Cisco-router tar igjen Hacker-spotlight

Cisco-hackingsscenen har vært ganske stille de siste tre årene, men i denne ukens Black Hat hacker-konferanse i Las Vegas, kommer det til å være litt støy.

Sikkerhetsforskere vil gi samtaler om rootkits og ny programvare for hacking og inntrengingsdeteksjon for ruterne som bærer det meste av internettets trafikk.

For sikkerhetsforsker Michael Lynn ble det for tre år siden skildret på Ciscos produkter da han snakket om hvordan han kjørte et enkelt "shellcode" -program på en ruter uten autorisasjon. Lynns kontroversielle snakk var den største historien ved Black Hat 2005. Han måtte avslutte sin daglige jobb for å omgå et selskapsforbud mot å diskutere Cisco, og både han og konferansearrangørene ble raskt saksøkt av Cisco. Nettverksfirmaet hevdet at Lynns presentasjonssider inneholdt informasjon som brøt selskapets immaterielle rettigheter, og Lynns tale ble bokstavelig talt revet ut av konferansematerialepakken. I en oppgjørsavtale ble forskeren forhindret i å diskutere sitt arbeid, men kopier av sin presentasjon (pdf) ble lagt ut på nettet.

[Videre lesing: Best NAS-bokser for media streaming og backup]

I dag er Cisco Chief Sikkerhetsansvarlig John Stewart er bemerkelsesverdig oppriktig om opplevelsen og sier at hans firma handlet av de riktige årsakene - beskytter sine kunder og immaterielle rettigheter - men gikk for langt. "Vi gjorde noen slags dumme ting," sa han. "Derfor har jeg personlig sponset Black Hat på platinivå siden. Fordi jeg tror vi hadde litt forsoning å gjøre."

Lynn var ikke uten jobb for lenge. Han ble raskt snappet opp av Cisco-konkurrenten Juniper Networks, men for noen år etter at han snakket, var det ikke mye offentlig diskusjon om Cisco-hacking, ifølge Jeff Moss, Black Hats regissør.

Moss mener at økonomi kan ha drevet noen Cisco forskere underjordiske. Enhver kode som utnytter Cisco-sårbarheter, er så verdsatt at enhver hacker som velger å avsløre sine funn, i stedet for å selge dem til et sikkerhetsselskap eller et byrå, ofte gir opp mye penger, sa Moss. Mike Lynn sårbarhet var verdt rundt US $ 250 000, regner han.

Men i år har ting åpnet seg. Black Hat arrangører planlegger tre samtaler om Cisco-rutere og operativsystemet Internetwork som de kjører. "Plutselig i år har mange ting gått løs," sa Moss.

I siste omgang med Microsoft Windows ikke lenger den fruktbare grunnen for bug på jakt etter at den en gang var, ser forskerne på andre produkter å hacke. Og Ciscos rutere er et interessant mål. De styrer mer enn 60 prosent av rutermarkedet, ifølge forskningsfirma IDC.

"Hvis du eier nettverket, eier du selskapet," sa Nicolas Fischbach, senioransvarlig for nettverksteknikk og sikkerhet med COLT Telecom, en europeisk datatjeneste leverandør. "Å eie Windows-PCen er ikke særlig en prioritet lenger."

Men Ciscos rutere gjør et vanskeligere mål enn Windows. De er ikke så velkjente for hackere, og de kommer i mange konfigurasjoner, så et angrep på en ruter kan mislykkes i et sekund. En annen forskjell er at Cisco-administratorer ikke hele tiden laster ned og kjører programvare.

Endelig har Cisco gjort mye arbeid de siste årene for å redusere antall angrep som kan lanseres mot sine rutere fra Internett, ifølge Fischbach. "Alle de grunnleggende, veldig enkle utnytter du kan bruke mot nettverkstjenester er virkelig borte," sa han. Risikoen for å ha en godt konfigurert ruteren hacket av noen fra utenfor bedriftens nettverk er "veldig lav".

Det har ikke avskrekket den siste avlingen av sikkerhetsforskere.

For to måneder siden Core Security forsker Sebastian Muniz viste nye måter å bygge hardt oppdagede rootkit-programmer for Cisco-rutere, og denne uken vil hans kollega, Ariel Futoransky, gi en Black Hat-oppdatering om selskapets forskning på dette området.

I tillegg planlegger to forskere fra Information Risk Management (IRM), en sikkerhetsrådgivning i London, å utgjøre en modifisert versjon av GNU Debugger, som gir hackere en oversikt over hva som skjer når Cisco IOS-programvare behandler sin kode og tre shellcode programmer som kan brukes til å kontrollere en Cisco-router.

IRM-forskere Gyan Chawdhary og Varun Uppal har tatt et nytt blikk på Lynns arbeid. Spesielt tok de en nøye titt på hvordan Lynn kunne kringgå en IOS-sikkerhetsfunksjon som heter Check Heap, som skanner ruterenes minne for typen modifikasjoner som vil tillate at hacker kjører uautorisert kode på systemet.

De oppdaget at mens Cisco hadde blokkert teknikken som Lynn pleide å lure Check Heap, var det fortsatt andre måter å snike sin kode på systemet. Etter Lynns avsløring, Cisco "patched bare vektoren," sa Chawdhary. "På en måte forblir feilen fortsatt."

Ved å endre en del av ruterenes minne, kunne de omgå kontrollhøyden og kjøre skannekoden på systemet, sa han.

Forskeren Lynn krediterte med å lage sin egen forskning mulig, Felix "FX" Lindner, vil også snakke om Cisco hacking på Black Hat. Lindner, leder av Recurity Labs, planlegger å frigjøre sitt nye Cisco Forensics-verktøy, kalt CIR (Cisco Incident Response), som han har beta-testet de siste månedene. Det vil bli en gratis versjon som vil sjekke en ruters minne for rootkits, mens en kommersiell versjon av programvaren vil kunne oppdage angrep og utføre rettsmedisinske analyser av enhetene.

Denne programvaren vil gi nettverksprofessorer som Fischbach en måte å gå tilbake og se på minnet om en Cisco-enhet og se om den har blitt manipulert. "Jeg tror det er bruk for det," sa han. "For meg er det en del av verktøyet når du gjør rettsmedisin, men det er ikke det eneste verktøyet du bør stole på."

Det er fortsatt store barrierer for en Cisco-angriper, sier Stewart. For eksempel er mange angripere motvillige til å hacke rutere, fordi hvis de gjør en feil, slår de ut hele nettverket. "Vi slags få et pass fordi ingen vil ape med infrastrukturen de bruker," sa han. "Det er som å skru opp motorveien mens du prøver å gå til en annen by." Selv om Cisco kanskje ikke har noen store sikkerhetsproblemer akkurat nå, tar Stewart ingenting for gitt.

Faktisk er han også innrømmet at hans firma har vært heldig så langt, og han vet at det kan skje hvis nok folk som Lindner begynner å jobbe med problemet. "Vi har tid," sa han. "Vi har muligheten til å bli bedre, og vi bør kontinuerlig investere i å senke angrepsoverflaten."