Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 52 reacties, 24.886 views •
Bron: BBC News

Beveiligingsexpert Michael Lynn hield afgelopen woensdag op de Black Hat-conferentie in Las Vegas een opmerkelijke presentatie over bugs in routers van Cisco. Om de lezing te kunnen geven, nam hij enkele uren daarvoor zelfs ontslag bij zijn werkgever Internet Security Systems (ISS). ISS had de lezing willen terugtrekken omdat het onderzoek nog niet helemaal voltooid zou zijn. Daarop besloot Lynn van ISS zijn eigen koers te varen. Inmiddels heeft de beveiligingsexpert alsnog moeten buigen voor Cisco en zijn ex-werkgever. In een schikking heeft hij afgesproken nooit meer over de kwestie te zullen praten.

Cisco logo (klein)Tijdens de lezing vertelde Lynn over een veiligheidslek in de routers van Cisco, een van de grootste toeleveranciers van de infrastructuur van het internet. Hij zei het belangrijk te vinden dat informatie hierover in de openbaarheid zou komen omdat netwerken hierdoor kwetsbaar zouden zijn. Cisco dacht daar aanmerkelijk anders over en sommeerde Lynn en de organisatoren van de Black Hat-conferentie om in het vervolg over deze kwestie te zwijgen. Tevens moet Lynn de broncode die hij nog in zijn bezit heeft teruggeven aan Cisco. Cisco heeft zich enorme inspanningen getroost om de schade binnen de perken te houden. Zo zette het mensen in om de bladzijden over Lynns presentatie uit de conferentiestukken te scheuren. Tevens werd een cd met onder meer de presentatie van Lynn vervangen. Cisco heeft verklaard dat het onderzoek van Lynn voorbarig was en dat het binnenkort met meer informatie komt.

Inmiddels staat een aantal van de dia's uit Lynns presentatie toch online. De slideshow vertoont grote overeenkomst met die van Lynn, maar wijkt op een belangrijk punt af. De dia's bevatten allemaal het logo van ISS. Het lijkt erop dat dit kopieŽn van de orginele dia’s zijn uit de lezing die ISS van plan was te geven. Ook bevatten deze dia’s geen link naar Lynns samenvatting, zoals op de Black Hat-conferentie.

Reacties (52)

Reactiefilter:-152051+144+213+30
Moderatie-faq Wijzig weergave
Ik begrijp het niet helemaal, Black Hat is toch een Hackers conferentie?
Zijn Hackers niet juist voor vrijheid van informatie?
en toch helpt de organisatie mee met het verzwijgen van (IMO vrij krietieke) informatie?
Hacker:
An expert programmer who uses his skills to break into computer systems or networks just for the fun of it, or to expose security risks. Unlike a cracker, a real hacker doesn't want to harm anybody or anything.
Bron

Vrijgeven = "harm something"; // in dit geval
Happy hacking :)
Het is een beetje een warrig verhaal, even kijken of ik het snap:

1. Michael Lynn doet voor het bedrijf waar hij werkt onderzoek naar Cisco lekken

2. Ze vinden blijkbaar iets belangrijks en willen een presentatie gaan houden over de gevonden feiten

3. Als Cisco dit hoort, zijn ze niet blij en oefenen ze druk uit op ISS om de lezing te voorkomen

4. ISS zwicht, maar Michael Lynn niet en neemt ontslag om toch de lezing te geven

5. Cisco weet via juridische (??) weg Michael Lynn te verplichten nooit over de fouten te praten. Dit begrijp ik dus niet, waar is de Freedom of Speach? Komt dit omdat hij code heeft reverse-engineered?

