Een Russische beveiligingssite heeft bekend gemaakt dat een grote hoeveelheid sourcecode van het Cisco IOS 12.3 besturingssysteem gestolen is. Hackers zijn het bedrijfsnetwerk van Cisco binnengedrongen en hebben minimaal 800MB aan broncode meegenomen. De ontdekking van de diefstal is de schuld van de hackers zelf: één van de inbrekers heeft op IRC opgeschept over de actie en daar een stukje van 2,5MB van de broncode openbaar gemaakt. Als de inbraak waar blijkt te zijn kan dit grote problemen opleveren voor het hele internet. Veel van het internetverkeer loopt namenlijk via apparatuur van Cisco. Uit de gestolen source kunnen beveiligingsfouten naar voren komen die bij misbruik voor problemen kunnen zorgen.
Source code Cisco IOS mogelijk gestolen
Door Gabi Gaasenbeek
Feedback • 16-05-2004 13:13 81Lees meer
Inbraak bij Cisco had grotere gevolgen dan broncodelek
Nieuws van 10 mei 2005
The Source Code Club heeft zijn deuren alweer gesloten
Nieuws van 17 juli 2004
Hackers bieden gestolen broncode online ter verkoop aan
Nieuws van 15 juli 2004
Cisco is op zoek naar nieuwe afzetmarkten
Nieuws van 23 mei 2004
Cisco: 'Broncodediefstal zal weinig gevolgen hebben'
Nieuws van 22 mei 2004
Cisco wil patent op fix voor fout in TCP
Nieuws van 21 mei 2004
Cisco en Ericsson gaan samenwerken in verkoop
Nieuws van 28 april 2004
Fout in TCP-protocol kan leiden tot DoS-aanvallen
Nieuws van 21 april 2004
Alle Cisco WLSE's hebben niet te verwijderen backdoor
Nieuws van 9 april 2004
Cisco voegt veiligheidsfuncties toe aan producten
Nieuws van 11 maart 2004
Cisco komt met nieuwe power-over-ethernet producten
Nieuws van 18 februari 2004
Cisco ontwikkelt nieuw protocol voor WLAN
Nieuws van 16 februari 2004
IBM en Cisco samen in de beveiligingstechnologie
Nieuws van 13 februari 2004
Cisco en drie anti-virusbedrijven in de weer tegen wormen
Nieuws van 20 november 2003
Reacties (81)
Heftig. Dan kunnen de blackhats binnenkort het Internet rebooten.
zal wel mee vallen, een beetje netwerkbeheerder beheert zijn routers en switches out-of-band...
zucht...
en daarnaast als je zaken als FW's en Accesslists goed op orde hebt hoef je niet eens bang te zijn. Zaken als IPSec wat je graag deployed als je een GRE tunnel het internet instuurt zijn in mijn boekje nog niet te kraken OOK ALS JE DIE SOURCECODE in handen hebt.
Het zal eerder misbruikt kunnen worden om NON Cisco hardware qua OS op een Cisco router te doen lijken.
Had al vaker gehoord dat er look-a-like doosjes op de markt waren voor VEEL minder geld. Daar ben ik eerder bang voor.
en daarnaast als je zaken als FW's en Accesslists goed op orde hebt hoef je niet eens bang te zijn. Zaken als IPSec wat je graag deployed als je een GRE tunnel het internet instuurt zijn in mijn boekje nog niet te kraken OOK ALS JE DIE SOURCECODE in handen hebt.
Het zal eerder misbruikt kunnen worden om NON Cisco hardware qua OS op een Cisco router te doen lijken.
Had al vaker gehoord dat er look-a-like doosjes op de markt waren voor VEEL minder geld. Daar ben ik eerder bang voor.
Alle out-of-band-, SSH-, IPSEC-, en access-lists maatregelen ten spijt, het is wel degelijk zorgelijk dat de broncode op straat ligt. Wist je dat wanneer je aan de IP-option bits of IP-protocol ID's gaat sleutelen, dat de packets niet langer op forwarding plane nivo, maar op control plane nivo worden geprocessed? Vorig jaar is er al een zo'n Cisco vulnerability ontdekt. Zo was het mogelijk om met een speciaal geconstrueerd packet nagenoeg elke Cisco router plat te leggen. Gewoon één enkel packet in transit. En bufferoverflows zijn ook niet onrealistisch en juist heel gemakkelijk te ontdekken met de broncode voor je neus. Zo is het helemaal niet ondenkbaar dat je met een BoF attack op control plane nivo, via de methode zojuist geschetst, iets laat uitvoeren op management plane nivo. Die draaien doorgaands op dezelfde processor. Inderdaad, om alle management interface ACL's en login-ID's heen! En om de zaak nog smeuiger te maken: Cisco heeft vermeende hooks in IOS om via verkorte paden bepaalde functionaliteiten te testen. Wat zou je ervan denken als die op straat komen te liggen. En vergeet vooral de imagoschade niet, temeer omdat Cisco zich de laatste tijd steeds meer wil manifesteren als security provider. Kortom, ga er maar gevoegelijk vanuit dat het nu aardig onrustig is het PSIRT-team van Cisco.
