FBI onderzoekt Cisco klokkenluider, presentatie online
De FBI is een onderzoek gestart naar Michael Lynn wegens het schenden van bedrijfsgeheimen die het eigendom van zijn ex-werkgever ISS waren. Lynn gaf tijdens de Blackhat conferentie in Las Vegas een presentatie waarin hij uitleg gaf hoe lekken in het besturingssysteem van Cisco routers misbruikt konden worden. Lynn liet alleen zien wat aanvallers konden doen als ze van het lek misbruik maakten, en gaf geen details hoe men dit moest doen.
Zowel Cisco als ISS waren op de hoogte dat Lynn de presentatie zou gaan geven. Op het laatste moment besloot men dit toch, zij het onsuccesvol, te voorkomen. Het onderzoek naar Lynn lijkt een kort leven beschoren te zijn. Cisco en Lynn waren al een overeenkomst overeengekomen en er is ook nog steeds geen "bewijs" tegen de onderzoeker gevonden. (Wired)
Met dank aan Frans E voor het melden van dit nieuws
beveiliging bestaat niet.
Het betreft hier een ISS medewerker die was ingehuurd door Cisco om
haar producten veiliger te maken en daarom volledige toegang kreeg tot
de source code. Oplossen van beveiligingszwakheden kost tijd en nu gaat
deze publiciteitsgeile "guru" de zaak aan de grote klok hangen en valse
suggesties wekken dat Cisco niets aan de verbetering van de veiligheid
van haar producten doet. Beetje rare actie, alleen al de paar ton die deze
consultant gekost heeft zijn en de inzage in hoogst vertrouwelijke source
code zijn al een bewijs dat Cisco de verbetering van de beveiliging
serieus neemt.
Ook is deze klokkenluider een onprofessionele IT security expert. Het kan
maanden duren voordat een security probleem opgelost is en soms
langer indien het probleem diep in het ontwerp van het product zit. Het is
dan gebruikelijk om de producent de tijd te geven om het probleem op te
lossen en pas de publiciteit te zoeken indien de producent duidelijk geen
actie onderneemt.
Enigzins zwart gekleurd artikel van de redactie, beetje tendentieus anti-
Cisco. Jammer, ik dacht altijd dat security.nl meer aan de white hat kant
van IT beveiliging stond.
Security.nl heeft toch nix te maken met het daad zelf..
Ze geven je het laatste nieuws..
Kijk nu ze het hebben gepresenteerd, wekt het reacties op.
En dat is goed nieuws.
White hat, Black hat, purple hat.
Denk je nou echt dat het security.nl wat boeit, het gaat hen
om het nieuws.
Elk product (software, hardware, etc.) heeft zijn gebreken,
perfecte
beveiliging bestaat niet.
Het betreft hier een ISS medewerker die was ingehuurd door
Cisco om
haar producten veiliger te maken en daarom volledige toegang
kreeg tot
de source code. Oplossen van beveiligingszwakheden kost tijd en
nu gaat
deze publiciteitsgeile "guru" de zaak aan de grote klok hangen
en valse
suggesties wekken dat Cisco niets aan de verbetering van de
veiligheid
van haar producten doet. Beetje rare actie, alleen al de paar ton
die deze
consultant gekost heeft zijn en de inzage in hoogst
vertrouwelijke source
code zijn al een bewijs dat Cisco de verbetering van de
beveiliging
serieus neemt.
Ook is deze klokkenluider een onprofessionele IT security expert.
Het kan
maanden duren voordat een security probleem opgelost is en
soms
langer indien het probleem diep in het ontwerp van het product
zit. Het is
dan gebruikelijk om de producent de tijd te geven om het
probleem op te
lossen en pas de publiciteit te zoeken indien de producent
duidelijk geen
actie onderneemt.
Enigzins zwart gekleurd artikel van de redactie, beetje
tendentieus anti-
Cisco. Jammer, ik dacht altijd dat security.nl meer aan de white
hat kant
van IT beveiliging stond.