6. Iemand (bij ISS of wellicht Michael Lynn zelf) lekt de orginele presentatie toch.

7. In dit PDF (heapoverflows, stackoverflows etc) staat dus uitgelegd hoe je 'World Domination' kan vergaren door Cisco routers te hacken?

conclusie: alles wat Cisco wilde voorkomen is nu toch openbaar met veel meer nadruk (in reguliere media) dan anders? Tweakers spreekt over een 'aantal' dia's die toch online staan. Het lijkt mij vrij uitgebreid, of mist hier essentiele informatie?
Voordat je de broncodes in je bezit krijgt, worden vaak afspraken gemaakt over het gebruik daarvan, waarschijnlijk heeft hij die via zijn werkgever iss gekregen en om ongesproken redenen is iss gezwicht voor cisco.
Reverse engineer lijkt me niet echt want dan was dat wel veel groter in de media gekomen.
Zal ie vast niet via zijn werkgever hebben. Cisco geeft niet zomaar hun broncode uit. Er is toen ooit eens broncode gelekt van cisco heeft ook nog hier op tweakers gestaan.
Beveiligingsexpert Michael Lynn hield afgelopen woensdag op de Black Hat-conferentie in Las Vegas een opmerkelijke presentatie over bugs in routers van Cisco.
...
Hij zei het belangrijk te vinden dat informatie hierover in de openbaarheid zou komen omdat netwerken hierdoor kwetsbaar zouden zijn.
Zoek de fout, netwerken kunnen kwetsbaar zijn, en dan gaan we dit allemaal maar ff rondbazuinen juist op een black-hat conferentie, ipv een white-hat. kwestie van de kippen te slachten en voor de vossen te gooien
Beveiligingsexpert Michael Lynn hield afgelopen woensdag op de Black Hat-conferentie in Las Vegas ...

Ook bevatten deze dia’s geen link naar Lynns samenvatting, zoals op de Red Hat-conferentie.
Zoek de fout2.
op de conferentie zijn de bugs WEL gegeven en de dia's die online staan niet
Ter verduidelijking:

"Michael Lynn, formerly a security researcher for Internet Security Solutions (ISS), announced a major flaw in Cisco Internetwork Operating System (IOS) at the BlackHat conference in Las Vegas. Cisco IOS is installed on most routers, making it a foundation of the Internet. The flaw would allow an attacker to gain complete control of a Cisco router and use more subtle tactics, such as a man-in-the-middle attack. Lynn demonstrated a take-over of a Cisco router, but did not reveal the steps to the audience. Cisco fixed the flaw in April 2005, but did not want to release its details until after a year when its next version of IOS would be ready. Cisco and ISS originally approved of Lynn's presentation, but cancelled it at the last minute. In response, Lynn quit his job at ISS, arguing that the flaw was too important to hide since it could be leveraged in attacks against national infrastructures and a second theft of Cisco source code could reveal other flaws."
(http://www.wired.com/news/privacy/0,1848,68328,00.html)

Als ik het goed begrepen heb heeft Cisco het lek al gedicht in april maar omdat veel systeembeheerders de software nog niet geŁpdate hebben leek het hun beter om details over het lek niet bekend te maken.
Nu kun je natuurlijk gaan discussiŽren of dit wel een goede beslissing is omdat veel mensen dus het risico lopen om "aangevallen" te worden maar aan de andere kant weten de mensen die graag hacken nu wel waar de fout zit en lopen de klanten van Cisco volgens mij een nog groter risico.
Met andere woorden, ik heb wel begrip voor de handelswijze van Cisco.
maar omdat veel systeembeheerders de software nog niet geŁpdate hebben leek het hun beter om details over het lek niet bekend te maken.

Dat vind ik wel een erg vreemde vertaling van "but did not want to release its details until after a year when its next version of IOS would be ready"
"Dat vind ik wel een erg vreemde vertaling van "but did not want to release its details until after a year when its next version of IOS would be ready"

Dat is ook geen vertaling van het bovenstaande stukje maar een conclusie van een ander artikel dat ik ergens gelezen heb.
Het gaat er puur om dat Cisco geen details wil prijsgeven voordat het hele OS is aangepast. Waarschijnlijk is hun patch ook maar een tijdelijke oplossing en willen ze misbruik die zwakte in het IOS beperken door niet verder in details te treden.
Wel een verstandige keuze van hun, ook in het belang van hun klanten, als je het mij vraagt.
Het is een ongeschreven regel onder de professionele IT beveiligers om de makers van software danwel hardware eerst in te lichten en de klok pas te luiden als de leverancier duidelijk verzuimt actie te ondernemen. De makers van software/hardware worden geacht de credits te geven aan de ontdekker van de gevonde zwakheid in de beveiliger.

