Aanklacht Cisco wegens presentatie over IOS lekken *update*
In Nederland hebben we What The Hack in Liempde, aan de andere kant van de oceaan heeft men de Black Hat 2005 conferentie in Las Vegas. De conferentie begon met een zeer omstreden presentatie over het remote uitvoeren van code in Cisco's Internetwork Operating System (IOS), oftewel het overnemen van het netwerk. IOS is het besturingssysteem dat in de belangrijkste netwerken ter wereld wordt gebruikt.
Naast het feit dat de afbeeldingen uit de handouts en slides waren geknipt, ging de presentatie bijna niet door. Spreker Michael Lynn, onderzoeker bij de X-Force afdeling van Internet Security Systems, nam zelfs ontslag bij zijn werkgever om de presentatie te kunnen houden, die volgens F-Secure erg interessant was. In tegenstelling tot veel andere presentaties kan die van Lynn niet op de multimedia pagina van de conferentie gedownload worden.
Update 11:15
Cisco en ISS zijn allesbehalve blij met de presentatie en hebben nu een aanklacht ingediend tegen Michael Lynn en de organisatie. Beide bedrijven hadden geprobeerd zoveel mogelijk van de presentatie te verwijderen, maar toch ging deze door. Daarom wil men nu dat de rechter een "restraining order" uitspreekt, zodat de lekken en kwetsbaarheden in IOS niet verder besproken worden. Volgens Cisco gaat het hier om het beschermen van haar eigen intellectueel eigendom.
Beide partijen hadden al drie weken intens overleg gepleegd over de presentatie, waarbij Cisco de afgelopen dagen acht uur bezig is geweest met het uitscheuren van de pagina's uit het conferentie boek. ISS wilde dat de presentatie helemaal niet werd gegeven, waarna Lynn ontslag nam. Security Focus heeft het volledige verhaal.
wordt meerdere keren per jaar wereldwijd gehouden en is ook
geregeld in Nederland voor het Europese deel.
Door Cisco wordt opgehouden dat de heksenjacht onderdeel is
van het beschermen van hun intelectuele eigendommen, nmm is
dat flauwekul van de grootste orde. We horen cisco nergens
klagen als er leerzame informatie over en met voorbeelden
van hun producten wordt gepubliceerd of uitgelegd bij
conferenties. Het zit ze waarschijnlijk gewoon niet lekker
dat ze hier voor schut staan omdat ze IOS al jaren
presenteren als zeer veilig.
ISS is ook bang voor hun reputatie: niet leuk als een
werknemer negatief bericht over een van je beste partners
die het je wel eens juridisch zeer lastig kan gaan maken.
zou willen doen t..o.v. security tooling. Om het niet aan de grote klok te
hangen krijgen bedrijve, overheden en consumenten het gevoel dat er niks
aan de hand is en kunnen blackhat hackers of andere minder ethische
individuen misbruik maken van of zelfs stukken van het netwerk c.q.
Internet platleggen in dit geval. Door 1 individue te sueen pakken ze niet de
root van het probleem aan en ze bereiken er absoluut niets mee behalve
dat misschien het ondergronds blijft en er daadwerkelijk schade ontstaat
of erger. Het is de zaak van bedrijven (monopolisten) zoals Microsoft,
Oracle en Cisco om niet een ubermensch houding aan te nemen en te
wachten tot er iets gebeurt. Het is wel gebleken dat dat niet werkt.
Probleem is dat de er vaak meer kennis m.b.t. de veiligheid van producten
buiten de hekken van de vendor aanwezig is dan binnen. Willens en
wetens of onbewust. Ik ondersteun daarom ook het disclosen van deze
informtie op de Blackhat. R3tr0
je tenminste nog een bedankje krijgen na het melden van vulnerabilities!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
