Rangkaian Cisco Lagi Ambil Rakasa Hacker

Adegan hacking Cisco

Penyelidik keselamatan akan memberikan ceramah mengenai rootkit dan peretasan baru dan perisian pengesanan pencerobohan untuk router

Tiga tahun yang lalu, penyelidik keselamatan, Michael Lynn menyoroti produk Cisco ketika dia bercakap tentang bagaimana dia menjalankan program "shellcode" yang mudah pada penghala tanpa kebenaran. Ceramah kontroversi Lynn adalah kisah terbesar di Black Hat 2005. Dia terpaksa berhenti kerja seharian untuk menghalang larangan syarikat membincangkan Cisco, dan kedua-dua dia dan penganjur persidangan itu cepat didakwa oleh Cisco. Syarikat rangkaian itu berpendapat bahawa slaid pembentangan Lynn mengandungi maklumat yang melanggar hak harta intelek syarikat, dan perbualan Lynn secara harfiah merobohkan pakej bahan persidangan. Dalam perjanjian penyelesaian, penyelidik telah dihalang daripada membincangkan karyanya lagi, tetapi salinan persembahannya (pdf) diposkan secara dalam talian.

[Bacaan lanjut: Kotak NAS terbaik untuk streaming media dan cadangan]

Hari ini, Ketua Cisco Pegawai Keselamatan John Stewart sangat menonjol tentang pengalaman itu, dengan mengatakan bahawa syarikatnya bertindak atas sebab yang betul - melindungi pelanggan dan harta inteleknya - tetapi terlalu jauh. "Kami melakukan beberapa perkara yang bodoh," katanya. "Itulah sebabnya saya menaja Black Hat di peringkat platinum secara peribadi sejak itu kerana saya fikir kita ada penebusan untuk dilakukan."

Lynn bukan tanpa kerja lama. Dia cepat disambar oleh pesaing Cisco Juniper Networks, tetapi selama beberapa tahun selepas ceramahnya, tidak banyak perbincangan umum mengenai penggodaman Cisco, menurut Jeff Moss, pengarah Black Hat.

Moss percaya bahawa ekonomi mungkin telah didorong beberapa penyelidik Cisco di bawah tanah. Mana-mana kod yang mengeksploitasi kelemahan Cisco sangat berharga bahawa mana-mana penggodam yang memilih untuk mendedahkan penemuannya, daripada menjualnya kepada syarikat keselamatan atau agensi kerajaan, sering memberi banyak wang, kata Moss. Kelemahan Mike Lynn bernilai kira-kira US $ 250,000, dia menganggapnya.

Tetapi tahun-tahun ini telah dibuka. Penyusun Black Hat merancang tiga rundingan mengenai router Cisco dan Sistem Operasi Internetwork yang mereka jalankan. "Secara tiba-tiba tahun ini banyak perkara yang telah rosak," kata Moss.

Pada kebelakangan ini, dengan Microsoft Windows tidak lagi menjadi tanah yang subur untuk memburu bug yang pernah ada, penyelidik melihat produk lain untuk digodam. Dan router Cisco adalah sasaran yang menarik. Mereka memerintahkan lebih daripada 60 peratus daripada pasaran penghala, menurut firma penyelidikan IDC.

"Jika anda memiliki rangkaian, anda memiliki syarikat itu," kata Nicolas Fischbach, pengurus kanan kejuruteraan rangkaian dan keselamatan dengan COLT Telecom, seorang warga Eropah penyedia perkhidmatan data. "Memiliki PC Windows tidak lagi menjadi keutamaan."

Tetapi router Cisco membuat sasaran yang lebih sukar daripada Windows. Mereka tidak begitu terkenal dengan penggodam dan mereka datang dalam banyak konfigurasi, jadi serangan ke atas satu penghala mungkin gagal pada saat yang kedua. Satu lagi perbezaan adalah bahawa pentadbir Cisco tidak sentiasa memuat turun dan menjalankan perisian.

Akhirnya, Cisco telah melakukan banyak kerja dalam beberapa tahun kebelakangan ini untuk mengurangkan bilangan serangan yang boleh dilancarkan terhadap routernya dari Internet, menurut Fischbach. "Semua eksploitasi asas dan mudah yang boleh anda gunakan terhadap perkhidmatan rangkaian benar-benar hilang," katanya. Risiko mempunyai router yang dikonfigurasi dengan baik yang digodam oleh seseorang dari luar rangkaian korporat anda adalah "benar-benar rendah."

Itu tidak menghalang penyelidik keselamatan tanaman terkini.

Dua bulan lalu Penyelidik Keselamatan Core Sebastian Muniz menunjukkan cara baru untuk membina program rootkit yang sukar untuk mengesan router Cisco, dan minggu ini, rakannya, Ariel Futoransky, akan memberikan kemaskini Black Hat pada penyelidikan syarikat di kawasan ini.

Selain itu, dua penyelidik dari Pengurusan Risiko Maklumat (IRM), sebuah perundingan keselamatan yang berpusat di London, merancang untuk melepaskan versi yang diubah suai dari GNU Debugger, yang memberikan penggodam pandangan tentang apa yang berlaku apabila perisian Cisco IOS memproses kod mereka, dan tiga program kod shell yang boleh digunakan untuk mengawal penghala Cisco.

Penyelidik IRM Gyan Chawdhary dan Varun Uppal telah melihat kedua-dua kerja Lynn. Secara khusus, mereka melihat dengan dekat Lynn dapat memintas ciri keselamatan IOS yang dikenali sebagai Check Heap, yang mengimbas memori router untuk jenis pengubahsuaian yang membolehkan seorang hacker menjalankan kod yang tidak dibenarkan pada sistem.

Mereka mendapati bahawa sementara Cisco telah menghalang teknik Lynn yang digunakan untuk menipu Check Heap, masih terdapat cara lain untuk menyelinap kod mereka ke sistem. Selepas pendedahan Lynn, Cisco "hanya menambal vektor," kata Chawdhary.

Perisian ini akan memberikan profesional jaringan seperti Fischbach untuk kembali dan melihat memori peranti Cisco dan lihat jika ia telah diganggu. "Saya rasa ada gunanya," katanya. "Bagi saya, ia adalah sebahagian daripada toolkit apabila anda melakukan forensik, tetapi bukan satu-satunya alat yang anda perlu bergantung."

Masih terdapat halangan utama bagi mana-mana penyerang Cisco, kata Stewart. Sebagai contoh, ramai penyerang enggan mengawal penghala, kerana jika mereka membuat kesilapan, mereka mengetuk keseluruhan rangkaian. "Kami semacam mendapatkan pas kerana tiada siapa yang mahu monyet dengan infrastruktur yang mereka gunakan," katanya.