Eeeerm hier gaat het dus altijd verkeerd...
Ook al is de theorie over een principe perfect, dan kunnen er nog ZEKER fouten in de implementatie zitten...
Stel je nou voor dat er een buffer overflow in het algoritme zit wat jouw pakketje tegen de access-list matched (kan het me niet voorstellen, maar het KAN)...
fucked... niets aan te doen...
Ook al is de theorie over een principe perfect, dan kunnen er nog ZEKER fouten in de implementatie zitten...
Stel je nou voor dat er een buffer overflow in het algoritme zit wat jouw pakketje tegen de access-list matched (kan het me niet voorstellen, maar het KAN)...
fucked... niets aan te doen...
vol lopende interface buffers, die niet meer geleegd werden waardoor het interface waar de pakketjes op binnenkomen stopt met forwarden. heel erg naar, inderdaad koste me het 3 seconden om een interface/site stil te zetten maar ik kwam niet IN of voorbij zo'n router.
erg veel theorie, die op papier klopt maar die in theorie niet is uit te voeren.
regel1: je kent de source en dest. netwerken en als je vervolgens in een accesslist source en destination matched aan de hand van een bekend gegeven als zijnde DIT ene netwerk blok is van mij dus die kan als source nooit van een ander interface afkomstig zijn. tackel je aardig wat ellende al bij de voordeur van je netwerk.
regel1: je kent de source en dest. netwerken en als je vervolgens in een accesslist source en destination matched aan de hand van een bekend gegeven als zijnde DIT ene netwerk blok is van mij dus die kan als source nooit van een ander interface afkomstig zijn. tackel je aardig wat ellende al bij de voordeur van je netwerk.
Ja, maar het probleem is nu dus dat mensen kunnen zien HOE die check gedaan wordt, is het een strcmp ?, wordt er ergens iets gekopieerd naar een te kleine buffer ?.. dat soort dingen.. jij gaat er vanuit dat een access-list werkt... da`s helemaal waar, maar de IMPLEMENTATIE van een accesslist hoeft niet altijd goed te zijn...
trouwens, de dingen die ik net noem bestaan waarschijnlijk niet, zijn al vast wel via brute-forcing geprobeert, maar het gaat om het principe...
trouwens, de dingen die ik net noem bestaan waarschijnlijk niet, zijn al vast wel via brute-forcing geprobeert, maar het gaat om het principe...
Zo? En waarom denk jij dat Cisco zo druk doende is met project Alcazar, oftewel het grote security IOS-programma. En vanwaar de stap om PSIRT zulke hoge privileges te geven? BTW, waar was jij vorige week tijdens de ISP-security power sessions bij Cisco in A'dam? Ik heb een aantal ISP-beheerders lijkbleek zien worden, die dachten dat ze het allemaal wel redelijk voor elkaar hadden.
WHAT!
Als de sources vanCisco op het internet komen is het een gevaar, maar als de sources van MS openbaar worden is dat een zegen?
En dan komen er allemaal reboot (reload in cisco termen) en andere doem verhalen opzetten.
KELOEL. zou ernst Happich zeggen.
Als de sources vanCisco op het internet komen is het een gevaar, maar als de sources van MS openbaar worden is dat een zegen?
En dan komen er allemaal reboot (reload in cisco termen) en andere doem verhalen opzetten.
KELOEL. zou ernst Happich zeggen.
alleen maar voor 90%
Dit is in elk geval een ernstig precedent dat tot nog ernstiger resultaten kan leiden. Maar wat ik niet begrijp is dat iemand er in slaagt om de broncode van Cisco te bemachtigen. Dit moet toch wel één van de beter beveiligde bedrijven ter wereld zijn (of toch niet... zo blijkt) 
Dat vroeg ik me dus ook af, dat Cisco (tevens leverancier van security hardware ex. enterprise firewalls) slachtoffer is van zo'n hack actie. Blijkt toch dat het bedrijfsnetwerk met een verkeerde manier op internet is aangesloten. De fileserver zou op z'n minst helemaal van internet weg zijn en clients in stealth modus. welke services moeten ze draaien bij zo'n programmeer afdeling over internet. Mischien voor de thuiswerkers ofzo? 
Dit nieuws is evens een deuk op hun naam, als je security levert en zelf bewijs levert dat het gefaalt heeft zullen niet veel mensen met die lui in zee gaan.
Dit nieuws is evens een deuk op hun naam, als je security levert en zelf bewijs levert dat het gefaalt heeft zullen niet veel mensen met die lui in zee gaan.
Er moeten iig wel een paar fileservers online zijn. Mensen met de desbetreffende CISCO account kunnen bijv nieuwe software voor routers downloaden vanaf de cisco site.
