Lynn: Lek in Cisco routers is tikkende tijdbom
De presentatie van Michael Lynn tijdens de Blackhat 2005 conferentie in Las Vegas heeft de nodige stof doen opwaaien. Inmiddels heeft de security onderzoeker met Cisco en ISS een overeenkomst gesloten, waarin hij belooft zijn onderzoeksmateriaal te verwijderen, de details van de aanval geheim te houden en geen kopieen van zijn presentatie te maken. Ook de FBI is een onderzoek naar de inmiddels bekende onderzoeker gestart.
Het begon allemaal op 26 januari toen Lynn de opdracht van zijn voormalige werkgever ISS kreeg om Cisco's IOS te "reverse-engineren". Lynn ontdekt het lek en nam contact op met Cisco, dat nogal kwaad reageerde en zelfs zei dat Lynn loog, aangezien het onmogelijk zou zijn om shell code in Cisco IOS uit te voeren. Dit irriteerde ISS, dat Lynn toestemming gaf om uit te zoeken hoe het lek misbruikt kon worden om code uit te voeren. Het was ook het idee van ISS om Lynn naar de Blackhat Conferentie te sturen om daar de presentatie over het lek te houden, terwijl men wist hoe ernstig dit was.
Volgens Lynn is het lek een tikkende tijdbom en kunnen soortgelijke lekken op Cisco routers ernstige gevolgen hebben. Als de router door een worm wordt uitgeschakeld zal het niet zo makkelijk meer hersteld kunnen worden, aangezien er geen patch gedownload kan worden. Ook het verspreiden van een CD met een patch werkt niet, aangezien er geen CD-Rom drive aanwezig is, zo laat Lynn in dit interview weten.
Hij zou beter zijn mond houden want nu is hij zich ongelooflijk belachelijk
aan het maken.
O o o wat een kennis ter zake :rolleyes
Hij zou beter zijn mond houden want nu is hij zich
ongelooflijk belachelijk
aan het maken.
redactie hier heeft neergezet? Want de redactie heeft volges
mij het artikel ook niet gelezen. Hoe dan ook, mijn respect
voor Lynn was al groot na het lezen van de presentatie, maar
het is nu nog groter geworden.
Misschien is het wel eens goed dat de beste meneer er nu mee
naar buiten komt. Cisco heeft nu wel lang genoeg de tijd
gehad om de situatie te verbeteren. Het is nu bijna 6
maanden tussen de eerste melding bij Cisco (ik lees in dit
stuk 26 januari) en de Blackhat conferentie. Cisco moet van
z'n luie achterwerk af en aan de slag. Dit is een risico en
moet aangepakt worden.
Voor dat de (digitale) bom valt.
Dit klinkt als een typische reactie van een Cisco medewerker.
Misschien is het wel eens goed dat de beste meneer er nu mee
naar buiten komt. Cisco heeft nu wel lang genoeg de tijd
gehad om de situatie te verbeteren. Het is nu bijna 6
maanden tussen de eerste melding bij Cisco (ik lees in dit
stuk 26 januari) en de Blackhat conferentie. Cisco moet van
z'n luie achterwerk af en aan de slag. Dit is een risico en
moet aangepakt worden.
Laat het gat al van april gedicht geweest zijn...
Ik had al mijn bedenkingen bij de man zijn motief maar de flater ivm die
CD...is hij ooit al in de omtrek geweest van een router in productie????
Voor de rest kan ik mij de communicatie met TAC voorstellen. Tot daar
was hij geloofwaardig... maar als je de laatste slide van zijn presentatie
bekijkt... zijn CV ...
Dit klinkt als een typische reactie van een Cisco medewerker.
Misschien is het wel eens goed dat de beste meneer er nu mee
naar buiten komt. Cisco heeft nu wel lang genoeg de tijd
gehad om de situatie te verbeteren. Het is nu bijna 6
maanden tussen de eerste melding bij Cisco (ik lees in dit
stuk 26 januari) en de Blackhat conferentie. Cisco moet van
z'n luie achterwerk af en aan de slag. Dit is een risico en
moet aangepakt worden.
Laat het gat al van april gedicht geweest zijn...
Ik had al mijn bedenkingen bij de man zijn motief maar de flater ivm die
CD...is hij ooit al in de omtrek geweest van een router in productie????
Voor de rest kan ik mij de communicatie met TAC voorstellen. Tot daar
was hij geloofwaardig... maar als je de laatste slide van zijn presentatie
bekijkt... zijn CV ...
Laat het gat al van april gedicht geweest zijn...
