", sagte er. Das Risiko, dass ein gut konfigurierter Router von jemandem außerhalb Ihres Unternehmensnetzwerks gehackt wird, ist "wirklich niedrig".

Das hat die neueste Generation von Sicherheitsforschern nicht davon abgehalten.

Vor zwei Monaten Core Security-Forscher Sebastian Muniz zeigte neue Wege zum Aufbau von schwer zu erkennenden Rootkit-Programmen für Cisco-Router, und in dieser Woche wird sein Kollege Ariel Futoransky ein Black Hat-Update über die Forschung des Unternehmens in diesem Bereich geben.

Außerdem planen zwei Forscher von Information Risk Management (IRM), einer in London ansässigen Sicherheitsberatungsfirma, eine modifizierte Version des GNU Debuggers, die Hackern einen Überblick darüber gibt, was passiert, wenn Cisco IOS Software ihren Code verarbeitet, und drei Shellcode-Programme das kann verwendet werden, um einen Cisco-Router zu steuern.

Die IRM-Forscher Gyan Chawdhary und Varun Uppal haben sich Lynns Arbeit noch einmal angesehen. Insbesondere haben sie sich genau angeschaut, wie Lynn eine IOS-Sicherheitsfunktion namens Check Heap umgehen konnte, die den Speicher des Routers nach der Art von Modifikationen durchsucht, die es einem Hacker erlauben würden, nicht autorisierten Code auf dem System auszuführen.

Sie stellten fest, dass Cisco zwar die Technik blockiert hatte, mit der Lynn Check Heap austrickste, es aber noch andere Möglichkeiten gab, ihren Code auf das System zu schleusen. Nach Lynns Enthüllung "hat Cisco einfach den Vektor gepatcht", sagte Chawdhary. "In gewissem Sinne bleibt der Fehler bestehen."

Indem sie einen Teil des Speichers des Routers veränderten, konnten sie Check Heap umgehen und ihren Shellcode auf dem System ausführen, sagte er.

Der Forscher Lynn verdankte seinen Erfolg eigene Recherchen möglich, Felix "FX" Lindner, wird auch über Cisco Hacking bei Black Hat sprechen. Lindner, Leiter von Security Labs, plant die Veröffentlichung seines neuen Cisco-Forensik-Tools namens CIR (Cisco Incident Response), das er in den letzten Monaten im Beta-Test getestet hat. Es wird eine kostenlose Version geben, die den Speicher eines Routers auf Rootkits prüft, während eine kommerzielle Version der Software in der Lage ist, Angriffe zu erkennen und eine forensische Analyse der Geräte durchzuführen.

Diese Software wird Netzwerk-Profis wie Fischbach einen Weg geben Zurückgehen und sich die Erinnerung an ein Cisco-Gerät ansehen und sehen, ob es manipuliert wurde. "Ich denke, dass es einen Nutzen dafür gibt", sagte er. "Für mich ist es Teil des Toolkits, wenn Sie Forensik betreiben, aber es ist nicht das einzige Tool, auf das Sie sich verlassen sollten."

Es gibt immer noch große Hindernisse für jeden Cisco-Angreifer, sagt Stewart. Zum Beispiel zögern viele Angreifer, Router zu hacken, weil sie, wenn sie einen Fehler machen, das gesamte Netzwerk ausknocken. "Wir bekommen einen Pass, weil niemand mit der Infrastruktur, die sie benutzen, verkehren will", sagte er. "Es ist so, als würde man die Autobahn verdrehen, während man versucht, in eine andere Stadt zu fahren."

Obwohl Cisco momentan keine größeren Sicherheitsprobleme hat, nimmt Stewart nichts als selbstverständlich hin.

Tatsächlich auch räumte ein, dass seine Firma bisher Glück gehabt habe und er weiß, dass sich das ändern könnte, wenn genug Leute wie Lindner anfangen würden, an dem Problem zu arbeiten. "Wir haben Zeit", sagte er. "Wir haben die Möglichkeit, besser zu werden, und wir sollten kontinuierlich in die Senkung der Angriffsfläche investieren."