Ik zie alleen inderdaad niet het nut in om de development afdeling open te zetten
Ik zie alleen inderdaad niet het nut in om de development afdeling open te zetten
Dat zijn toch binaries en geen source code?Mensen met de desbetreffende CISCO account kunnen bijv nieuwe software voor routers downloaden vanaf de cisco site.
/u/40481/crop63f777c898038_cropped.png?f=community){kind=small}
toch wel...
ik ben zelf geen programmeur.. maar ik werk zelf met digitale tekeningen heel erg veel.. deze zijn net zoals code van software ook veel geld waard aangezien ze creativiteit en tijd kosten.
maar net zoals een programmeur kan ik me goed voorstellen dat mensen liever thuis... of in het zwembad... of in een cafe verder werken aan het project.. ik doe dat althans.. en dan is het wel zo practisch om access te hebben tot hetgeen. of dat nou via ftp.. vnc.. vpn verloopt boeit niet maar het is bereikbaar voor mij via het i'net en blijkbaar voor cisco programmeurs ook
ik ben zelf geen programmeur.. maar ik werk zelf met digitale tekeningen heel erg veel.. deze zijn net zoals code van software ook veel geld waard aangezien ze creativiteit en tijd kosten.
maar net zoals een programmeur kan ik me goed voorstellen dat mensen liever thuis... of in het zwembad... of in een cafe verder werken aan het project.. ik doe dat althans.. en dan is het wel zo practisch om access te hebben tot hetgeen. of dat nou via ftp.. vnc.. vpn verloopt boeit niet maar het is bereikbaar voor mij via het i'net en blijkbaar voor cisco programmeurs ook
Maar Pinkelmans had het (IMO) over patches/updates voor eindgebruikers.maar net zoals een programmeur kan ik me goed voorstellen dat mensen liever thuis... of in het zwembad... of in een cafe verder werken aan het project..
En als eindgebruiker van een auto heb ik ook de bouwtekeningen daarvan niet nodig.
Tsja, ik kan mij voorstellen dat jij dat leuk vindt. Ik kan mij echter niet voorstellen dat je baas het toelaat. Leuk en aardig dat iemand thuis kan werken, maar als je met een product werkt wat zoals software eenvoudig na te maken is maar toch een hoge waarde vertegenwoordigd, is zo ongeveer het equivalent van een bordje ophangen "Beroof mij!"
Hier bij ons is het in ieder geval duidelijk. De hier ontwikkelde software verlaat het pand niet. Enige uitzondering zijn de backups die naar een externe kluis gaan.
Hier bij ons is het in ieder geval duidelijk. De hier ontwikkelde software verlaat het pand niet. Enige uitzondering zijn de backups die naar een externe kluis gaan.
juist wel.. tekenen.. programmeren... hacken kortom is een vorm van creativiteit wat niet tijd of plaats gebonden is. beetje dom uitwerken wat door assistenten gedaan wordt dat is inderdaad tijdsgebonden maar de doorbraken absoluut niet.
dit geeft dan ook als gevolg dat juist programmeurs die hoger in de pyramide staan juist toegang nodig hebben en deze is dan ook blijkbaar gehacked aangezien diens src gejat is
dit geeft dan ook als gevolg dat juist programmeurs die hoger in de pyramide staan juist toegang nodig hebben en deze is dan ook blijkbaar gehacked aangezien diens src gejat is
Klopt ja. Het uitprogrammeren van specs of pseudo-code achtige dingen kan door assistenten gedaan worden, maar voorderest is programmeren (eigenlijk developpen) een uiterest creatief proces, waarbij een doorbraak kan komen van een ontwikkelaar die op zaterdag avond TV zit te kijken en opeens een brilliant idee krijgt.
Voor de personen die hoog in de hierarchy staan, is het laptop in park verhaal ook helemaal niet een onbekend verschijnsel.
Voor de personen die hoog in de hierarchy staan, is het laptop in park verhaal ook helemaal niet een onbekend verschijnsel.
:strip_icc():strip_exif()/u/38037/Daarisze.jpg?f=community){kind=small}
Die code wordt volgens mij ook door de NSA gechecked, en die zorgen er echt wel voor dat er geen fouten in zitten. Ik denk dat het allemaal wel meevalt.
Blijkbaar zitten er toch fouten in..als ze zelfs in Cisco hun netwerk kunnen binnenbreken...
EDIT: Was een reactie op Erikbobo
EDIT: Was een reactie op Erikbobo
Waarom denk je dat deze inbraak een gevolg is van een bug in de code?
Dat is natuurlijk onzin, misschien gebruiken ze zelf helemaal geen Cisco apparatuur, Een andere mogelijkheid is dat ze gewoon binnen zijn komen lopen met een USB stick of (waarop de kans veel groter is) zijn ze binnen gekomen via een normale port waarachter een slecht beveiligd netwerk hangt. De kans dat het aan de source ligt lijkt me erg klein!
