Los enrutadores de Cisco toman nuevamente Hacker Spotlight

ha estado bastante tranquilo durante los últimos tres años, pero en la conferencia de hackers Black Hat de esta semana en Las Vegas, va a haber un poco de ruido.

Investigadores de seguridad darán charlas sobre rootkits y nuevos programas de piratería y detección de intrusos para los enrutadores que llevan la mayor parte del tráfico de Internet.

Hace tres años, el investigador de seguridad Michael Lynn centró su atención en los productos de Cisco cuando habló sobre cómo ejecutó un programa simple de "shellcode" en un enrutador sin autorización. La controvertida charla de Lynn fue la historia más grande en Black Hat 2005. Tuvo que dejar su trabajo diario para evitar una prohibición de la compañía de hablar sobre Cisco, y tanto él como los organizadores de la conferencia fueron demandados rápidamente por Cisco. La empresa de redes argumentó que las diapositivas de presentación de Lynn contenían información que violaba los derechos de propiedad intelectual de la compañía, y la charla de Lynn fue arrancada literalmente del paquete de materiales de la conferencia. En un acuerdo, el investigador no pudo seguir hablando de su trabajo, pero las copias de su presentación (pdf) se publicaron en línea.

[Más información: las mejores cajas NAS para transmisión y copia de seguridad de medios]

Hoy, jefe de Cisco El oficial de seguridad John Stewart es notablemente sincero acerca de la experiencia, diciendo que su compañía actuó por las razones correctas, protegiendo a sus clientes y propiedad intelectual, pero fue demasiado lejos. "Hicimos algún tipo de cosas tontas", dijo. "Es por eso que personalmente patrociné Black Hat en el nivel platino desde entonces. Porque creo que tuvimos una expiación por hacer".

Lynn no estuvo sin un trabajo por mucho tiempo. Rápidamente fue arrebatado por el competidor de Cisco Juniper Networks, pero durante unos años después de su charla, no hubo mucha discusión pública sobre la piratería de Cisco, según Jeff Moss, director de Black Hat.

Moss cree que la economía puede haber impulsado algunos investigadores de Cisco bajo tierra. Cualquier código que explote las vulnerabilidades de Cisco es tan apreciado que cualquier hacker que decida revelar sus hallazgos, en lugar de venderlos a una compañía de seguridad o agencia gubernamental, a menudo está renunciando a una gran cantidad de dinero, dijo Moss. La vulnerabilidad de Mike Lynn valía aproximadamente US $ 250,000, reconoce.

Pero este año las cosas se han abierto. Los organizadores de Black Hat planean tres charlas sobre los enrutadores Cisco y el sistema operativo Internetwork que ejecutan. "De repente este año se han soltado muchas cosas", dijo Moss.

Últimamente, con Microsoft Windows ya no es el terreno fértil para la caza de insectos que alguna vez fue, los investigadores están buscando otros productos para hackear. Y los enrutadores de Cisco son un objetivo interesante. Controlan más del 60 por ciento del mercado de enrutadores, según la firma de investigación IDC.

"Si posee la red, es dueño de la empresa", dijo Nicolas Fischbach, gerente senior de ingeniería de redes y seguridad de COLT Telecom, una empresa europea. proveedor de servicios de datos "Poseer la PC con Windows ya no es una prioridad".

Pero los enrutadores de Cisco son un objetivo más difícil que Windows. No son tan conocidos por los piratas informáticos y tienen muchas configuraciones, por lo que un ataque a un enrutador podría fallar por un segundo. Otra diferencia es que los administradores de Cisco no están constantemente descargando y ejecutando software.

Finalmente, Cisco ha trabajado mucho en los últimos años para reducir el número de ataques que se pueden lanzar contra sus enrutadores desde Internet, según Fischbach. "Todos los exploits básicos y realmente fáciles que podrías usar contra los servicios de red realmente han desaparecido", dijo. El riesgo de tener un enrutador bien configurado pirateado por alguien externo a su red corporativa es "realmente bajo".

Eso no ha disuadido a la última cosecha de investigadores de seguridad.

Hace dos meses, el investigador de Core Security Sebastian Muniz mostró nuevas formas de crear programas de rootkits difíciles de detectar para los enrutadores Cisco, y esta semana su colega, Ariel Futoransky, dará una actualización de Black Hat sobre las investigaciones de la compañía en esta área.

Además, dos investigadores de Information Risk Management (IRM), una consultora de seguridad con sede en Londres, planean lanzar una versión modificada del Depurador GNU, que ofrece a los piratas informáticos lo que sucede cuando el software Cisco IOS procesa su código y tres programas de shellcode que se puede usar para controlar un enrutador Cisco.

Los investigadores del IRM Gyan Chawdhary y Varun Uppal han echado un segundo vistazo al trabajo de Lynn. En particular, observaron de cerca la forma en que Lynn pudo sortear una característica de seguridad de IOS llamada Check Heap, que escanea la memoria del enrutador en busca del tipo de modificaciones que permitirían a un hacker ejecutar código no autorizado en el sistema.

Descubrieron que, si bien Cisco había bloqueado la técnica que Lynn usaba para engañar a Check Heap, todavía había otras formas de introducir su código en el sistema. Después de la revelación de Lynn, Cisco "simplemente parchó el vector", dijo Chawdhary. "En cierto sentido, el error persiste".

Al modificar una parte de la memoria del enrutador, pudieron evitar Check Heap y ejecutar su shellcode en el sistema, dijo.

El investigador Lynn lo atribuyó a su propia investigación posible, Felix "FX" Lindner, también hablará sobre la piratería de Cisco en Black Hat. Lindner, director de Recurity Labs, planea lanzar su nueva herramienta forense de Cisco, llamada CIR (Cisco Incident Response), que ha probado beta durante los últimos meses. Habrá una versión gratuita, que verificará la memoria de un enrutador en busca de rootkits, mientras que una versión comercial del software podrá detectar ataques y realizar análisis forenses de los dispositivos.

Este software dará a los profesionales de redes como Fischbach una manera para volver atrás y mirar la memoria de un dispositivo Cisco y ver si ha sido alterado. "Creo que hay un uso para eso", dijo. "Para mí, es parte del conjunto de herramientas cuando se hace análisis forense, pero no es la única herramienta en la que se debe confiar".

Todavía existen barreras importantes para cualquier atacante de Cisco, dice Stewart. Por ejemplo, muchos atacantes son reacios a piratear enrutadores, porque si se equivocan, noquean toda la red. "Obtuvimos un pase porque nadie quiere fallar con la infraestructura que están usando", dijo. "Es como arruinar la autopista mientras intentas ir a una ciudad diferente".

Aunque es posible que Cisco no tenga mayores preocupaciones de seguridad en este momento, Stewart no da nada por hecho.

De hecho, él también admitió que su compañía ha tenido suerte hasta ahora y sabe que podría cambiar si suficientes personas como Lindner comienzan a trabajar en el problema. "Tenemos tiempo", dijo. "Tenemos la oportunidad de ser mejores, y debemos invertir continuamente para reducir la superficie de ataque".