Cisco-klokkenluider zal voortaan zijn mond houden
Beveiligingsexpert Michael Lynn hield afgelopen woensdag op de Black Hat-conferentie in Las Vegas een opmerkelijke presentatie over bugs in routers van Cisco. Om de lezing te kunnen geven, nam hij enkele uren daarvoor zelfs ontslag bij zijn werkgever Internet Security Systems (ISS). ISS had de lezing willen terugtrekken omdat het onderzoek nog niet helemaal voltooid zou zijn. Daarop besloot Lynn van ISS zijn eigen koers te varen. Inmiddels heeft de beveiligingsexpert alsnog moeten buigen voor Cisco en zijn ex-werkgever. In een schikking heeft hij afgesproken nooit meer over de kwestie te zullen praten.
Tijdens de lezing vertelde Lynn over een veiligheidslek in de routers van Cisco, een van de grootste toeleveranciers van de infrastructuur van het internet. Hij zei het belangrijk te vinden dat informatie hierover in de openbaarheid zou komen omdat netwerken hierdoor kwetsbaar zouden zijn. Cisco dacht daar aanmerkelijk anders over en sommeerde Lynn en de organisatoren van de Black Hat-conferentie om in het vervolg over deze kwestie te zwijgen. Tevens moet Lynn de broncode die hij nog in zijn bezit heeft teruggeven aan Cisco. Cisco heeft zich enorme inspanningen getroost om de schade binnen de perken te houden. Zo zette het mensen in om de bladzijden over Lynns presentatie uit de conferentiestukken te scheuren. Tevens werd een cd met onder meer de presentatie van Lynn vervangen. Cisco heeft verklaard dat het onderzoek van Lynn voorbarig was en dat het binnenkort met meer informatie komt.
Inmiddels staat een aantal van de dia's uit Lynns presentatie toch online. De slideshow vertoont grote overeenkomst met die van Lynn, maar wijkt op een belangrijk punt af. De dia's bevatten allemaal het logo van ISS. Het lijkt erop dat dit kopieën van de orginele dia’s zijn uit de lezing die ISS van plan was te geven. Ook bevatten deze dia’s geen link naar Lynns samenvatting, zoals op de Black Hat-conferentie.
Reacties (52)
Nee, natuurlijk zit er geen lek in Cisco apparatuur, maar van Cisco mag de wereld dat natuurlijk niet weten.Hij zei het belangrijk te vinden dat informatie hierover in de openbaarheid zou komen omdat netwerken hierdoor kwetsbaar zouden zijn. Cisco dacht daar aanmerkelijk anders over en sommeerde Lynn en de organisatoren van de Black Hat-conferentie om in het vervolg over deze kwestie te zwijgen.
Cisco - Empowering the internet generation
And silencing the competition...
And silencing the competition...
Het lijkt me eigenlijk wel behoorlijk logisch van Sisco, dat men hen de mond snoert. Ze moeten natuurlijk wel met degelijke updates komen en misschien duurde dit voor Lynns te lang.
dit is gewoon gevaarlijk cisco is groot en niet alleen omdat ze veel geld hebben maar 70% van de internet backbone? Draait op CISCO ??
stel je voor dat dat plat ligt dat wordt het uiterst vervelend waneer iemand de macht heeft om dat te doen.
en stel je voor dat over zo'n router je bank verkeer ook gaat (vlan's) en dat je via 1 router ander verkeer kan onderscheppen ... gevolgen zijn niet meer te overzien
stel je voor dat dat plat ligt dat wordt het uiterst vervelend waneer iemand de macht heeft om dat te doen.
en stel je voor dat over zo'n router je bank verkeer ook gaat (vlan's) en dat je via 1 router ander verkeer kan onderscheppen ... gevolgen zijn niet meer te overzien
Daarom gaat AMS-IX vandaag nog over op Sweex 
AMS-IX draait niet op Cisco....
De nuancering is dat je lokaal access tot de router nodig hebt. Eerste zaak in beveiliging van een netwerk is de fysieke beveiliging van de apparatuur.
Zo'n drama is het dus inderdaad niet behalve voor de naam van cisco als dit verder gaat.
Zo'n drama is het dus inderdaad niet behalve voor de naam van cisco als dit verder gaat.
Er zal toch wel remote op zitten?
Er zal toch wel remote op zitten?
Remote toegang aanzetten op routers die rechtstreeks aan het internet hangen? Dacht het niet. Lijkt me hetzelfde als RDP open zetten op een Windows server die aan het internet hangt...
Zelfs op ons interne netwerk hebben we de toegang tot de routers en switches beperkt tot 2 netwerken, waarmee we 95% van de gebruikers potentiele toegang tot deze apparatuur ontzeggen.