Dat zegt meer over jou dan over iets anders.Zolang er geen andere reden aangehaald wordt, ga ik er vanuit dat het zo is.
Met dezelfde redenatie kun je namelijk ook uitgaan van het tegenovergestelde.
Zolang er geen andere reden aangehaald wordt, ga ik er vanuit dat het zo is.
:strip_icc():strip_exif()/u/6620/ratatouille_60-60-lq.jpg?f=community){kind=small}
Zozo. En weet je toevallig ook hoe de NSA dan bewijst dat code foutloos is? Dat is namelijk toch vrij revolutionair. Oftewel: sorry, onzin.
Het is best mogelijk om te bewijzen dat code foutloos is, sterker nog ik heb het moeten leren !
Iemand nog een invariant berekenen...
Maar het is ook bijna niet te doen, het kost zoveel moeite om van een lus te bewijzen dat het eindig is dat de traditionele manier (codereview, testen) een stuk makkelijker is.
Iemand nog een invariant berekenen...
Maar het is ook bijna niet te doen, het kost zoveel moeite om van een lus te bewijzen dat het eindig is dat de traditionele manier (codereview, testen) een stuk makkelijker is.
Er is een taal, afgeleid van Java, die automatisch doorgerekend kan worden op correctheid. De software vereist dan wel de 'slimme bewijsstappen' zoals alleen de mens die kan verzinnen, maar al het nare doorploegen van lussen, assignments etc. wordt automatisch gedaan.
Op die manier is 'programmeren en correctheid' ineens een stuk plezieriger.
(Onderzoek werd oa. gedaan door Marieke Huisman aan de KUN; haar proefschrift bevat een reeks bewijsregels die in hun programmatuur zit.)
Op die manier is 'programmeren en correctheid' ineens een stuk plezieriger.
(Onderzoek werd oa. gedaan door Marieke Huisman aan de KUN; haar proefschrift bevat een reeks bewijsregels die in hun programmatuur zit.)
Inderdaad : http://c2.com/cgi/wiki?BugFreeSoftware
Programmeren en correctheid? Grrr...Het is best mogelijk om te bewijzen dat code foutloos is, sterker nog ik heb het moeten leren !
Maar volgens mij bewijst dat niet dat code foutloos is, het bewijst alleen dat code aan specs voldoet.
En zelfs als de code foutloos is, betekent dat nog niet dat het systeem (software, hardware, humans) zelf ook foutloos is.
Wat jij hebt geleerd, is de programmeertaal, niet de sourcecode van het programma! Het kans best zijn dat jij perfect een router programmeert, maar dat er toch nog gaten in de beveiliging zitten die komen door de IOS sourcecode.
interessant en die software controleert ook of mijn algoritme om het BCC model te berekenen correct geprogrammeerd is?
Lijkt me erg knap, ik denk dat er dan wel wat bedrijven zijn die hun modellen in die software willen herprogrammeren.
Software kan nooit de bedoeling van een algoritme achterhalen en kan dan ook niet zien of een (complex) algoritme correct is of niet.
Lijkt me erg knap, ik denk dat er dan wel wat bedrijven zijn die hun modellen in die software willen herprogrammeren.
Software kan nooit de bedoeling van een algoritme achterhalen en kan dan ook niet zien of een (complex) algoritme correct is of niet.
Lange leve de pre-inspectie! BrrrrrrrProgrammeren en correctheid? Grrr...
Dat is waar. Echter waar het hier om gaat is om van een stukje code te bewijzen dat het aan bepaalde eigenschappen voldoet. Heel in het kort komt het op neer dat je een aantal pre-condities opstelt en een invariant. Vervolgens begin je bij de onderste regel van je code en werk je naar boven. Elke regel die je afwerkt levert een stuk formule in logica op.Software kan nooit de bedoeling van een algoritme achterhalen en kan dan ook niet zien of een (complex) algoritme correct is of niet.
Klinkt makkelijk, maar slechts enkele regels code leveren al 2 A4'tjes aan formule op. Helemaal bovenaan je code gekomen hou je 1 logica formule over. Nu moet je vanaf je precondities en invariant de implicatie bewijzen naar deze formule.
Er zijn voor CS mensen 3 problemen met deze methode:
1) Het opstellen van de invariant is vaak niet te doen. Bij tentamens over dit onderwerp is deze meestal dan ook gegeven.
2) Het is een ENORM tijdrovend werk om die uiteindelijke formule op te stellen. Als je 1 dingetje in je code verander mag je weer overnieuw beginnen.
3) Het is meestal niet te doen om de uiteindelijke implicatie 'even' te bewijzen. Vaak levert alleen al dit bewijs weer minstens 1 A4'tje aan bewijs stappen op.
