Маршрутизаторы Cisco снова используют хакерский прожектор

В хакерской сцене Cisco есть был довольно тихим в течение последних трех лет, но на этой неделе в хакерской конференции Black Hat в Лас-Вегасе будет немного шума.

Исследователи безопасности расскажут о руткитах и ​​новом программном обеспечении для хакерства и обнаружения вторжений для маршрутизаторов которые несут большую часть трафика в Интернете.

Три года назад исследователь по безопасности Майкл Линн осветил прожектор на продуктах Cisco, когда рассказал о том, как он управлял простой программой «shellcode» на маршрутизаторе без разрешения. Конфликтный разговор Линна был самой большой историей в Black Hat 2005. Ему пришлось уйти с работы на день, чтобы обойти запрет компании на обсуждение Cisco, и как он, так и организаторы конференции были быстро привлечены к ответственности со стороны Cisco. Сетевая компания утверждала, что слайды презентации Линна содержат информацию, которая нарушала права интеллектуальной собственности компании, а разговор Линна был буквально вырван из пакета материалов конференции. В соглашении об урегулировании исследователю было запрещено обсуждать его работу, но копии его презентации (pdf) были опубликованы в Интернете.

[Подробнее читайте: Лучшие NAS-боксы для потоковой передачи и резервного копирования мультимедиа]

Сегодня глава Cisco Сотрудник службы безопасности Джон Стюарт замечательно относится к этому опыту, говоря, что его компания действовала по правильным причинам - защищая своих клиентов и интеллектуальную собственность, - но зашла слишком далеко. «Мы сделали какие-то глупые вещи», - сказал он. «Вот почему я лично спонсировал Black Hat на платиновом уровне с тех пор, потому что я думаю, что у нас было какое-то искупление».

Линн долго не оставалась без работы. По словам Джеффа Мосса, директора Black Hat, он был быстро схвачен конкурентом Cisco Juniper Networks, но в течение нескольких лет после его разговора не было публичного обсуждения взлома Cisco.

Мосс считает, что экономика, возможно, некоторые исследователи Cisco подпольно. Любой код, который использует уязвимости Cisco, настолько ценен, что любой хакер, который решает раскрыть свои данные, а не продает их службе безопасности или государственному агентству, часто отказывается от больших денег, сказал Мосс. Уязвимость Майка Линна стоила около 250 000 долларов США, считает он.

Но в этом году все открылось. Организаторы Black Hat планируют провести три беседы о маршрутизаторах Cisco и операционной сети Internetwork, которые они запускают. «Внезапно в этом году многие вещи разрываются», - сказал Мосс.

В последнее время, когда Microsoft Windows больше не является благодатной почвой для поиска ошибок, которые когда-то были, исследователи смотрят на другие продукты, чтобы взломать. Маршрутизаторы Cisco - интересная цель. Согласно данным исследовательской фирмы IDC, они владеют более чем 60 процентами рынка маршрутизаторов.

«Если вы владеете сетью, вы владеете компанией», - сказал Николас Фишбах, старший менеджер по сетевому проектированию и безопасности с COLT Telecom, европейским поставщик услуг передачи данных. «Владение ПК с Windows больше не является приоритетом».

Но маршрутизаторы Cisco делают более жесткую задачу, чем Windows. Они не так хорошо известны хакерам, и они бывают разных конфигураций, поэтому атака на одном маршрутизаторе может оказаться неудачной на секунду. Еще одно отличие заключается в том, что администраторы Cisco не постоянно загружают и запускают программное обеспечение.

Наконец, в последние годы Cisco проделала большую работу, чтобы сократить количество атак, которые могут быть запущены против своих маршрутизаторов из Интернета, согласно Fischbach. «Все основные, действительно легкие подвига, которые вы можете использовать против сетевых сервисов, действительно исчезли», - сказал он. Риск наличия хорошо настроенного маршрутизатора, взломанного кем-то из-за пределов вашей корпоративной сети, «очень низок».

Это не остановило новейших исследователей безопасности.

Два месяца назад исследователь Core Security Себастьян Мунис продемонстрировали новые способы создания труднодоступных руткит-программ для маршрутизаторов Cisco, и на этой неделе его коллега Ариэль Футорански предоставит обновление Black Hat по исследованиям компании в этой области.

Кроме того, два исследователя из Information Risk Management (IRM), консультант по вопросам безопасности, базирующийся в Лондоне, планируют выпустить модифицированную версию GNU Debugger, которая дает хакерам представление о том, что происходит, когда программное обеспечение Cisco IOS обрабатывает свой код и три программы шелководства, которые могут использоваться для управления маршрутизатором Cisco.

Исследователи IRM Гьян Чаудхари и Варун Уппал сделали второй взгляд на работу Линна. В частности, они внимательно изучили то, как Линн смог обойти функцию безопасности IOS под названием Check Heap, которая сканирует память маршрутизатора для типа модификаций, позволяющих хакеру запускать в системе несанкционированный код.

Они обнаружили, что в то время как Cisco заблокировала технику, которую Линн обманула Check Heap, все же были другие способы проникнуть в систему. После раскрытия Линн Cisco «просто залатала вектор», - сказал Чаудхари. «В некотором смысле ошибка все еще остается».

Модифицируя одну часть памяти маршрутизатора, они смогли обойти Check Heap и запустить свой шелл-код в системе, сказал он.

Исследователь Линн приписывал свои собственные исследования, Феликс «FX» Линднер, также будет говорить о взломе Cisco в Black Hat. Линднер, глава Лаборатории по восстановлению, планирует выпустить свой новый инструмент Cisco forensics под названием CIR (Cisco Incident Response), который он тестировал в течение последних нескольких месяцев. Будет бесплатная версия, которая проверит память маршрутизатора для руткитов, в то время как коммерческая версия программного обеспечения сможет обнаруживать атаки и выполнять криминалистический анализ устройств.

Это программное обеспечение предоставит сетевым специалистам, таким как Fischbach, путь вернуться и посмотреть на память устройства Cisco и посмотреть, было ли это вмешательство. «Я думаю, что для этого есть смысл», - сказал он. «Для меня это часть инструментария, когда вы делаете экспертизу, но это не единственный инструмент, на который вы должны положиться».

По-прежнему существуют серьезные барьеры для любого атакующего Cisco, говорит Стюарт. Например, многие злоумышленники неохотно взломают маршрутизаторы, потому что, если они ошибаются, они выбивают всю сеть. «Мы вроде получим пропуск, потому что никто не хочет обезьяны с инфраструктурой, которую они используют», - сказал он. «Похоже на то, что вы нажмете автостраду, пока вы пытаетесь отправиться в другой город».

Хотя у Cisco, возможно, нет серьезных забот о безопасности прямо сейчас, Стюарт ничего не принимает как должное.

Фактически, он также признал, что его компании повезло до сих пор, и он знает, что может измениться, если такие люди, как Линднер, начнут работать над проблемой. «У нас есть время», - сказал он. «У нас есть возможность быть лучше, и мы должны постоянно инвестировать в снижение уровня атаки».