Remote toegang aanzetten op routers die rechtstreeks aan het internet hangen? Dacht het niet. Lijkt me hetzelfde als RDP open zetten op een Windows server die aan het internet hangt...
Zelfs op ons interne netwerk hebben we de toegang tot de routers en switches beperkt tot 2 netwerken, waarmee we 95% van de gebruikers potentiele toegang tot deze apparatuur ontzeggen.
Waar staat dat?De nuancering is dat je lokaal access tot de router nodig hebt.
En waarom maakt Cisco er dan zo'n ophef over?
Hoe kom jij er nou weer bij dat dat lokaal moet gebeuren? Kun je dat onderbouwen? Beetje onzinnig overigens want je kan lokaal ook alle settings wissen en vervolgens je eigen config er in kloppen zonder dat je wachtwoorden hoeft te weten.
nee hoor,
Met het commando
No service password-recovery
Is dit niet meer mogelijk.
Break tijdens het booten (om op de rommon prompt te komen) werkt dan niet meer.
Dus kun je de bestaande config niet meer omzeilen.
Met het commando
No service password-recovery
Is dit niet meer mogelijk.
Break tijdens het booten (om op de rommon prompt te komen) werkt dan niet meer.
Dus kun je de bestaande config niet meer omzeilen.
is dit dom weg niet gewoon fraude of wat dan ook?
Wel, als het allemaal zo voorbarig was, dan zou er toch nauwelijks een veiligheidsrisico zijn?Cisco heeft verklaard dat het onderzoek van Lynn voorbarig was en dat het binnenkort met meer informatie komt.
Of is Cisco gewoon bang een (goede?) naam te verliezen? Hoewel: als het onterecht is, is dat ook zo uitgeprobeerd lijkt me
Ik neem aan dat ze met "voorbarig" bedoelen dat ze niet de in de sector gebruikelijke hoeveelheid tijd hebben gekregen om met een patch te komen vóórdat het lek openbaar gemaakt wordt. Indien iemand met dit soort dingen op een tendieuze manier publiek gaat terwijl het bedrijf in kwestie nog serieus al het mogelijke doet om het lek zo snel mogelijk te dichten, wordt dat als voorbarig en onverstandig gezien.Wel, als het allemaal zo voorbarig was, dan zou er toch nauwelijks een veiligheidsrisico zijn?
Met voorbarig bedoelen ze denk ik: we hebben het probleem nog niet opgelost en als het nu naar buiten komt dan zijn onze produkten inderdaad kwetsbaar. Als we de fix geschreven en gedistribueerd hebben, dan mag de wereld weten wat er mis ging.
Cisco laat zich erg kennen. Maar die kerel die riskeert wel heel veel om dit naar buiten te brengen. De vraag is: hoe schokkend is het echt, hoe uitvoerbaar zijn de exploits die hij beschrijft? En ook belangrijk: doet hij de wereld een dienst door dit publiekelijk kenbaar te maken? Je kan hem zien als "klokkenluider", maar als je echt ongerust bent over de mogelijke gevolgen van dit soort exploits, meld je het dan niet gewoon aan degene die het kan fixen, en probeer je het voor de rest stil te houden om te voorkomen dat een idioot het misbruikt?
Ik bedoel, tuurlijk, het probleem is van Cisco, maar hij vertelt de wereld hoe ze misbruik kunnen maken van dit soort zaken. Ik vraag me af wie er bij gebaat is dat dit wereldkundig gemaakt wordt... Een grootaandeelhouder Juniper?
Cisco laat zich erg kennen. Maar die kerel die riskeert wel heel veel om dit naar buiten te brengen. De vraag is: hoe schokkend is het echt, hoe uitvoerbaar zijn de exploits die hij beschrijft? En ook belangrijk: doet hij de wereld een dienst door dit publiekelijk kenbaar te maken? Je kan hem zien als "klokkenluider", maar als je echt ongerust bent over de mogelijke gevolgen van dit soort exploits, meld je het dan niet gewoon aan degene die het kan fixen, en probeer je het voor de rest stil te houden om te voorkomen dat een idioot het misbruikt?
Ik bedoel, tuurlijk, het probleem is van Cisco, maar hij vertelt de wereld hoe ze misbruik kunnen maken van dit soort zaken. Ik vraag me af wie er bij gebaat is dat dit wereldkundig gemaakt wordt... Een grootaandeelhouder Juniper?
