Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 26 reacties
Bron: Wired

Mike Lynn heeft naar eigen zeggen een tip gekregen dat de FBI nu ook op het dossier met betrekking tot de Cisco-routerbugs gedoken is. Lynn nam woensdag ontslag bij ISS nadat gedreigd werd met gerechterlijke stappen als hij op de Black Hat security conference zijn uiteenzetting over belangrijke bugs in Cisco-routers niet annuleerde of wijzigde. Naar eigen zeggen spoorde hij deze bugs op op verzoek van zijn werkgever. Ondertussen bereikte Lynn een akkoord met Cisco en ISS waarbij hij niet verder aansprakelijk gesteld wordt, maar in ruil wel een kopie van al zijn computergegevens moest afgeven om na te gaan of hij strafbare feiten, zoals het stelen van vertrouwelijke informatie, pleegde.

'Stappenplan' misbruik Cisco-bugsVolgens Lynns advocate, Jennifer Granick, is de FBI wel degelijk bezig met een onderzoek naar haar cliënt. Het zou daarbij gaan om een onderzoek naar aanleiding van de presentatie, dat vermoedelijk binnenkort stilgelegd zal worden wegens gebrek aan bewijs, nu de partijen onderling tot een overeenkomst gekomen zijn. Zij benadrukt ook dat Lynn niet aangeklaagd is en dat er nog geen zaak lopende is bij de rechtbank. Bovendien heeft de FBI zo zijn redenen om voorzichtig te zijn.

In 2001 was een Russiche programmeur, Dmitry Sklyarov, aanwezig op DefCon om daar cd's uit te delen met een beschrijving van hoe de kopieerbeveiliging op Adobe's digitale boeken omzeild kon worden. Adobe legde klacht neer en Sklyarov werd gearresteerd voor hij op het vliegtuig richting zijn thuisland stapte, wat een ware protestgolf ontketende tegen het bedrijf. Vanwege de vele negatieve publiciteit zag Adobe zich gedwongen de klacht in te trekken en moest de overheid Sklyarov weer laten gaan. Granick stelde dan ook dat de minnelijke schikking die Lynn met beide bedrijven behaalde voldoende is om niet aangeklaagd te worden. Mocht het verhaal toch nog een staartje krijgen, dan is er nog tijd genoeg om zich zorgen te maken, aldus Granick.

Frontpagina Lynns presentatie Cisco-bugs
Moderatie-faq Wijzig weergave

Reacties (26)

Cisco is heel erg stom bezig. Ik heb de 'verboden' PDF bekeken en zoveel bijzonders is er niet aan. De informatie daarin is verre van voldoende om een exploit te schrijven, laat staan een remote bruikbare exploit.
Als Cisco er zelf niet zo'n carnaval van gemaakt had was dit vrijwel stil gebleven en had Cisco ruim de tijd gehad een fix beschikbaar te stellen. Nu weet heel de wereld ervan en lijdt Cisco een flink gezichtsverlies.
Cisco is in het verleden altijd heel sterk geweest in Security-fixes: als er een lek werd ontdekt, stelden ze eerst een patch beschikbaar aan de grote ISP's, die kregen een paar dagen de tijd om te upgraden en daarna werd het lek publiek gemaakt en kon iedereen de fix downloaden. Slimme tactiek, want op deze manier was "het Internet" al beschermd op het moment dat het lek voor iedereen bekend werd. (Is het iemand wel eens opgevallen dat soms inneens een aantal grote providers 'emergency maintanance' moesten uitvoeren... je kan er donder op zeggen dat er dan een paar dagen later een IOS-security bug bekend gemaakt wordt)
Is het niet juist daarom dat Cisco zo reageert? Misschien was hun plan wel weer om eerst grote ISP's een fix te sturen en vervolgens de rest van de wereld, maar werd dat gedwarsboomt door Lynn. Je weet niet wat er allemaal is gebeurt. Misschien wilde Lynn wel meer geld of had ie ruzie met z'n baas, weet jij veel.

