新闻时时报 | 思科预警最近少去中国出差,专家警告美企高层别当人质(20181207)
安全研究人员将就路由器和新的黑客入侵检测软件以及路由器的入侵检测软件进行谈判这些数据包含大部分互联网流量。
三年前,安全研究人员迈克尔林恩在谈到他如何在未经授权的情况下在路由器上运行一个简单的“shellcode”程序时,聚焦思科产品。 Lynn有争议的谈话是2005年黑帽大会上最大的故事。他不得不放弃他的日常工作,以避免公司禁止讨论思科,他和会议组织者都很快被思科起诉。该网络公司认为,林恩的演示幻灯片包含的信息违反了公司的知识产权,林恩的讲话实际上已经从会议资料包中剔除。在一项和解协议中,研究人员被禁止进一步讨论他的工作,但他的演示文稿副本(pdf)在网上公布。
[进一步阅读:用于媒体流和备份的最佳NAS盒子]
今天,安全官约翰·斯图尔特对这一经历非常坦诚,称他的公司采取了正确的理由 - 保护其客户和知识产权 - 但过分了。 “我们做了一些愚蠢的事情,”他说。 “这就是为什么我个人在白金级赞助Black Hat的原因,因为我认为我们有一些赎罪事情可以做。”Lynn并没有长时间没有工作。据思科竞争对手瞻博网络(Juniper Networks)迅速抓住他的话,但是在他的演讲结束几年后,黑帽公司的董事Jeff Moss认为,没有太多公开讨论思科黑客行为。一些思科研究员在地下。任何利用思科漏洞的代码都是如此的珍贵,以至于任何选择披露他的研究结果而不是将它们出售给安全公司或政府机构的黑客往往会放弃很多钱,Moss说。他认为麦克林恩的脆弱性价值约为25万美元。
但今年事情已经展开。黑帽组织者计划就他们运行的思科路由器和互联网操作系统进行三次会谈。 “今年突然之间,很多东西都被打破了,”Moss说,“最近,随着微软Windows不再成为曾经的错误狩猎的沃土,研究人员正在考虑其他产品进行破解。思科的路由器是一个有趣的目标。根据研究公司IDC的数据,它们占据了路由器市场60%以上的份额
“如果你拥有这个网络,那么你就拥有了这家公司,”欧洲COLT Telecom网络工程和安全高级经理Nicolas Fischbach说。数据服务提供商。 “拥有Windows PC并不是优先考虑的事情。”
但思科的路由器比Windows更难实现。它们不像黑客那样广为人知,而且它们有很多配置,所以对一台路由器的攻击可能会在一秒钟内失败。另一个区别是,思科管理员并不是经常下载和运行软件。最后,思科近年来在减少可通过Internet从路由器发起的攻击数量方面做了大量工作,根据菲施巴赫。他说:“所有可以用来对抗网络服务的基本的,非常简单的漏洞都没有了。”从公司网络以外的人被黑客入侵的风险是“非常低”。
这还没有阻止最新的安全研究人员。
两个月前核心安全研究员Sebastian Muniz展示了为思科路由器构建难以检测的Rootkit程序的新方法,本周,他的同事Ariel Futoransky将为该公司在该领域的研究提供Black Hat更新。
此外,来自伦敦的一家安全咨询公司信息风险管理(IRM)的两名研究人员计划发布GNU Debugger的修改版本,该版本让黑客了解Cisco IOS软件处理代码时会发生什么,以及三个shellcode程序可用于控制Cisco路由器。
IRM研究人员Gyan Chawdhary和Varun Uppal再次看到了Lynn的工作。特别是,他们仔细研究了Lynn能够绕过IOS安全特性Check Heap的方式,该特性扫描路由器内存中的修改类型,使黑客能够在系统上运行未经授权的代码。
他们发现,虽然思科已经封锁了林恩用来欺骗检查堆的技术,但还有其他方法可以将他们的代码隐藏到系统中。林恩披露后,思科“简单地修补了载体,”Chawdhary说。 “从某种意义上说,这个bug仍然存在。”
通过修改路由器内存的一部分,他们能够绕过Check Heap并将shellcode运行到系统中,他说。自己的研究可能,费利克斯“FX”林德纳,也将谈论思科在黑帽黑客攻击。 Recurity Labs的负责人Lindner计划发布他的新思科取证工具,称为CIR(思科事件响应),他在过去的几个月中已经进行了测试。将有一个免费版本,它将检查路由器的内存是否存在rootkit,而商业版本的软件将能够检测到攻击并对设备进行取证分析。
该软件将为像Fischbach这样的网络专业人士提供一种方式回头查看思科设备的内存并查看它是否被篡改。 “我认为这有用,”他说。 “对我而言,这是您进行取证时的工具包的一部分,但它不是您应该依赖的唯一工具。”Stewart说,任何思科攻击者仍然存在主要障碍。例如,许多攻击者不愿意破解路由器,因为如果他们犯了一个错误,他们就会摧毁整个网络。 “我们得到了一张通行证,因为没有人想要使用他们正在使用的基础设施,”他说。 “这就像在试图去一个不同的城市时搞砸高速公路一样。”虽然思科现在可能没有任何重大的安全隐患,但斯图尔特并没有理所当然的认为。“事实上,他也是承认他的公司迄今为止是幸运的,他知道如果像林德纳这样的人开始研究这个问题,情况可能会改变。 “我们有时间了,”他说。 “我们有机会变得更好,我们应该继续投资降低攻击面。”