Alleen conclusies kunnen voorbarig zijn. En je laat als serieus bedrijf het houden van presentaties waar je naam in genoemd wordt niet over aan een onbenullige roeptoeter, maar aan een betrouwbare medewerker. Van zo'n medewerker mag je verwachten dat die de zaak eerst intern aan de orde stelt, en pas bij een oostindisch doof gehoor zijn verantwoordelijkheid als burger neemt en publiek gaat. Als zo'n medewerker vervolgens onder bedreiging met advocatenterreur belet wordt die risico's bekend te maken op een bonafide forum, dan zou ik, als essentiële bedrijfsprocessen via apparatuur van Cisco liepen, die apparatuur terstond laten vervangen en nooit meer een product van die firma binnen halen. Niet omdat er een veiligheidslek in zit - dat kan de beste merken gebeuren -, maar omdat men blijkbaar risico's geheim wil houden en mij als gebruikend bedrijf daarmee verhinderd rekening met die risico's te houden.
Cisco gaat wel erg ver, zelfs bij het raadplegen van de dia's die op de server van tweakers.net staan krijg ik de mededeling "Forbidden". 
Het is een beetje een warrig verhaal, even kijken of ik het snap:
1. Michael Lynn doet voor het bedrijf waar hij werkt onderzoek naar Cisco lekken
2. Ze vinden blijkbaar iets belangrijks en willen een presentatie gaan houden over de gevonden feiten
3. Als Cisco dit hoort, zijn ze niet blij en oefenen ze druk uit op ISS om de lezing te voorkomen
4. ISS zwicht, maar Michael Lynn niet en neemt ontslag om toch de lezing te geven
5. Cisco weet via juridische (??) weg Michael Lynn te verplichten nooit over de fouten te praten. Dit begrijp ik dus niet, waar is de Freedom of Speach? Komt dit omdat hij code heeft reverse-engineered?
6. Iemand (bij ISS of wellicht Michael Lynn zelf) lekt de orginele presentatie toch.
7. In dit PDF (heapoverflows, stackoverflows etc) staat dus uitgelegd hoe je 'World Domination' kan vergaren door Cisco routers te hacken?
conclusie: alles wat Cisco wilde voorkomen is nu toch openbaar met veel meer nadruk (in reguliere media) dan anders? Tweakers spreekt over een 'aantal' dia's die toch online staan. Het lijkt mij vrij uitgebreid, of mist hier essentiele informatie?
1. Michael Lynn doet voor het bedrijf waar hij werkt onderzoek naar Cisco lekken
2. Ze vinden blijkbaar iets belangrijks en willen een presentatie gaan houden over de gevonden feiten
3. Als Cisco dit hoort, zijn ze niet blij en oefenen ze druk uit op ISS om de lezing te voorkomen
4. ISS zwicht, maar Michael Lynn niet en neemt ontslag om toch de lezing te geven
5. Cisco weet via juridische (??) weg Michael Lynn te verplichten nooit over de fouten te praten. Dit begrijp ik dus niet, waar is de Freedom of Speach? Komt dit omdat hij code heeft reverse-engineered?
6. Iemand (bij ISS of wellicht Michael Lynn zelf) lekt de orginele presentatie toch.
7. In dit PDF (heapoverflows, stackoverflows etc) staat dus uitgelegd hoe je 'World Domination' kan vergaren door Cisco routers te hacken?
conclusie: alles wat Cisco wilde voorkomen is nu toch openbaar met veel meer nadruk (in reguliere media) dan anders? Tweakers spreekt over een 'aantal' dia's die toch online staan. Het lijkt mij vrij uitgebreid, of mist hier essentiele informatie?
Voordat je de broncodes in je bezit krijgt, worden vaak afspraken gemaakt over het gebruik daarvan, waarschijnlijk heeft hij die via zijn werkgever iss gekregen en om ongesproken redenen is iss gezwicht voor cisco.
Reverse engineer lijkt me niet echt want dan was dat wel veel groter in de media gekomen.
Reverse engineer lijkt me niet echt want dan was dat wel veel groter in de media gekomen.
Zal ie vast niet via zijn werkgever hebben. Cisco geeft niet zomaar hun broncode uit. Er is toen ooit eens broncode gelekt van cisco heeft ook nog hier op tweakers gestaan.
Vind ik altijd wel *grappig*: moet hij dan een kopie doorsturen naar Cisco? Of komen ze thuis al z'n cd'tjes nazoeken op kopiesTevens moet Lynn de broncode die hij nog in zijn bezit heeft teruggeven aan Cisco.
Ze weten natuurlijk nooit zeker of hij niet ergens nog een kopietje bewaard heeft maar dit is de juridische manier om te voorkomen dat hij ooit nog de betreffende code kan gebruiken in voorbeelden of presentaties.