De berichtgeving neigt nu erg naar het vastnagelen van Cisco maar misschien wilde Lynn wel eeuwige roem vergaren op deze manier, of veel geld. Het enige dat vaststaat is dat Cisco een bug (nog) niet bekend wilde maken. Meer weten we niet. En dat ze proberen te voorkomen dat een ander dat doet is als je 't mij vraagt niet meer dan normaal, dat zou ieder bedrijf doen. Misschien zouden we de staat van dienst van Cisco en van Lynn eens naast elkaar moeten leggen...
Dan nog: als Cisco Lynn gewoon z'n gang had laten gaan had bijna niemand van het probleem geweten tot het opgelost was. (Overigens is het probleem opgelost; nieuwe IOS versies zijn beschikbaar op de Cisco site).

Daarnaast heeft het probleem maar een hele beperkte impact op het Internet: alleen routers die IPv6 routeren zijn/waren vulnerable.
Het is natuurlijk ook belachelijk dat bedrijven die informatie zo angstvallig verborgen willen houden. Ok, je maakt het niet bekent en niemand weet het dus iedereen heeft het gevoel veilig te zijn totdat een van je (ontslagen?) werknemers die informatie wel naar buiten brengt en ineens het halve internet niet meer functioneerd. Ik vind het een goede zaak dat deze informatie naar buiten word gebracht dit zet bedrijven als cisco voor het blok om er wat aan te doen.
Kan aan mij liggen, maar wat is er mis met IPv6?
Wat heeft IPv4 wat IPv6 niet heeft?
De schikking die is afgesproken zal de FBI niet tegenhouden om onderzoek te doen. Immers zijn die geen rechter. Een politie, en de FBI is niets anders dan een grote federale politie, zal slechts constateren dat er iets ooroorbaars heeft plaatsgevonden. Het is dan aan de rechter en het OM om al dan niet tot veroordeling en straffen over te gaan.

Als Lynn iets stouts heeft gedaan dan bestaat zekers de kans dat er iets met hem gebeurt. En de FBI is de aangewezen partij om dat aan te tonen. Robin Hoods bestaan al lang niet meer.
Robin Hoods bestaan al lang niet meer.
Juist wel, vooral in dit wereldje.
Dit soort security mensen melden deze problemen vaak bij de producent (cisco in dit geval) en wanneer er niets tegen gedaan word, brengen ze het naar buiten 'for the greater good' (de veiligheid van het Internet).
Te vaak is het zo dat patches niet uitgerold worden, dat lijkt hier ook het probleem te zijn omdat dit tijd, geld en manuren kost.
Als een patch niet wordt uitgerold heeft het bedrijf dan ook geen schuld, ze weten dat er een fout inzit, maar herstellen het niet. Je ben dan er nalatig als bedrijf zijnde, hun hebben dus ook schuld er aan als het mis gaat. Maar er wordt altijd iemand laag gepakt, dat staat intressanter, een bedrijf zullen ze niet aanpakken.
De schikking die is afgesproken zal de FBI niet tegenhouden om onderzoek te doen. Immers zijn die geen rechter. Een politie, en de FBI is niets anders dan een grote federale politie, zal slechts constateren dat er iets ooroorbaars heeft plaatsgevonden. Het is dan aan de rechter en het OM om al dan niet tot veroordeling en straffen over te gaan.
Da's niet helemaal waar. Tuurlijk kunnen ze onderzoek gaan doen, maar als er een schikking tussen beide partijen is getroffen, is er geen aanklacht van de gedupeerde. Zonder aanklacht, geen vervolging of straf. Dus dan heeft onderzoek weinig zin.
Voorbeeldje: ik steel jouw computer. Jij doet geen aangifte/aanklacht, geen vervolging voor mij. Maar zodra ik jou daarbij vermoord en zal er wel degelijk een vervolging worden ingesteld (dan tegen de moord neem ik aan), maar dat is een ander soort feit.
Gelukkig is Cisco niet het hele internet :)
Er zijn nog andere grote spelers zoals Juniper etc.
Het probleem is dat belangrijke knooppunten wel Cisco gebruiken (net zoals andere knooppunten juniper gebruiken), wanneer te veel knooppunten uitvallen doordat dit soort exploits ingezet worden, zal het hele Internet waarschijnlijk een gigantische dreun te verwerken krijgen, ook de junipers doordat ze nu andere routers niet meer kunnen bereiken en veel meer data moeten gaan verwerken.
Zo zie je maar weer niet altijd alles geloven wat er gezegt wordt...Cisco is de beste ...Klopt dus niet en zo denk ik dat er nog veel meer bedrijven zijn in deze wereld die dit soort dingen hebben en dus ook nooit publiek zullen maken. En wij maar denken dat je veilig bent met je cisco router :(

waarom deze post weg gemodereerd wordt vraag ik me af :/
Niets, geen enkel stuk software is foutloos. Je bent ook wel heel erg naief wanneer je denkt dat niemand bij je in kan breken wanneer je een Cisco firewall hebt...