Het gevolg is dus dat bijna geen enkele developper dit leuk vindt. Bij Informatica is dit bv een van de meest gehate vakken. De enigste die het leuk vinden zijn van die mensen die eigenlijk wiskunde hadden willen studeren maar van hun familie Informatica moesten doen omdat daar meer toekomst in zat volgens die familie. (uitzonderingen daargelaten natuurlijk)
Als nu een tool stap 2) kan automatiseren, dan helpt dat al enorm. Hoewel ik absoluut geen expert ben in dit onderwerp geloof ik dat stap 3) ook in veek gevallen geautomatiseerd kan worden. Dan blijft alleen stap 1) over.
Formele testen komen dan veel eerder binnen het bereik van echte developpers. Het inhuren van een wiskundige voor dit soort werk blijft echter (IMHO) aan te raden.
En hier geloof ik dus helemaal niets van. Cisco kijkt wel uit de code door de NSA te laten 'bewaken'/checken. Zou ook wel erg vreemd zijn, cisco heeft wettelijk geen enkele verplichting bedrijfsgeheimen aan de overheid vrij te geven en waarom zou de nsa dan de cisco code moeten of mogen checken? Doen ze bij concurenten ook niet.
Wat de NSA overigens wel doet is advies geven hoe je het beste cisco apparatuur veilig kan instellen, maar dat is totaal wat anders.
Wat de NSA overigens wel doet is advies geven hoe je het beste cisco apparatuur veilig kan instellen, maar dat is totaal wat anders.
edit:
Maar als je bewijs hebt of kan aantonen waar je deze wijsheid vandaan hebt hoor ik het hier natuurlijk graag.
Maar als je bewijs hebt of kan aantonen waar je deze wijsheid vandaan hebt hoor ik het hier natuurlijk graag.
Ik denk eerder dat de NSA (delen van) de source heeft mogen checken om aan leveringsvoorwaarden aan bepaalde overheidsdiensten te voldoen...
Wat een onzin... die software zit vol fouten.
/u/22388/header-logo.png?f=community){kind=logo}
Dit is negatief voor Cisco, maar wellicht ook positief. Als hier daadwerkelijk beveiligingslekken boven komen drijven heeft "de wereld" wel een probleem, want alles zal gepatched moeten worden, maar meer veiligheid zal daarvan het resultaat zijn. Het is voor Cisco ook wel fijn om bugvrije software te verstrekken.
Hmm, denk toch dat ze het niet zo positief vinden 
Zoals ik al zei, zo gaat het vertrouwen in de naam wel weg. Dat is wel belangrijker voor de afnemers dan dat er updates komen. Eigenlijk staan ze ook niet op updates te wachten maar het hoort er tegenwoordig erbij..
Zoals ik al zei, zo gaat het vertrouwen in de naam wel weg. Dat is wel belangrijker voor de afnemers dan dat er updates komen. Eigenlijk staan ze ook niet op updates te wachten maar het hoort er tegenwoordig erbij..
Dan hadden ze de software zelf wel onder een open source license gereleased.maar meer veiligheid zal daarvan het resultaat zijn. Het is voor Cisco ook wel fijn om bugvrije software te verstrekken.
:strip_icc():strip_exif()/u/26381/Tijger_logo.jpg?f=community){kind=logo}
Dat levert nou niet direct bugvrije software op dus da's natuurlijk onzin.
Onzin?
Bolk had het over bugs die gevonden worden omdat de code (illegaal) is uitgelekt. Die bugs hadden dan toch ook gevonden kunnen worden als de code gewoon (legaal) was gereleased?
Bolk had het over bugs die gevonden worden omdat de code (illegaal) is uitgelekt. Die bugs hadden dan toch ook gevonden kunnen worden als de code gewoon (legaal) was gereleased?
<qoute> Programmeren en correctheid? Grrr... </qoute>
Elke programmacode is correct! Anders was ze immers niet door de compiler gekomen!..
Het probleem zit 'm erin dat niet de code fout is.. maar de implenmentatie of het ontwerp..
Zo kunnen je een waterdicht ontwerp hebben, met een foute inplementatie! Of een fout ontwerp.. kan ook nog..
En zeker er is te bewijzen dat een implenmentatie correct is.. uiteindelijk is een programma niet meer dan een stelsel wiskundige vergelijkingen.. Alleen dit is geweldig complex
Elke programmacode is correct! Anders was ze immers niet door de compiler gekomen!..
Het probleem zit 'm erin dat niet de code fout is.. maar de implenmentatie of het ontwerp..
Zo kunnen je een waterdicht ontwerp hebben, met een foute inplementatie! Of een fout ontwerp.. kan ook nog..
En zeker er is te bewijzen dat een implenmentatie correct is.. uiteindelijk is een programma niet meer dan een stelsel wiskundige vergelijkingen.. Alleen dit is geweldig complex
"Elke programmacode is correct! Anders was ze immers niet door de compiler gekomen!.."
Er vannuit gaande dat die compiler zelf geen fouten meer bevat, wat niet waar is.
"En zeker er is te bewijzen dat een implenmentatie correct is.. uiteindelijk is een programma niet meer dan een stelsel wiskundige vergelijkingen.."
