Cisco dreigt websites wegens aanbieden presentatie
Niet alleen onderzoeker Michael Lynn heeft met zijn presenatie over lekken in Cisco's IOS de woede van de netwerkgigant over zich heen gehaald, ook websites die de presentatie aanbieden kunnen op dreigementen wachten. Rick Forno, een security consultant die een PDF van Michael Lynn's presentatie online had gezet, moest deze na dreigementen van Cisco offline halen. Forno verwijderde de link waar Cisco om vroeg, maar bood het bestand op een andere locatie weer aan. Inmiddels zijn er talloze mirrors verschenen waar de presentatie gedownload kan worden. Een woordvoerder van Cisco bevestigde dat het bedrijf op de hoogte was dat de PDF werd aangeboden, en liet tevens weten alles te doen om de klanten en het bedrijf te beschermen.
beschermen"
Tja, en alles bestaat tegenwoordig uit een legertje advocaten..... Helaas is
er maar 1 ding waar bedrijven als Cisco tegenwoordig hard voor gaan
lopen en dat is het risico op slechte publiciteit. Cynisch genoeg heeft
Cisco (naar mijn mening) met haar acties de afgelopen dagen zichzelf
meer kwaad gedaan dan de originele presentatie van Lynn ooit had
kunnen bereiken. Niet alleen is iedereen op de hoogte van de ernstige
risisco's, maar laat Cisco ook zien alles te willen doen om fouten onder de
pet te houden (niet dat dit nieuw is, maar dit ging wel heel erg in alle
openheid).
Ben benieuwd naar het staartje.
beschermen.
aan veiligheids fouten in IOS openlijk toegeven, behulpzaam zijn door
advies uit te brengen en met veilige versies te komen.....
Maar nee, bij Cisco heet beschermen het mond snoeren van personen die
de wereld wijzen op de fouten en de klant dom houden. Daar betaal je dus
duizenden euro's/dollars aan techniek en service voor.
Ik mag werkelijk hopen dat er binnenkort iets goed mis gaat als gevolg van
hun software en ze er gewoon niet meer omheen kunnen.
bedrijven overstappen op Juniper spul...
FUD sucks; na M$ beginnen steeds meer (grote) bedrijven dat
te doen....
kan me heel goed voorstellen dat Cisco hier een beetje boos
over is.. dit is veel meer dan aangeven dat er bepaalde
lekken op bepaalde plekken zitten... dit is gewoon een
cursus "how to exploit IOS in 10 minutes". Overigens
betekent dat niet dat je dus met de informatie morgen een
werkende IOS hebt, maar het betekent wel dat je met wat oude
Cisco hardware (eenvoudig te verkrijgen) en kennis van het
exploiten van software redelijk snel een werkende IOS
exploit hebt.
Ik ben er wel van overtuigd dat dit al lang common knowledge
was in de hackergemeenschap...
Much ado about nothing.
Het grote verschil met M$ is dat routers meestal door pro's worden
geconfigureerd en vooral backbonerouters zullen wel voldoende
geconfigureerd zijn, niet zoals de huis-thuis-keuken-MS-klikkers.
Cisco-management heeft een inschattingsfout gemaakt, zoveel
is zeker.
Much ado about nothing.
Dit is erg kort door de bocht. Ik zou willen zeggen dat
Cisco management nu bezig is met "shoot the messenger" in
plaats van het aanpakken van de wezenlijke problemen. Niet
erg gericht op het beschermen van klanten, als je het mij
vraagt. De informatie is al naar buiten gekomen, het wordt
HEEL lastig die informatie nu nog te containen.
Het grote verschil met M$ is dat routers meestal door pro's
worden
geconfigureerd en vooral backbonerouters zullen wel voldoende
geconfigureerd zijn, niet zoals de
huis-thuis-keuken-MS-klikkers.
nagenoeg IEDER cisco device op dit moment in een bepaalde
mate kwetsbaar is. En door de goede verkrijgbaarheid van
Cisco hardware (ook tweedehands) en de ruime
verspreidingsgraag van die zelfde hardware over de hele
wereld zijn de mogelijkheden om de kwetsbaarheden te
exploiteren dus ook voor handen.
En wat huis-tuin-keuken-MS-klikkers betreft... dat heeft met
deze discussie niets te maken.
waar kan ik deze PDF neerhalen?
Cisco router werkt.
Ik ben er vrij sterk van overtuigd dat hij dit in een labo heeft geprobeerd
met een IOS. Met een doorsnee configuratie. (CDP enabled en SNMP niet-
geconfigureerd.... wie doet dat nu nog...?)
Ik wil net aantonen dat een router professioneel configureren meer is
dan "next- next -finish", de MS-way.
Er zijn zeker nog ander flaws en bugs te vinden in een IOS maar wij
rapporteren die aan TAC en het wordt onmiddellijk naar engineering
gestuurd. (waardoor ik nu niet van mijn stoel donderde bij het horen van
dit schokkend nieuws)
Dus ik neem het verhaal dat hij niet gehoord werd bij Cisco met een
kilootje zout.
Het is misschien een stunt van Cisco om zijn certificaten te promoten :-D?
Het enige grappige dit keer is dat ze eindelijk eens een keer grondig te
werk gaan. Als ze dat nu bij de ontwikkeling deden......
reactie t.a.v. Lynn, nu moet iedereen die die -inderdaad interessante-
slides op zijn site zet er ook nog aan geloven? Arrogant is misschien niet
het juiste woord...
Ben ook benieuwd naar het vervolg van deze soap.
Patrick.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
