image

Lynn: Lek in Cisco routers is tikkende tijdbom

dinsdag 2 augustus 2005, 10:52 door Redactie, 15 reacties

De presentatie van Michael Lynn tijdens de Blackhat 2005 conferentie in Las Vegas heeft de nodige stof doen opwaaien. Inmiddels heeft de security onderzoeker met Cisco en ISS een overeenkomst gesloten, waarin hij belooft zijn onderzoeksmateriaal te verwijderen, de details van de aanval geheim te houden en geen kopieen van zijn presentatie te maken. Ook de FBI is een onderzoek naar de inmiddels bekende onderzoeker gestart.

Het begon allemaal op 26 januari toen Lynn de opdracht van zijn voormalige werkgever ISS kreeg om Cisco's IOS te "reverse-engineren". Lynn ontdekt het lek en nam contact op met Cisco, dat nogal kwaad reageerde en zelfs zei dat Lynn loog, aangezien het onmogelijk zou zijn om shell code in Cisco IOS uit te voeren. Dit irriteerde ISS, dat Lynn toestemming gaf om uit te zoeken hoe het lek misbruikt kon worden om code uit te voeren. Het was ook het idee van ISS om Lynn naar de Blackhat Conferentie te sturen om daar de presentatie over het lek te houden, terwijl men wist hoe ernstig dit was.

Volgens Lynn is het lek een tikkende tijdbom en kunnen soortgelijke lekken op Cisco routers ernstige gevolgen hebben. Als de router door een worm wordt uitgeschakeld zal het niet zo makkelijk meer hersteld kunnen worden, aangezien er geen patch gedownload kan worden. Ook het verspreiden van een CD met een patch werkt niet, aangezien er geen CD-Rom drive aanwezig is, zo laat Lynn in dit interview weten.

Reacties (15)
02-08-2005, 11:50 door Anoniem
O o o wat een kennis ter zake :rolleyes
Hij zou beter zijn mond houden want nu is hij zich ongelooflijk belachelijk
aan het maken.
02-08-2005, 12:30 door Anoniem
Door Anoniem
O o o wat een kennis ter zake :rolleyes
Hij zou beter zijn mond houden want nu is hij zich
ongelooflijk belachelijk
aan het maken.
Heb je het artikel gelezen of reageer je op hetgeen de
redactie hier heeft neergezet? Want de redactie heeft volges
mij het artikel ook niet gelezen. Hoe dan ook, mijn respect
voor Lynn was al groot na het lezen van de presentatie, maar
het is nu nog groter geworden.
02-08-2005, 12:34 door Anoniem
Dit klinkt als een typische reactie van een Cisco medewerker.

Misschien is het wel eens goed dat de beste meneer er nu mee
naar buiten komt. Cisco heeft nu wel lang genoeg de tijd
gehad om de situatie te verbeteren. Het is nu bijna 6
maanden tussen de eerste melding bij Cisco (ik lees in dit
stuk 26 januari) en de Blackhat conferentie. Cisco moet van
z'n luie achterwerk af en aan de slag. Dit is een risico en
moet aangepakt worden.
02-08-2005, 12:56 door spatieman
Doe maar zong het al..
Voor dat de (digitale) bom valt.
02-08-2005, 13:25 door Anoniem
Bestaat er geen open source alternatief voor die Cisco IOS?
02-08-2005, 14:12 door Anoniem
Door Anoniem
Dit klinkt als een typische reactie van een Cisco medewerker.

Misschien is het wel eens goed dat de beste meneer er nu mee
naar buiten komt. Cisco heeft nu wel lang genoeg de tijd
gehad om de situatie te verbeteren. Het is nu bijna 6
maanden tussen de eerste melding bij Cisco (ik lees in dit
stuk 26 januari) en de Blackhat conferentie. Cisco moet van
z'n luie achterwerk af en aan de slag. Dit is een risico en
moet aangepakt worden.

Laat het gat al van april gedicht geweest zijn...

Ik had al mijn bedenkingen bij de man zijn motief maar de flater ivm die
CD...is hij ooit al in de omtrek geweest van een router in productie????

Voor de rest kan ik mij de communicatie met TAC voorstellen. Tot daar
was hij geloofwaardig... maar als je de laatste slide van zijn presentatie
bekijkt... zijn CV ...
02-08-2005, 14:12 door Anoniem
Door Anoniem
Dit klinkt als een typische reactie van een Cisco medewerker.

Misschien is het wel eens goed dat de beste meneer er nu mee
naar buiten komt. Cisco heeft nu wel lang genoeg de tijd
gehad om de situatie te verbeteren. Het is nu bijna 6
maanden tussen de eerste melding bij Cisco (ik lees in dit
stuk 26 januari) en de Blackhat conferentie. Cisco moet van
z'n luie achterwerk af en aan de slag. Dit is een risico en
moet aangepakt worden.

Laat het gat al van april gedicht geweest zijn...

Ik had al mijn bedenkingen bij de man zijn motief maar de flater ivm die
CD...is hij ooit al in de omtrek geweest van een router in productie????

Voor de rest kan ik mij de communicatie met TAC voorstellen. Tot daar
was hij geloofwaardig... maar als je de laatste slide van zijn presentatie
bekijkt... zijn CV ...
02-08-2005, 17:05 door Anoniem
Door Anoniem
Laat het gat al van april gedicht geweest zijn...