Er zitten nauwelijks vergelijkingen in. Het zijn allemaal opdrachten die door de CPU worden uitgevoerd met behulp van bepaalde data. Wiskunde komt er niet aan te pas, binnen de CPU is het allemaal oorzaak en gevolg.
"Alleen dit is geweldig complex"
Zeg maar gerust onmogelijk. Vooral als je externe data gaat aanvoeren dat moet je dus op een of andere manier gaan bewijzen dat alle data die je in zou kunnen voeren correct wordt afgehandeld. Nu ben ik geen wiskundige, maar het lijkt mij niet echt te doen om van een wiskundige formule zo complex als een router-os te gaan bewijzen dat alle mogelijke invoer altijd goed zal worden behandelt en dat niets ooit tot een fout kan leiden.
Er vannuit gaande dat die compiler zelf geen fouten meer bevat, wat niet waar is.
"En zeker er is te bewijzen dat een implenmentatie correct is.. uiteindelijk is een programma niet meer dan een stelsel wiskundige vergelijkingen.."
Er zitten nauwelijks vergelijkingen in. Het zijn allemaal opdrachten die door de CPU worden uitgevoerd met behulp van bepaalde data. Wiskunde komt er niet aan te pas, binnen de CPU is het allemaal oorzaak en gevolg.
"Alleen dit is geweldig complex"
Zeg maar gerust onmogelijk. Vooral als je externe data gaat aanvoeren dat moet je dus op een of andere manier gaan bewijzen dat alle data die je in zou kunnen voeren correct wordt afgehandeld. Nu ben ik geen wiskundige, maar het lijkt mij niet echt te doen om van een wiskundige formule zo complex als een router-os te gaan bewijzen dat alle mogelijke invoer altijd goed zal worden behandelt en dat niets ooit tot een fout kan leiden.
Dit is dus niet onmogelijk, het is vrij triviaal mogelijk door alle mogelijke uitkomsten af te lopen (het blijft logica/wiskunde met een beperkt domein). Dit duurt alleen nogal lang.
Er zijn wel degelijk tools voor automatische programmaverificatie. Ik weet niet in welke mate die goed bruikbaar zijn, zo goed ben ik er niet van op de hoogte.
Storend dat zo veel mensen hier maar iets roepen terwijl ze er duidelijk geen kaas van gegeten hebben.
Er zijn wel degelijk tools voor automatische programmaverificatie. Ik weet niet in welke mate die goed bruikbaar zijn, zo goed ben ik er niet van op de hoogte.
Storend dat zo veel mensen hier maar iets roepen terwijl ze er duidelijk geen kaas van gegeten hebben.
<quote>Wiskunde komt er niet aan te pas, binnen de CPU is het allemaal oorzaak en gevolg</QUOTE>
Binnen de cpu worden logische operaties uitgevoerd, allemaal vergelijkingen tussen 1 en 0. OOK wiskunde nl. binaire.
edit: VEEL te laat, ik had niet gezien dat er nog een pagina achter zat.
Binnen de cpu worden logische operaties uitgevoerd, allemaal vergelijkingen tussen 1 en 0. OOK wiskunde nl. binaire.
edit: VEEL te laat, ik had niet gezien dat er nog een pagina achter zat.
Dat is geen goede zaak, aangezien je na deze hack erg makkelijk de gestolen code kunt "revieven" om een 0 day exploit te vinden, waarmee je de firewalls van het bijna gehele westerse bedrijfsleven kunt uitzetten.
Het hoeft niet eens zo moelijk te zijn. Als er in die regels source code een "geheim commando" zit om het adminwachtwoord van die router te omzeilen of te resetten dan ben je het haasje. Aangezien ieder OS een dergelijke truuk in huis heeft, die over het algemeen alleen de developers weten is het zeker dat er binnenkort weer een upgrade ronde of iets ergers aankomt.
Het hoeft niet eens zo moelijk te zijn. Als er in die regels source code een "geheim commando" zit om het adminwachtwoord van die router te omzeilen of te resetten dan ben je het haasje. Aangezien ieder OS een dergelijke truuk in huis heeft, die over het algemeen alleen de developers weten is het zeker dat er binnenkort weer een upgrade ronde of iets ergers aankomt.
Volgens mij is men niet goed bij zijn hoofd als men zo'n simpele manier van wachtwoord veranderen inbouwd.
Voor zover ik weet
hebben de meeste belangrijke OS dat ook niet (meer)... Zelf de meeste BIOSsen hebben het niet meer geloof ik ?!?!
Voor zover ik weet
hebben de meeste belangrijke OS dat ook niet (meer)... Zelf de meeste BIOSsen hebben het niet meer geloof ik ?!?!
