Vor zwei Monaten hatte der Core-Security-Forscher Sebastian Muniz Methoden aufgezeigt, um schwer auffindbare Rootkits für Cisco-Router zu erstellen. Sein Kollege Ariel Futoransky wird in dieser Woche auf der Black Hat ein Update zu der Arbeit von Core Security in diesem Bereich präsentieren.
Dann wollen zwei Experten der Londoner Beratungsfirma Information Risk Management (IRM) ihre modifizierte Ausführung des "GNU Debugger" vorstellen. Hacker erhalten über das Tool Einblick darin, was passiert, wenn das IOS von Cisco ihren Code verarbeitet. Außerdem haben sie drei Shellcode-Programme im Gepäck, mit denen sich ein Cisco-Router kontrollieren lässt.
Die IRM-Forscher Gyan Chawdhary und Varun Uppal habe sich dazu Michael Lynns Arbeit ein zweites Mal angesehen, insbesondere das Verfahren, mit denen Lynn seinerzeit den IOS-Sicherheitsmechanismus "Check Heap" überwunden hatte. Cisco hat diese Lücke inzwischen gestopft, Chawdhary und Uppal wollen aber vergleichbare Vektoren gefunden haben, über die Cisco-Router weiterhin angreifbar sind.
Auch Felix "FX" Lindner, auf dessen Vorarbeiten sich Lynn seinerzeit gestützt hatte, spricht auf der Black Hat über Cisco-Hacking. Lindner, seines Zeichens Chef von Recurity Labs, will in Vegas sein neues Forensik-Tool "CIR" (Cisco Incident Response) vorstellen, das in den vergangenen Monaten den Betatest durchlaufen hat. Von CIR wird es eine kostenlose Version geben, die den Router-Speicher nach Rootkits durchsucht. Die kommerzielle Variante kann außerdem Angriffe entdecken und eine forensische Analyse der Geräte fahren.
Wir erinnern uns: Vor drei Jahren hatte Lynn auf der Black Hat für Aufsehen gesorgt, indem er beschrieb, wie er ein unautorisiertes Shellcode-Programm auf einem Cisco-Router zum Laufen gebracht hatte. Der umstrittene Vortrag war die größte Story der Black Hat 2005. Lynn verlor daraufhin seinen Job bei Internet Security Systems (fand allerdings schnell einen neuen beim Cisco-Rivalen Juniper Networks) und wurde ebenso wie die Black-Hat-Ausrichter flugs von Cisco verklagt. Der Hersteller argumentierte, die Folien von Lynns Vortrag verletzten Ciscos geistiges Eigentum. Die Präsentation wurde im wahrsten Sinne des Wortes aus den Konferenzunterlagen gerissen. In einem Vergleich willigte Lynn dann ein, seine Arbeiten nicht weiter zu diskutieren. Kopien seines Vortrags finden sich aber bis heute im Netz.
John Stewart, dem Chief Security Officer von Cisco, ist die Angelegenheit inzwischen eher peinlich. Seine Firma habe zwar aus den richtigen Motiven gehandelt, sagt der CSO, sei aber über das Ziel hinausgeschossen. "Wir haben ein paar Dummheiten gemacht", konzediert Stewart. "Weswegen ich persönlich seitdem die Black Hat auf Platin-Level unterstütze. Weil ich denke, dass wir ihnen eine Wiedergutmachung schulden."
