Door karma4: Die achterdeurtjes in Cisco routers (linux based) zijn er ook. Pas nog enkele gedicht omdat code van de NSA tools gelekt is. Ook met linux software is de hoeveelheid code al lang zo dat het niet controleerbaar is.
De achterdeurtjes die in een chip gebakken zijn (verdenking richting huwaei) zul je niet zien net zo min als parallelle hardware systemen die in server ontwerpen vrij standaard zijn.
Een testprocedure kan nooit alles afdekken maar wel een beeld van de kwaliteit geven. (big data)
Voor de werkelijke informatie security afdekking in de operatie kom je toch uit bij ids en siem. Het is een activiteit.
dat steekproefsgewijs valideren (herhaald in perioden) zoals dat bij elke auditing werkt.
IDS intrusion detection systemen
SIEM Secuirtyt Information Event Monitoring.
Het zijn twee benaderingen die door OS beheerders met stokpaardjes tegengewerkt worden. (Noem het met telemetry Logging).
Karma4, ik denk dat je best een hoop weet van procesmatige security , audits en dergelijke.
Maar houd je liever verre van commentaar op technische details, want daar laat je een heel groot gebrek aan kennis zien.
Wat je daarover debiteert doet erg afbreuk aan de waarde die gehecht kan worden aan je commentaar op het nut van tools en processen .
Wat je schreef over "whitebox testing" heb ik al becommentarieerd.
Dat je meent dat "Cisco routers" "Linux based" zijn is (bijna) totaal onjuist .
Nu moet ik een hele paragraaf besteden om uit te leggen hoever de vier woorden "Cisco routers (linux gebaseerd)" weg staan van de werkelijkheid :
Cisco routers draaien voor het overgrote deel "Cisco IOS" . Dat is een RT OS ontwikkeld door Cisco, stukken ouder dan Linux en op z'n best van heel ver weg verwant aan "iets Unix achtigs" . Nieuwere en high-end Cisco routers draaien op "IOS XR" , en totaal nieuw OS, waarvan de kernel QNX is - Een Unix achtige real time kernel, maar weer beslist geen Linux.
Het userland van IOS XR is volledig van Cisco zelf .
Dan is er "IOS XE" . Dit is de "bijna" caveat die ik moet gebruiken. Hier is de systeem kernel Linux, dat er hoofdzakelijk is om een stel asic drivers te laden en het "Cisco IOS" proces te draaien. Het "IOS proces" is hier userland, en dat is het deel wat alle interactie met de buitenwereld heeft (routing protocollen, ntp, telnet/ssh/ipsec etc etc - en dus het deel waarvan je zorgen moet hebben over vulnerabilities) .
De andere "bijna" caveat is Nexus OS (high end switches ) , wat z'n roots heeft in SAN-OS waarvan de OS kernel weer gebaseerd is op een real time linux . Maar ook hier is het userland wat interactie heeft met de buitenwereld een eigen ontwikkeling.
Ietwat verder weg van Cisco 'routers' heb je Cisco firewalls (Pix/ASA) - Ook die OSen zijn geen "Linux" . Ook geen IOS , de firewall lijn is ontwikkeld door een ander bedrijf dat later door Cisco werd overgenomen. De CLI is min of meer 'ios like' .
Maakt dit uit ?
Ik zeg ja -
Ten eerste omdat het percentage hard gestelde onjuiste beweringen dat iemand doet is voor mij ook een schatting geeft van
hoeveel waarde ik moet hechten aan beweringen over onderwerpen waar ik niet weet of het klopt.
En voor deze specifieke stelling - gegeven dat Cisco's OS'en erg weinig met Linux van doen hebben , kun je product alerts voor Linux niet als een voorspeller beschouwen van product alerts voor Cisco OSen - noch andersom.
Ja, beiden hebben wel eens bugs. En delen wellicht soms "referentiecode" voor sommige applicaties (ik meen dat ook Cisco's NTP implementatie z'n roots had in de bekende ntp.org code , bijvoorbeeld ).
De recent gepubliceerde vulnerability voor IPSec op Cisco routers staat dus los van eventuele vulnerabilities in Linux IPSec code .
De term 'achterdeur' is een oordeel wat hierin voor zo ver ik weet nog niet erg vaststaat - het impliceert een *bewust* geintroduceerde vulnerability, versus een bug .De nadrukkelijke smoking guns van de Juniper Netscreen firewalls ontbreken tot op heden bij de ASA en IOS alerts. Gegeven dat IKE een nogal complex protocol is, is een bug bepaald niet uit te sluiten .
Een code review/audit kan sommige klassen van security issues makkelijk aantonen die met testen vrijwel onvindbaar zijn.
Verder zal de bereidheid tot een code audit de klant vertrouwen geven - uiteindelijk wil de leverancier het product verkopen.
Je zult niet alles kunnen vinden . En verdedigen tegen een kwaadwillende leverancier van het kaliber "de compiler introduceert de backdoor" is vrijwel ondoenlijk.
Ja , IDS / SIEM zijn zeker nuttige technieken, en die moet je vooral niet nalaten. Ik wil ook zeker niet stellen dat als je maar de code geaudit hebt van een ding je verder operationeel nergens meer op hoeft te letten. Beslist niet .