Probleem is dat producten van Cisco veel gebruikt worden en net zoals Windows dus ook extra belangstelling krijgen van hackers/security specialisten.
Je kunt dingen ook anders interpreteren.

Cisco weet dus dat er fouten zijn, die mogelijk/waarschijnlijk gevaar opleveren. En Mike Lynn heeft dat blijkbaar voor ze uitgezocht. Cisco moet dus flink aan de slag om de lekken te dichten, maar waarom er dan gepoogd wordt om zo snel mogelijk alle exploids openbaar te maken en er zelfs een conferentie aan te wijden. Vooral dat laatste lijkt me domweg een slechte zaak, mits Cisco werkelijk volop aan de slag is om er ook echt wat aan te doen, in plaats van uit alle macht te proberen te voorkomen dat dit bekend wordt.

Stel dat Cisco hier snoeihard onderuit wordt gehaald, dan is de volgende dus de grote boom die veel wind vangt en de klos gaat zijn. Mijns inziens heeft het meer zin om juist zo snle mogelijk met oplossingen te komen, ion plaats van met de botte bijl te pogen iets of iemand zo hard mogelijk onderuit te halen.

Dat Mike Lynn zich schikt is logisch, er heeft ongetwijfeld in zijn contract gestaan dat ie niet met bedrijfsgeheimen of kritische bedrijfsinformatie naar buiten mag treden tijdens zijn dienstverband en zeg es de eerst volgende 3 jaar na beïndiging ervan..
Is het iemand al opgevallen dat het alleen maar over IPv6 gaat ? Zie het grote probleem niet geheel. no ipv6 enable, klaar. En natuurlijk zijn er plekken waar IPv6 al gebruikt wordt. Maar hoeveel Public sites zijn dat al ?
Het gaat cisco niet om deze bug deze is al gepatched het gaat over de method of operation. De hele architectuur van het crashproces van een cisco wordt uit de doeken gedaan. Dit is onder meer verkregen door reverse engineering en dat mag niet
dat snap ik, maar zie de reacties.. het gaat iedereen opeens over dat Cisco zulke fouten maakt dat het gehele internet opeens gevaar loopt.... wat natuurlijk gewoon onzin is...
En nu zijn er auto's op de markt waarvan de tank explodeert na zoveel kilometers of waarvan hij explodeert wanneer kwaadwilligen er bijvoorbeeld naar wijzen met een mobiele telefoon. En degene die daar melding van maakt, wordt ook gearresteerd en vervolgd? Het zou toch juist zo moeten zijn dat het bedrijf vervolgd zou moeten worden voor het nalatig zijn? Fouten kunnen voorkomen, maar ze opzettelijk verzwijgen is crimineel in mijn ogen.
Zulke dingen zijn altijd lastig aan te tonen en tot die tijd zal de fabrikant wel een leuk budget hebben om jou kapot te procederen wegens smaad of laster.
Ik begrijp best dat Cisco het geheim wilde houden. Indien het risico echt zo groot is als Lynn beweert zou ik het ook geheim willen houden. Niet ivm slechte publiciteit maar meer vanwege de risco's voor de wereldeconomie. Iedereen vind het normaal dat Shell niet wil dat zijn mogelijke gaten in de beveiliging van de hele Pernis lokatie niet op straat wil hebben alleen als het om netwerkapp gaat wil wel iedereen het weten om de leverancier voor het blok te zetten. Cisco negeerde/ontkende de bug niet, maar wilder er gewoon niet mee naar buiten treden.

Overigens ik begrijp nog steeds niet hoe je de initiele stap (buffer overflow) zet om een tty te allocaten ed. Dit is volgens mij ook bewust weggelaten door Lynn
De bug is wel bijzonder complex en je hebt best wel wat apparatuur nodig om dit te kunnen testen.
Als hij toch gearresteerd wordt kan je erop wachten dat een heleboel cisco-routers plat gaan }>
De officiele reactie van Cisco vind je hier:
http://www.cisco.com/security/

mvg

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True