:strip_exif()/u/2979/Athlon-MP.gif?f=community){kind=small}
Nou wil ik niet geheel vervelend zijn, maar check deze nieuwslink anders ff.
http://www.tweakers.net/nieuws/31904
http://www.tweakers.net/nieuws/31904
Misschien dat dat ook bij IOS het geval is? Diegene die de source nu hebben kunnen het i.i.g. checken.Cisco heeft afgelopen woensdag bekend gemaakt dat in de software van de Wireless LAN Solution Engine (WLSE) en de Hosting Solution Engine (HSE) een backdoor zit. De backdoor bestaat uit een standaard gebruikersnaam en wachtwoord waarmee iemand volledige controle over een systeem kan krijgen. De gebruikersnaam en het wachtwoord zitten verwerkt in de programmacode en kunnen dus niet uitgeschakeld worden. Het probleem kan enkel opgelost worden met de door Cisco uitgebrachte patch. Iemand die inbreekt in één van de systemen kan alles wat een beheerder ook kan. Zo kunnen er gebruikers aangemaakt worden en instellingen veranderd worden.
:strip_exif()/u/86863/fridge-small.gif?f=community){kind=small}
Bij Cisco bestaat er wel degelijk een mogenlijkheid om zonder admin/security wachtwoord in de router te komen, maar daarvoor moet je wel een physieke connectie met de router hebben
niels tijssen:joh loop niet slap uit je nek te blaaten.
om uberhaupt met die dozen contact te kunnen maken moet je al van goede huizen komen. Er vanuit gaande dat men de zaken goed op orde heeft. Een beheerder die dat niet heeft verdient het IMHO om gehacked te worden.
En om een BIOS LIKE password reset uit te halen.
Deze zijn allemaal documented op cisco.com en daar kan zelfs jij bij. Het uitvoeren.. da's wat anders. Heb je minimaal HANDS ON ACCESS tot een router nodig.
En in het netwerk waar ik verantwoordelijk voor ben word je al bij de voordeur onderschept!
om uberhaupt met die dozen contact te kunnen maken moet je al van goede huizen komen. Er vanuit gaande dat men de zaken goed op orde heeft. Een beheerder die dat niet heeft verdient het IMHO om gehacked te worden.
En om een BIOS LIKE password reset uit te halen.
Deze zijn allemaal documented op cisco.com en daar kan zelfs jij bij. Het uitvoeren.. da's wat anders. Heb je minimaal HANDS ON ACCESS tot een router nodig.
En in het netwerk waar ik verantwoordelijk voor ben word je al bij de voordeur onderschept!
/u/50798/black_cross_forum60kb.GIF?f=community){kind=small}
-show broncode
Lijkt me stug dat Cisco hun eigen tuin niet dicht heeft. Wat is 800 mb nou? Weinig toch?
Lijkt me stug dat Cisco hun eigen tuin niet dicht heeft. Wat is 800 mb nou? Weinig toch?
Weinig?
Het zijn tekstbestanden.
Met 40 tekens/regel gemiddeld zijn het 20 miljoen regels.
Met 60 regels/A4 zijn dat 350000 A4s.
Het zijn tekstbestanden.
Met 40 tekens/regel gemiddeld zijn het 20 miljoen regels.
Met 60 regels/A4 zijn dat 350000 A4s.
/u/39500/BoGy_4_Tweakers_60.png?f=community){kind=small}
800 MB aan broncode?
gecompileerd naar exe's zou dat ettelijke gigabytes zijn (10-16 GB)
gecompileerd naar exe's zou dat ettelijke gigabytes zijn (10-16 GB)
Nee juist niet... met besturingssystemen zeker niet. Die hebben eigen libraries dus het wordt juist kleiner. Veel kleiner ook want er zit als het goed is heel veel 'overbodige' extra's in (comments) en binair is over het algemeen kleiner in grootte
Precies.
Linux kernel source gaat ver over de 100MB en daar komt een 1MB bzImage uit.
Linux kernel source gaat ver over de 100MB en daar komt een 1MB bzImage uit.
:strip_icc():strip_exif()/u/92085/crop5aa165833d640_cropped.jpeg?f=community){kind=small}
@Soekris, Ik kan mij het absoluut wel voorstellen.
Je zorgt er gewoon voor dat je twee domeinen crieert. Een ontwikkel domein waar je dergelijke software op ontwikkeld en een domein voor het "het andere werkl". Het ontwikkel domein houd je volledig gescheiden van het internet. Een betere beveiliging is in mijn ogen niet mogelijk. Mocht er toch het een en ander aan software tussen beide domeinen uitgewisseld moeten worden dan zijn daar nog genoeg andere mogelijkheden voor.
Je zorgt er gewoon voor dat je twee domeinen crieert. Een ontwikkel domein waar je dergelijke software op ontwikkeld en een domein voor het "het andere werkl". Het ontwikkel domein houd je volledig gescheiden van het internet. Een betere beveiliging is in mijn ogen niet mogelijk. Mocht er toch het een en ander aan software tussen beide domeinen uitgewisseld moeten worden dan zijn daar nog genoeg andere mogelijkheden voor.
Niet alleen twee domeinen, twee fysiek gescheiden netwerken. Met code met zo´n groot belang mag je absoluut geen risico mee nemen.