Als hij later namelijk met voorbeelden van de betreffende code komt kan cisco hem verder aanklagen omdat hij blijkbaar niet alle code heeft overgedragen, zoals hem opgedragen was.
Oftewel je kan het daarna nog wel in je bezit hebben maar je kan er echter niks meer mee doen.
Als hij later namelijk met voorbeelden van de betreffende code komt kan cisco hem verder aanklagen omdat hij blijkbaar niet alle code heeft overgedragen, zoals hem opgedragen was.
Oftewel je kan het daarna nog wel in je bezit hebben maar je kan er echter niks meer mee doen.
als die vent het zo belangrijk vind dat men die dingen moet weten had ie alle kans om zn documenten redundant op internet te verspreiden via verscheidene websites.
nee hij vindt dat ie zelfs ontslag moet nemen alsof ie zo een grote last meedraagt.
nee hij vindt dat ie zelfs ontslag moet nemen alsof ie zo een grote last meedraagt.
Hij wilde het bekend maken aan een select groepje mensen, en niet op internet gooien waar jan en alleman het kan lezen.
Het is een ongeschreven regel onder de professionele IT beveiligers om de makers van software danwel hardware eerst in te lichten en de klok pas te luiden als de leverancier duidelijk verzuimt actie te ondernemen. De makers van software/hardware worden geacht de credits te geven aan de ontdekker van de gevonde zwakheid in de beveiliger.
Soms zit een zwakheid zo diep in het ontwerp van een product, dat het lang kan duren voordat het is opgelost. Een voortijdige openbaring draagt dan niet bij aan de oplossing, maar verergert het probleem.
Het lijkt hier te gaan om een beveiligingsfreak die meer met z'n eigen ego bezig was (wellicht bang dat iemand anders met de eer ging strijken), danwel overreageerde op een ontdekte zwakheid bij Cisco. Zo'n ondoordachte actie draagt niet bij aan de veiligheid van het internet. Het is te vergelijken met een brand proberen te blussen met een emmer benzine.
Goede actie om deze paniekzaaier te mond te snoeren.
Soms zit een zwakheid zo diep in het ontwerp van een product, dat het lang kan duren voordat het is opgelost. Een voortijdige openbaring draagt dan niet bij aan de oplossing, maar verergert het probleem.
Het lijkt hier te gaan om een beveiligingsfreak die meer met z'n eigen ego bezig was (wellicht bang dat iemand anders met de eer ging strijken), danwel overreageerde op een ontdekte zwakheid bij Cisco. Zo'n ondoordachte actie draagt niet bij aan de veiligheid van het internet. Het is te vergelijken met een brand proberen te blussen met een emmer benzine.
Goede actie om deze paniekzaaier te mond te snoeren.
Het betreft hier dan ook een black hat conferentieHet is een ongeschreven regel onder de professionele security beveiligers om de makers van software danwel hardware eerst in te lichten en de klok pas te luiden als de leverancier duidelijk verzuimt actie te ondernemen.
Vraag mij af wat de grote van de som zwijggeld was die de man heeft ontvangen om nooit meer over de kwestie te praten. Want je kunt mij niet wijsmaken dat Cisco Sytems de man heeft om kunnen ''praten'' en even lief heeft gevraagd om de zaak te laten rusten. Of ze hebben gedreigt hem voor de rechter te slepen maar daar zou veel meer risico aan zitten en ook veel meer publiciteit.
Een dreigbrief van een dure advocaat doet in Amerika wonderen. Toegeven is goedkoper dan het inhuren van een eigen advocaat, zeker als je als Jan Modaal geen verloren zaak wilt verdedigen tegen dure corporate lawyers.
Zoek de fout, netwerken kunnen kwetsbaar zijn, en dan gaan we dit allemaal maar ff rondbazuinen juist op een black-hat conferentie, ipv een white-hat. kwestie van de kippen te slachten en voor de vossen te gooienBeveiligingsexpert Michael Lynn hield afgelopen woensdag op de Black Hat-conferentie in Las Vegas een opmerkelijke presentatie over bugs in routers van Cisco.
...
Hij zei het belangrijk te vinden dat informatie hierover in de openbaarheid zou komen omdat netwerken hierdoor kwetsbaar zouden zijn.
Zoek de fout2.Beveiligingsexpert Michael Lynn hield afgelopen woensdag op de Black Hat-conferentie in Las Vegas ...
Ook bevatten deze dia’s geen link naar Lynns samenvatting, zoals op de Red Hat-conferentie.
op de conferentie zijn de bugs WEL gegeven en de dia's die online staan niet
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Asus Samsung Websites en communities Mobiele telefoons Laptops Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