Soms zit een zwakheid zo diep in het ontwerp van een product, dat het lang kan duren voordat het is opgelost. Een voortijdige openbaring draagt dan niet bij aan de oplossing, maar verergert het probleem.

Het lijkt hier te gaan om een beveiligingsfreak die meer met z'n eigen ego bezig was (wellicht bang dat iemand anders met de eer ging strijken), danwel overreageerde op een ontdekte zwakheid bij Cisco. Zo'n ondoordachte actie draagt niet bij aan de veiligheid van het internet. Het is te vergelijken met een brand proberen te blussen met een emmer benzine.

Goede actie om deze paniekzaaier te mond te snoeren.
Het is een ongeschreven regel onder de professionele security beveiligers om de makers van software danwel hardware eerst in te lichten en de klok pas te luiden als de leverancier duidelijk verzuimt actie te ondernemen.
Het betreft hier dan ook een black hat conferentie :Y)
misschien wou cisco er geen zak aan doen en vond deze man, dat een beetje belachelijk voor woorden.
Het lijkt mij tenminste een aktie, dat iemand wat vind, het meld en flink nee op zn dak krijgt. Daardoor is ie misschien zo pissig geraakt, dat ie dacht: als jullie dan zou je kop in het zand steken en ik hier voor jan joker zit, dan stap ik wel op en zeg het wel op die conferentie.
misschien wou cisco er geen zak aan doen en vond deze man, dat een beetje belachelijk voor woorden.
Dat staat ook in die pdf op pag. 34:
Yes and No (Mostly No)
* Cisco is working on this

dus schijnbaar doet cisco er helemaal (nog?) niets aan ..
Ik vrees dat deze Michael Lynn het heeft over een, so called 'build-in backdoor'. Ten behoeve van de amerikaanse overheid.
.
Dat zijn overheidsprojecten die je liever niet op straat hebt liggen.
.
ik heb gisteren geloof ik elke pagina bekeken die hierover gaat en het zit net even iets anders. De bug waar Lynn gebruik van maat is reeds gepatched door cisco. Echter de methode die hij gebruikte is zeer waarschijnlijk ook te gebruiken bij andere memory overflow bugs ed. Het was dus meer als je een bug overflow vindt dan kan je hem zo misbruiken.
Hierdoor gaan hackers dus zoeken naar dit soort overflow bugs daar was cisco het niet mee eens
Hij zei het belangrijk te vinden dat informatie hierover in de openbaarheid zou komen omdat netwerken hierdoor kwetsbaar zouden zijn. Cisco dacht daar aanmerkelijk anders over en sommeerde Lynn en de organisatoren van de Black Hat-conferentie om in het vervolg over deze kwestie te zwijgen.
Nee, natuurlijk zit er geen lek in Cisco apparatuur, maar van Cisco mag de wereld dat natuurlijk niet weten. :)
De nuancering is dat je lokaal access tot de router nodig hebt. Eerste zaak in beveiliging van een netwerk is de fysieke beveiliging van de apparatuur.
Zo'n drama is het dus inderdaad niet behalve voor de naam van cisco als dit verder gaat.
Hoe kom jij er nou weer bij dat dat lokaal moet gebeuren? Kun je dat onderbouwen? Beetje onzinnig overigens want je kan lokaal ook alle settings wissen en vervolgens je eigen config er in kloppen zonder dat je wachtwoorden hoeft te weten.
nee hoor,

Met het commando
No service password-recovery
Is dit niet meer mogelijk.

Break tijdens het booten (om op de rommon prompt te komen) werkt dan niet meer.
Dus kun je de bestaande config niet meer omzeilen.
De nuancering is dat je lokaal access tot de router nodig hebt.
Waar staat dat?
En waarom maakt Cisco er dan zo'n ophef over?
Er zal toch wel remote op zitten?
Er zal toch wel remote op zitten?
Remote toegang aanzetten op routers die rechtstreeks aan het internet hangen? Dacht het niet. Lijkt me hetzelfde als RDP open zetten op een Windows server die aan het internet hangt...
Zelfs op ons interne netwerk hebben we de toegang tot de routers en switches beperkt tot 2 netwerken, waarmee we 95% van de gebruikers potentiele toegang tot deze apparatuur ontzeggen.
Cisco - Empowering the internet generation

