Voltam ao Hacker Spotlight

Foi muito tranquilo nos últimos três anos, mas na conferência hacker Black Hat desta semana em Las Vegas, vai haver um pouco de barulho.

Pesquisadores de segurança darão palestras sobre rootkits e novos softwares de hacking e detecção de invasão para os roteadores

Três anos atrás, o pesquisador de segurança Michael Lynn destacou os produtos da Cisco quando falou sobre como ele executava um programa simples de "shellcode" em um roteador sem autorização. A polêmica conversa de Lynn foi a maior história da Black Hat 2005. Ele teve que largar seu emprego para contornar a proibição da empresa em discutir a Cisco, e tanto ele quanto os organizadores da conferência foram rapidamente processados ​​pela Cisco. A empresa de rede argumentou que os slides da apresentação de Lynn continham informações que violavam os direitos de propriedade intelectual da empresa, e a conversa de Lynn foi literalmente arrancada do pacote de materiais da conferência. Em um acordo, o pesquisador foi impedido de discutir seu trabalho, mas cópias de sua apresentação (pdf) foram postadas on-line

[Mais leitura: Melhores caixas NAS para streaming de mídia e backup]

Hoje, o chefe da Cisco O oficial de segurança John Stewart é incrivelmente sincero sobre a experiência, dizendo que sua empresa agiu pelas razões certas - protegendo seus clientes e propriedade intelectual - mas foi longe demais. "Nós fizemos algumas coisas bobas", disse ele. "É por isso que eu pessoalmente patrocinei a Black Hat no nível platina desde então. Porque eu acho que nós tínhamos alguma compensação para fazer."

Lynn não ficou sem trabalho por muito tempo. Ele foi rapidamente arrebatado pela concorrente da Cisco Juniper Networks, mas por alguns anos depois de sua palestra, não houve muita discussão pública sobre o hacking da Cisco, de acordo com Jeff Moss, diretor da Black Hat. Moss acredita que a economia pode ter impulsionado alguns pesquisadores da Cisco no subsolo. Qualquer código que explora as vulnerabilidades da Cisco é tão valorizado que qualquer hacker que opte por divulgar suas descobertas, em vez de vendê-las a uma empresa de segurança ou agência governamental, geralmente está gastando muito dinheiro, disse Moss. A vulnerabilidade de Mike Lynn valia cerca de US $ 250 mil, ele avalia.

Mas este ano as coisas se abriram. Os organizadores da Black Hat planejam três palestras sobre roteadores Cisco e o Sistema Operacional Internetwork que executam. "De repente, neste ano, muita coisa foi se soltando", disse Moss.

Ultimamente, com o Microsoft Windows não sendo mais o solo fértil para a caça aos bugs, os pesquisadores estão procurando outros produtos para hackear. E os roteadores da Cisco são um alvo interessante. Eles comandam mais de 60 por cento do mercado de roteadores, segundo a empresa de pesquisa IDC. "Se você é dono da rede, você é o dono da empresa", disse Nicolas Fischbach, gerente sênior de engenharia de rede e segurança da COLT Telecom. provedor de serviços de dados. "Possuir o Windows PC não é mais uma prioridade."

Mas os roteadores da Cisco são um alvo mais difícil que o Windows. Eles não são tão conhecidos pelos hackers e vêm em muitas configurações, então um ataque em um roteador pode falhar em um segundo. Outra diferença é que os administradores da Cisco não estão constantemente baixando e executando softwares.

Finalmente, a Cisco tem feito muito trabalho nos últimos anos para reduzir o número de ataques que podem ser lançados contra seus roteadores pela Internet, de acordo com Fischbach. "Todas as explorações básicas e realmente fáceis que você poderia usar contra os serviços de rede realmente desapareceram", disse ele. O risco de ter um roteador bem configurado cortado por alguém de fora da sua rede corporativa é "muito baixo".

Isso não impediu a última safra de pesquisadores de segurança.

Dois meses atrás, pesquisador do Core Security, Sebastian Muniz mostrou novas maneiras de criar programas rootkit difíceis de detectar para roteadores Cisco, e nesta semana seu colega, Ariel Futoransky, fará uma atualização da Black Hat sobre a pesquisa da empresa nesta área.

Além disso, dois pesquisadores do Information Risk Management (IRM), uma consultoria de segurança com sede em Londres, planejam lançar uma versão modificada do GNU Debugger, que oferece aos hackers uma visão do que acontece quando o software Cisco IOS processa seu código e três programas de código de shell. que pode ser usado para controlar um roteador Cisco.

Os pesquisadores Gyan Chawdhary e Varun Uppal do IRM deram uma segunda olhada no trabalho de Lynn. Em particular, eles analisaram de perto a maneira como Lynn conseguiu contornar um recurso de segurança do IOS chamado Check Heap, que examina a memória do roteador para o tipo de modificação que permitiria a um hacker executar código não autorizado no sistema.

Eles descobriram que, embora a Cisco tenha bloqueado a técnica que Lynn costumava enganar o Check Heap, ainda havia outras maneiras de inserir seu código no sistema. Após a revelação de Lynn, a Cisco "simplesmente corrigiu o vetor", disse Chawdhary. "De certa forma, o bug ainda permanece."

Ao modificar uma parte da memória do roteador, eles conseguiram contornar o Check Heap e executar o shellcode no sistema, disse ele.

O pesquisador Lynn creditou-se em fazer sua sua própria pesquisa possível, Felix "FX" Lindner, também estará falando sobre o hacking da Cisco na Black Hat. Lindner, diretor da Recurity Labs, planeja lançar sua nova ferramenta forense da Cisco, chamada CIR (Cisco Incident Response), que ele testou nos últimos meses. Haverá uma versão gratuita, que irá verificar a memória de rootkits de um roteador, enquanto uma versão comercial do software será capaz de detectar ataques e realizar análises forenses dos dispositivos.

Este software dará aos profissionais de redes como Fischbach uma maneira para voltar e ver a memória de um dispositivo Cisco e ver se ele foi adulterado. "Eu acho que há um uso para isso", disse ele. "Para mim, é parte do kit de ferramentas quando você faz a análise forense, mas não é a única ferramenta em que você deve confiar."

Ainda há grandes barreiras para qualquer invasor da Cisco, diz Stewart. Por exemplo, muitos invasores relutam em hackear roteadores, porque se cometerem um erro, eles eliminam toda a rede. "Nós meio que conseguimos um passe porque ninguém quer brincar com a infraestrutura que eles estão usando", disse ele. “É como estragar a estrada enquanto você está tentando ir para uma cidade diferente.”

Embora a Cisco possa não ter grandes preocupações de segurança agora, Stewart não aceita nada como garantido.

Na verdade, ele também admitiu que sua empresa teve sorte até agora e ele sabe que isso pode mudar se pessoas suficientes como Lindner começarem a trabalhar no problema. "Temos tempo", disse ele. "Temos a oportunidade de sermos melhores e devemos investir continuamente na redução da superfície de ataque".