De ontwikkelaars moeten gewoon een eigen netwerk hebben met CVS/bitkeeper server of whatever ze gebruiken. Deze servers en de ontwikkel machines zijn niet fysiek verbonden met het internet (apart netwerk) en geen modems of iets dergelijk er aan. De werkstations hebben geen verwisslebare opslag, één werkstation wordt specifiek geschikt gemaakt om data uit te wisselen via een MOD oid. En degene op die machine mag werken wordt van te voren heel goed gescreened.
Allle gegevens die van deze computers naar een computer niet op het netwerk moeten en andersom gaan via sneaker net.
Eventueel kan je nog zeggen voor updates van de machines e.d. schakel ik een machine tussen die patches uit het internet download. En deze doorgeeft aan dit netwerk. Maar dan wel zo dat het fysiek niet mogelijk is dat deze machine met internet en netwerk gelijktijdig contact heeft. Alhoewel je hiermee wel weer een nieuwe risico factor introduceert.
Veilig voor inbraken van buiten ben je alleen als er geen enkele fysieke verbinding met PC´s buiten het eigen netwerk is. zoals Soekris al zegt. Dan loop je nog altijd het risico dat een ontevreden medewerker er mee vandoor gaat, maar dat risico is nooit compleet te vermijden.
De ontwikkelaars moeten gewoon een eigen netwerk hebben met CVS/bitkeeper server of whatever ze gebruiken. Deze servers en de ontwikkel machines zijn niet fysiek verbonden met het internet (apart netwerk) en geen modems of iets dergelijk er aan. De werkstations hebben geen verwisslebare opslag, één werkstation wordt specifiek geschikt gemaakt om data uit te wisselen via een MOD oid. En degene op die machine mag werken wordt van te voren heel goed gescreened.
Allle gegevens die van deze computers naar een computer niet op het netwerk moeten en andersom gaan via sneaker net.
Eventueel kan je nog zeggen voor updates van de machines e.d. schakel ik een machine tussen die patches uit het internet download. En deze doorgeeft aan dit netwerk. Maar dan wel zo dat het fysiek niet mogelijk is dat deze machine met internet en netwerk gelijktijdig contact heeft. Alhoewel je hiermee wel weer een nieuwe risico factor introduceert.
Veilig voor inbraken van buiten ben je alleen als er geen enkele fysieke verbinding met PC´s buiten het eigen netwerk is. zoals Soekris al zegt. Dan loop je nog altijd het risico dat een ontevreden medewerker er mee vandoor gaat, maar dat risico is nooit compleet te vermijden.
Ik denk dat het op zich allemaal wel mee valt. Het artikel suggereert dat de 'hackers' van buitenaf binnengedrongen zijn terwijl iedere beetje netwerk beheerder weet dat meer dan 90 % van alle 'hacks' een inside job zijn.
Als ik aan iemand de gegevens van mijn netwerk ter beschikking stel wandelt die persoon ook zo binnen. Dat impliceert niet dat mijn systemen niet veilig zijn.
De grootste security bug die er bestaat is de mens, helaas valt die niet te patchen.
Als ik aan iemand de gegevens van mijn netwerk ter beschikking stel wandelt die persoon ook zo binnen. Dat impliceert niet dat mijn systemen niet veilig zijn.
De grootste security bug die er bestaat is de mens, helaas valt die niet te patchen.
I think you got it right there. Ik weet uit ervaring dat Cisco haar voordeur echt wel goed dicht heeft zitten. Mensen zijn vaak de zwakke schakels. Het is gewoon zoiets knulligs als onachtzaamheid van één van de medewerkers. Bijvoorbeeld een CD-tje met 12.3 source-code gebrand en mee naar huis genomen om verder aan te werken en vervolgens in een inmiddels gehackte thuisPC gedraaid. Simpel toch?
:strip_exif()/u/2227/rattle_snake.gif?f=community){kind=small}
Arrg als dit waar is ga ik ander werk zoeken, kan ik straks weer al die ios gaan upgraden bah.... Zo zijn er de afgelopen jaren al meedere keren ernstige fouten in ios gevonden, met als gevolg dat als je net klaar bent de volgende alweer voor de deur staat.
Wat ik niet snap is als dit zo belangrijk is waarom zou je het netwerk waar de servers en ontwikkelaars zich bevinden dan aan internet hangen.
Wat ik niet snap is als dit zo belangrijk is waarom zou je het netwerk waar de servers en ontwikkelaars zich bevinden dan aan internet hangen.
Het is tegenwoordig niet meer te denken dat je niet aan het internet hangt. dan kun je nog zo'n goede firewall hebben. zo lang het fysiek aan elkaar zit kan er een crakker/hacker bij komen.
of je moet op dos met alleen een toetsenboard en muis gaan werken.
of je moet op dos met alleen een toetsenboard en muis gaan werken.
Op dit item kan niet meer gereageerd worden.