And silencing the competition... ;(
dit is gewoon gevaarlijk cisco is groot en niet alleen omdat ze veel geld hebben maar 70% van de internet backbone? Draait op CISCO ??

stel je voor dat dat plat ligt dat wordt het uiterst vervelend waneer iemand de macht heeft om dat te doen.

en stel je voor dat over zo'n router je bank verkeer ook gaat (vlan's) en dat je via 1 router ander verkeer kan onderscheppen ... gevolgen zijn niet meer te overzien
Daarom gaat AMS-IX vandaag nog over op Sweex :+
AMS-IX draait niet op Cisco....
Het lijkt me eigenlijk wel behoorlijk logisch van Sisco, dat men hen de mond snoert. Ze moeten natuurlijk wel met degelijke updates komen en misschien duurde dit voor Lynns te lang.
Cisco heeft verklaard dat het onderzoek van Lynn voorbarig was en dat het binnenkort met meer informatie komt.
Wel, als het allemaal zo voorbarig was, dan zou er toch nauwelijks een veiligheidsrisico zijn?

Of is Cisco gewoon bang een (goede?) naam te verliezen? Hoewel: als het onterecht is, is dat ook zo uitgeprobeerd lijkt me :?
Wel, als het allemaal zo voorbarig was, dan zou er toch nauwelijks een veiligheidsrisico zijn?
Ik neem aan dat ze met "voorbarig" bedoelen dat ze niet de in de sector gebruikelijke hoeveelheid tijd hebben gekregen om met een patch te komen vůůrdat het lek openbaar gemaakt wordt. Indien iemand met dit soort dingen op een tendieuze manier publiek gaat terwijl het bedrijf in kwestie nog serieus al het mogelijke doet om het lek zo snel mogelijk te dichten, wordt dat als voorbarig en onverstandig gezien.
Alleen conclusies kunnen voorbarig zijn. En je laat als serieus bedrijf het houden van presentaties waar je naam in genoemd wordt niet over aan een onbenullige roeptoeter, maar aan een betrouwbare medewerker. Van zo'n medewerker mag je verwachten dat die de zaak eerst intern aan de orde stelt, en pas bij een oostindisch doof gehoor zijn verantwoordelijkheid als burger neemt en publiek gaat. Als zo'n medewerker vervolgens onder bedreiging met advocatenterreur belet wordt die risico's bekend te maken op een bonafide forum, dan zou ik, als essentiŽle bedrijfsprocessen via apparatuur van Cisco liepen, die apparatuur terstond laten vervangen en nooit meer een product van die firma binnen halen. Niet omdat er een veiligheidslek in zit - dat kan de beste merken gebeuren -, maar omdat men blijkbaar risico's geheim wil houden en mij als gebruikend bedrijf daarmee verhinderd rekening met die risico's te houden.
Met voorbarig bedoelen ze denk ik: we hebben het probleem nog niet opgelost en als het nu naar buiten komt dan zijn onze produkten inderdaad kwetsbaar. Als we de fix geschreven en gedistribueerd hebben, dan mag de wereld weten wat er mis ging.

Cisco laat zich erg kennen. Maar die kerel die riskeert wel heel veel om dit naar buiten te brengen. De vraag is: hoe schokkend is het echt, hoe uitvoerbaar zijn de exploits die hij beschrijft? En ook belangrijk: doet hij de wereld een dienst door dit publiekelijk kenbaar te maken? Je kan hem zien als "klokkenluider", maar als je echt ongerust bent over de mogelijke gevolgen van dit soort exploits, meld je het dan niet gewoon aan degene die het kan fixen, en probeer je het voor de rest stil te houden om te voorkomen dat een idioot het misbruikt?

Ik bedoel, tuurlijk, het probleem is van Cisco, maar hij vertelt de wereld hoe ze misbruik kunnen maken van dit soort zaken. Ik vraag me af wie er bij gebaat is dat dit wereldkundig gemaakt wordt... Een grootaandeelhouder Juniper? :)

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True