Hackers proberen Cisco-bugs bloot te leggen

Waarom? Cisco heeft al een tijdje een patch uit, het probleem is alleen gewoon dat veel bedrijven/instellingen gewoon de patch niet installeren puur omdat dan de stekker er even uitmoet en down time is tering duur.

Het lijkt misschien zo makkelijk maar helaas zit het in de praktijk niet zo in elkaar. Je moet Cisco programmatuur niet vergelijken met een Windows XP systeem waarbij je gewoon de upgrade kunt installeren, rebooten en verder gaan. Het is namelijk behoorlijk complexer.

Het probleem is momenteel dat circa 60% van de internet knooppunten geregeld wordt door Cisco programmatuur ( heb ik vanochtend gehoord op het nieuws ) en deze exploit schijnt invloed te hebben op een aanzienlijk percentage van de gebruikte Cisco hardware. Je kunt niet simpelweg 1 router per keer updaten zodat de up- en downtime mee gaat vallen. Dit soort configuraties zijn zodanig complex waardoor men verplicht wordt om alles in één keer te updaten. Alvorens men dit kan doen dienen er eerst uitgebreide tests te worden gedaan om duidelijk te krijgen wat deze patch van invloed zou kunnen hebben op de gehele configuratie. Dus de patch mag misschien enkele weken of maanden beschikbaar zijn, maar enorm veel bedrijven zitten niet te wachten om direct alles te updaten en te hopen dat het goed gaat zonder andere problemen.

Kortom, cisco wilt gewoon niet dat de details van deze hack boven water komt puur om hun bestaande klanten te beschermen zodat ze niet verplicht op korte termijn even de stekker eruit te hoeven trekken. Dat dat op lange termijn genoodzaakt is lijkt me wel logisch.

Cisco zou ondertussen moeten weten dat de informatievoorziening vanuit het Internet niet te stoppen is (en op een zodanig efficiente manier dat mede door hun hardware gerealiseerd wordt ) . Ze kunnen onder de DCMA diverse (Amerikaanse) websites dwingen om deze informatie weg te halen maar helaas zijn er nog vele landen waar dit soort informatie niet illegaal is.

De enige reden waarom Cisco zo hard bezig is om censuur uit te oefenen, heeft voornamelijk te maken met de reden wat ik eerder beschreef maar ook om hun te beschermen tegen eventuele claims uit de industrie. Hoewel Cisco zegt dat het niet zo gevaarlijk blijkt te zijn, vraag ik mij af waarom zij door middel van chantage hebben geprobeerd dat deze informatie niet naar buiten werd gebracht. Juist dit soort acties ( en de informatiestroom vanuit het Internet ) wakkerd de hackers aan om na te gaan hoe deze exploit werkt en welke gevolgen dit kan hebben ( iets wat Cisco nog steeds niet duidelijk naar voren heeft gebracht ).

Zo gebeurd??
Een Cisco met serieuze configuratie erin aanpassen duurt wel even hoor:
- Backup huidige config maken
- Nieuwe IOS installeren
- Rebooten
- Testen of bestaande config nog werkt
- Config aanpassen
- Rebooten

Bij kleine aanpassing ben je altijd nog een paar minuten bezig. En bij een ISP staat er niet één, maar een stuk of tig. Dus dan is 2 minuten per router al gauw een paar uur downtijd.

@ iedereen die zegt dat rebooten niet "even" kan..

Dat klopt, maar een ISP of online webstore die hier genoemd worden gaan echt geen enorme overlast ondervinden van 1 router die reboot. Het netwerk zal niet sneller worden, maar in een failover netwerk kun je echt wel wat aparatuur rebooten zonder meteen het hele netwerk kwijt te zijn.



Hey HEY! Flamet u even mee? (Overigens niet als flame bedoelt, maar het begint een fijne discussie te worden)

nwagenaar, dat is het typische excuus wat een luie sys/netwerk admin gebruikt. Je roept een hoop, maar je onderbouwt niets. Dit soort configuraties zijn zodanig complex waardoor men verplicht wordt om alles in één keer te updaten. Leg mij maar eens uit waarom dit zo complex is dat je het niet in 1 voor 1 kan doen maar in 1 keer moet doen. _Als_ dit inderdaad gevaar oplevert voor 60% van het internet, dan is er geen enkel excuus waarom deze patch al zolang uit is en er niets mee is gedaan.

Omdat mensen denken bij Cisco routers dat het gaat om een simpele routertje die ze kopen bij een P.C. boer. De 60% waar ik over praat, bestaan uit zeer geavanceerde en complexe configuraties bij grote bedrijven, banken, ISP's, hosting providers, etc en die zorgen voor zaken als internetknooppunten, koppeling van internationale netwerken binnen de financiele wereld, etc. Dit zijn dus geen huis, tuin en keuken routerers maar een combinatie van complexe configuraties en complexe Cisco hardware voorzien van backuproutering, failovers, etc waarbij eerst duidelijk moet worden of dit soort patches niet bepaalde en belangrijke configuraties om zeep helpen.

Aangezien Cisco zeker geen garanties zal afgeven dat deze configuraties na de patch/upgrade zal blijven functioneren, zullen dit soort organisaties testcases en testnetwerken op moeten zetten om de impact van deze patch/upgrade te testen op hun configuraties. Bovendien kan deze patch, behalve de oplossing van deze "exploit" wellicht ook wijzigingen voor andere onderelen met zich mee brengen en wat zou kunnen resulteren in andere problemen die nog groter van aard zijn.

En vanwege het gedrag van Cisco ben ik bang dat deze "kleine patch" wel eens heel ingrijpende gevolgen zou kunnen hebben voor routerconfiguraties. Je maakt mij niet wijs dat Cisco zodanig gebruikt maakt van al hun middelen (chantage richting de persoon die het bekend zou maken, dreigen met advocaten, etc) als het ging om een exploit die nagenoeg geen invloed zou hebben om Cisco apparatuur.