Het doel is om objectief te blijven, en dat ben jij ook niet echt.
ALs je het artikel gelezen hebt dan weet je dat er een patch is
uitgeleverd alleen is de vraag hoe de patch het probleem oplost.
Aangezien deze man een claim doet die serieus onderzocht moet
worden vind ik het wel goed dat het aan de grote klok gehangen
wordt na de patch. Op deze manier is Cisco verplicht om het
probleem op te lossen. De claim die Micheal Lynn deed was
namelijk dat hij bewijs had gevonden dat hackers de routers van
cisco kunnen exploiteren. Dit vindt ik een kwalijke zaak. Ook deed
hij de uitspraak dat de broncode van de routers van cisco gestole
n is. Alleen door dit soort klokkeluiders gebeurt er wat voordat
het te laat is. De put dempen als het kalf verdronken is is jou
voorkeur kennelijk me dunkt.
Of hij de waarheid spreekt weet ik niet, maar ik vindt het vreemd
dat iemand zijn vrijheid en zijn zeer luxe brood in gevaar brengt
terwijl hij in een gunstige positie zit. Misschien had hij bij cisco en
iss al aan de bel getrokken, maar we kennen allemaal de non
disclosure agreements.
Of hij een standpunt ingenomen of hij is gek, we komen er
vanzelf wel achter.
Mijn eigen mening is dat het maar eens afgelopen moet zijn met
dat geheimzinnige en dan indekken. Dat is een slechte
eigenschap die we zeker niet moeten gaan aanmoedigen.
Security.nl heeft toch nix te maken met het daad zelf..
Ze geven je het laatste nieuws..
Kijk nu ze het hebben gepresenteerd, wekt het reacties op.
En dat is goed nieuws.
White hat, Black hat, purple hat.
Denk je nou echt dat het security.nl wat boeit, het gaat hen
om het nieuws.
Security.nl is de telegraaf onder de security sites. Sensatie gericht!
Ik moet nu gelijk aan Gerrie en Beef denken...
misschien tot de conclusie dat beide bedrijven overhaast en ondoordacht
gereageerd hebben en daardoor (meer nog dan Lynn) de belangen van
hun aandeelhouders hadden kunnen schaden.
Blijkbaar moet nog altijd diegene die de kat de bel aanbindt méér
geschoffeerd worden dan het bedrijf dat gebrekkige produkten op de markt
brengt.
Indien Cisco haar produkt werkelijk reeds zes maand geleden gepatched
heeft, waar zit dan nog hun probleem en waarom nog wachten tot volgend
jaar om de (voorlopige?) researchresultaten vrij te geven? Trouwens : de
ontwikkeling van de exploit heeft evenveel tijd in beslag genomen als het
patchen ervan.
Verder kan ISS wel niet verder dan zich tegen hun werknemer keren om in
de gunst van hun klant(en) te blijven.
Commerciële overwegingen prevaleren weer maar eens op
consumentenbelang, veiligheid, ethiek etc...
Producenten in de computerbussiness (zowel soft- als hardware)
verschuilen zich maar al te gemakkelijk achter het excuus van
de "ongelooflijke" complexiteit van hun produkten. Reden te meer om het
grondig te testen vooraleer het op de markt te brengen zou ik zeggen. Of
begrijpen ze hun eigen technologiën zelf niet meer (blijkbaar in
tegenstelling tot anderen)? Ethiek? Neenee, marktpositie. Daar gaat het
om, zelfs al hebben ze al het leeuwenaandeel in handen...
Tot slot: waarom wordt security.nl hier met de vinger gewezen?
Tendentieus? Sensatiegericht? Security.nl vervult hier toch enkel maar de
rol van doorgeefluik en geeft geen mening. Heeft Anoniem (30 juli 2005
12:23) Cisco-belangen,lange teentjes of gewoon verkeerd been uit bed?
Wie het koekje niet lust moet het niet eten.
Patrick.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