Als dat zo is, waarom gaat Cisco dan als een bezetene achter
deze man aan? Waarom wordt de pdf-presentatie dan van
internet afgehaald? Waarom worden er dan pagina's uit de
conference proceedings gescheurd?
Geef toe: het gedrag van Cisco valt niet te rijmen met het
een al gedicht lek.
Ik had al mijn bedenkingen bij de man zijn motief maar de
flater ivm die
CD...is hij ooit al in de omtrek geweest van een router in
productie????
die niet leest maar gewoon dom de woorden van de redactie
van security.nl overneemt? Wat deze man zegt is heel simpel:
stel je voor dat het halve internet plat ligt... hoe gaat
Cisco de IOS update dan verspreiden? Er zit niet een
cd-drive aan een router waarmee je 'm makkelijk even update...
Voor de rest kan ik mij de communicatie met TAC voorstellen.
Tot daar
was hij geloofwaardig... maar als je de laatste slide van
zijn presentatie
bekijkt... zijn CV ...
Ik weet niet welke presentatie jij gezien hebt, degene die
ik zag was zonder cv. Maar de inhoud van de presentatie,
daar ben ik zwaar van onder de indruk. En ja, het graven in
assembly code behoort tot mijn werk.
CDrom zit aan een Cisco en als ik jou nu eens zeg dat je het
netwerk niet eens nodig hebt om IOS te laden....
Dan kan je perfect de patch naar klanten sturen om het probleem op
te lossen....
ik heb foto's gezien van de presentatie en zijn aangepaste versie
waar de code uit verwijderd is. Dit is de reden waarom Cisco pissed
was ( omdat hij code publiek maakte terwijl dat niet nodig was)
Zijn laatste slide was zijn cv: ww.io.com/~abaddon.pdf of denk je dat
ik dat er opgezet heb.
Met mijn kennis van het Engels begrijp ik dat hij zegt dat
er geen
CDrom zit aan een Cisco en als ik jou nu eens zeg dat je het
netwerk niet eens nodig hebt om IOS te laden....
Dan kan je perfect de patch naar klanten sturen om het
probleem op
te lossen....
ik heb foto's gezien van de presentatie en zijn aangepaste
versie
waar de code uit verwijderd is. Dit is de reden waarom Cisco
pissed
was ( omdat hij code publiek maakte terwijl dat niet nodig was)
Zijn laatste slide was zijn cv: ww.io.com/~abaddon.pdf of
denk je dat
ik dat er opgezet heb.
Denk dat je de context van de zin niet begreep, maar het
staat daar niet letterlijk maar figuurlijk...
telefoon meer is...
Je moet eens wat meer onder de mensen komen.
Alsof het hele Internet opeens gaat uitliggen en er geen taxipost en
telefoon meer is...
Je moet eens wat meer onder de mensen komen.
Ik geloof dat jij niet helemaal door hebt op welke punten er allemaal Cisco
apparatuur gebruikt wordt. Laat ik het zo zeggen... als nu alle cisco dezen
stoppen met werken dan is de kans dat jij nog belt opeens héél klein
geworden.
Los daarvan ben ik met je eens dat er andere manieren zijn om een patch te
verspreiden, maar ik heb de indruk dat je er geen rekening mee houdt hoe
lang het duurt om die patch te verspreiden en hoe veel geld het dus aan
downtime bij bedrijven kost voordat de patch überhaubt geïnstalleerd kan
worden.
En heb jij enig idee hoeveel network devices er in een gemiddeld netwerk
zitten? Als je die allemaal langs moet...
Zijn laatste slide was zijn cv: ww.io.com/~abaddon.pdf of
denk je dat
ik dat er opgezet heb.
document, dan vergelijk ik 'm even met een hash van de pdf
die ik heb.
http://www.viruswatch.nl/holygrail/bh05/index.htm
Daar moet je geen hash voor gebruiken om te zien dat het de echte
presentatie is.
Maar hij heeft zijn CV er al afgehaald. Het was trouwens niet veel
bijzonders.
en Cisco de zaak hebben aangepakt.
Volgende link kan in dat opzicht misschien interessant zijn:
Last researchers that contacted cisco before disclosing a vulnerability
where sued by cisco:
http://kerneltrap.org/node/3085
http://kerneltrap.org/node/5382
Cisco even tried to patent theire discoveries ! So how can they, now, be
such phoney and blame Lynn for this full disclosure ?
[unquote]
Bron:
http://www.securityfocus.com/comments/articles/11263/32251/threaded
Patrick.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