Als dat zo is, waarom gaat Cisco dan als een bezetene achter
deze man aan? Waarom wordt de pdf-presentatie dan van
internet afgehaald? Waarom worden er dan pagina's uit de
conference proceedings gescheurd?

Geef toe: het gedrag van Cisco valt niet te rijmen met het
een al gedicht lek.


Ik had al mijn bedenkingen bij de man zijn motief maar de
flater ivm die
CD...is hij ooit al in de omtrek geweest van een router in
productie????
En heb jij het artikel wel gelezen? Of ben je zo'n sufferd
die niet leest maar gewoon dom de woorden van de redactie
van security.nl overneemt? Wat deze man zegt is heel simpel:
stel je voor dat het halve internet plat ligt... hoe gaat
Cisco de IOS update dan verspreiden? Er zit niet een
cd-drive aan een router waarmee je 'm makkelijk even update...

Voor de rest kan ik mij de communicatie met TAC voorstellen.
Tot daar
was hij geloofwaardig... maar als je de laatste slide van
zijn presentatie
bekijkt... zijn CV ...

Ik weet niet welke presentatie jij gezien hebt, degene die
ik zag was zonder cv. Maar de inhoud van de presentatie,
daar ben ik zwaar van onder de indruk. En ja, het graven in
assembly code behoort tot mijn werk.
02-08-2005, 18:36 door Anoniem
Met mijn kennis van het Engels begrijp ik dat hij zegt dat er geen
CDrom zit aan een Cisco en als ik jou nu eens zeg dat je het
netwerk niet eens nodig hebt om IOS te laden....
Dan kan je perfect de patch naar klanten sturen om het probleem op
te lossen....

ik heb foto's gezien van de presentatie en zijn aangepaste versie
waar de code uit verwijderd is. Dit is de reden waarom Cisco pissed
was ( omdat hij code publiek maakte terwijl dat niet nodig was)

Zijn laatste slide was zijn cv: ww.io.com/~abaddon.pdf of denk je dat
ik dat er opgezet heb.
02-08-2005, 19:26 door Anoniem
Door Anoniem
Met mijn kennis van het Engels begrijp ik dat hij zegt dat
er geen
CDrom zit aan een Cisco en als ik jou nu eens zeg dat je het
netwerk niet eens nodig hebt om IOS te laden....
Dan kan je perfect de patch naar klanten sturen om het
probleem op
te lossen....

ik heb foto's gezien van de presentatie en zijn aangepaste
versie
waar de code uit verwijderd is. Dit is de reden waarom Cisco
pissed
was ( omdat hij code publiek maakte terwijl dat niet nodig was)

Zijn laatste slide was zijn cv: ww.io.com/~abaddon.pdf of
denk je dat
ik dat er opgezet heb.


Denk dat je de context van de zin niet begreep, maar het
staat daar niet letterlijk maar figuurlijk...
02-08-2005, 20:12 door Anoniem
Alsof het hele Internet opeens gaat uitliggen en er geen taxipost en
telefoon meer is...
Je moet eens wat meer onder de mensen komen.
02-08-2005, 22:14 door Anoniem
Door Anoniem
Alsof het hele Internet opeens gaat uitliggen en er geen taxipost en
telefoon meer is...
Je moet eens wat meer onder de mensen komen.

Ik geloof dat jij niet helemaal door hebt op welke punten er allemaal Cisco
apparatuur gebruikt wordt. Laat ik het zo zeggen... als nu alle cisco dezen
stoppen met werken dan is de kans dat jij nog belt opeens héél klein
geworden.

Los daarvan ben ik met je eens dat er andere manieren zijn om een patch te
verspreiden, maar ik heb de indruk dat je er geen rekening mee houdt hoe
lang het duurt om die patch te verspreiden en hoe veel geld het dus aan
downtime bij bedrijven kost voordat de patch überhaubt geïnstalleerd kan
worden.

En heb jij enig idee hoeveel network devices er in een gemiddeld netwerk
zitten? Als je die allemaal langs moet...
03-08-2005, 09:19 door Anoniem
Door Anoniem
Zijn laatste slide was zijn cv: ww.io.com/~abaddon.pdf of
denk je dat
ik dat er opgezet heb.
je link werkt niet... post even een md5 hash van het
document, dan vergelijk ik 'm even met een hash van de pdf
die ik heb.
03-08-2005, 14:12 door Anoniem
:rolleyes

http://www.viruswatch.nl/holygrail/bh05/index.htm

Daar moet je geen hash voor gebruiken om te zien dat het de echte
presentatie is.
Maar hij heeft zijn CV er al afgehaald. Het was trouwens niet veel
bijzonders.
06-08-2005, 10:37 door Nabulafia
Een deel van het interview betreft de niet-technische kwestie van hoe ISS
en Cisco de zaak hebben aangepakt.
Volgende link kan in dat opzicht misschien interessant zijn:

Last researchers that contacted cisco before disclosing a vulnerability
where sued by cisco:

http://kerneltrap.org/node/3085

http://kerneltrap.org/node/5382

Cisco even tried to patent theire discoveries ! So how can they, now, be
such phoney and blame Lynn for this full disclosure ?
[unquote]
Bron:
http://www.securityfocus.com/comments/articles/11263/32251/threaded

Patrick.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.