Sebastian Muniz, Sicherheitsforscher bei Core Security Technologies, will das von ihm kreierte IOS-Rootkit in der kommenden Woche auf der Sicherheitskonferenz EuSecWest in London vorstellen, berichtet der Branchendienst "IDG News Service". Während das Gros der bisherigen Rootkits - Schadprogramme, die aufgrund ihrer Tarnfähigkeiten schwer aufzuspüren sind - für das Betriebssystem Windows geschrieben wurde, soll es sich bei der Kreation von Muniz nun um das erste Rootkit für Ciscos IOS handeln. Ein IOS-Rootkit könne dasselbe leisten wie jedes andere Rootkit auf einem Desktop-Betriebssystem, statuiert der Security-Experte.
Rootkits dienen in der Regel dazu, heimlich Keylogger sowie Programme zu installieren, die es Angreifern ermöglichen, sich aus der Ferne mit infizierten Systemen zu verbinden. Ein Cisco-Rootkit wäre schon allein aufgrund der hohen Verbreitung von Cisco-Routern beunruhigend: Laut IDC besetzte der Netzriese im vierten Quartal 2007 nahezu zwei Drittel des Router-Markts.
Forscher haben in der Vergangenheit bereits als "IOS patching Shellcode" bezeichnete Schadsoftware entwickelt, die einen Cisco-Router kompromittieren kann - allerdings waren diese Programme jeweils auf eine spezielle IOS-Version zugeschnitten. Anders das Rootkit von Muniz, das dem Forscher zufolge auf verschiedenen IOS-Versionen funktioniert. Die Malware, die nach Angaben von EuSecWest-Organisator Dragos Ruiu im Flash-Speicher des Routers läuft, lässt sich allerdings nicht nutzen, um in einen Cisco-Router einzubrechen - vielmehr bräuchte ein Hacker eine Art Angriffscode oder ein Administratoren- Passwort, um das Rootkit zu installieren. Einmal installiert, soll sich das Opfersystem mit Hilfe der Malware jedoch überwachen und kontrollieren lassen.
Muniz hat eigenen Angaben zufolge nicht vor, den Sourcecode für sein Rootkit zu veröffentlichen. Allerdings will er in London erläutern, wie er die Schadsoftware entwickelt hat, um der verbreiteten Meinung, Cisco-Router seien gegen diese Malware-Spezies immun, entgegen zu treten. "Ich will damit zeigen, dass IOS-Rootkits real sind und entsprechende Schutzmaßnahmen ergriffen werden müssen", so Muniz.
Ähnliche Absichten hegte Sicherheitsforscher Mike Lynn mit seiner umstrittenen Präsentation auf der Hackerkonferenz "Black Hat" im Jahr 2005. Lynn hatte damals gezeigt, wie sich ein Cisco-Router hacken und darauf ein "shellcode"-Programm ausführen ließ. Lynns Darbietungen seien besonders schockierend gewesen, weil bis dahin niemand Cisco-Exploits für möglich gehalten habe, so Ruiu. Für diese Art der Desillusionierung erhielt der Sicherheitsforscher auch prompt die Rechnung: Nur Stunden nach seiner Präsentation sah sich Lynn mit einer Klage von Cisco konfrontiert, in der ihm die "Preisgabe von Geschäftsgeheimnissen" zur Last gelegt wurde.
Lynns diesbezügliche Erfahrungen sind Muniz und seinem Arbeitgeber Core Security Technologies offenbar noch durchaus präsent - technische Details wollten sie daher vorab nicht preisgeben. "Wir sind noch dabei, die Präsentation zu vervollständigen und müssen zudem mit Cisco zusammenarbeiten, bevor wir mit anderen sprechen", erklärt eine Sprecherin von Core Security Technologies. Cisco selbst wollte dazu keine Stellungnahme abgeben.
Jennifer Granick, Anwältin bei der Electronic Freedom Foundation, die Lynn seinerzeit vertreten hatte, hält es zwar für möglich, dass Cisco im aktuellen Fall ähnlich argumentieren und gegen Muniz vorgehen könnte. Allerdings habe die technische Community damals so negativ auf den Prozess reagiert, dass der Netzriese vermutlich von einer Klage absehen dürfte. Immerhin betrachte sich Cisco selbst als "Forscher-freundlich", so Granick.
Gefälschte Router bedrohen Infrastruktur
Nichtsdestotrotz kommt das Rootkit für Cisco zu einem ungünstigen Zeitpunkt: Nach einem Bericht der "New York Times" in der vergangenen Woche erachtet das FBI jüngste Probleme mit gefälschtem Netz-Equipment von Cisco als kritische Bedrohung für die US-amerikanische Infrastruktur. Ende Februar hatte das FBI nach zweijähriger Untersuchung ein Vertriebsnetz zerschlagen, das in großem Stil gefälschte Cisco-Produkte in Umlauf gebracht hatte. Die Beamten beschlagnahmten in China gefertigte Komponenten im Wert von 3,5 Millionen Dollar. Laut einer FBI-Präsentation zur "Operation Cisco Raider" waren gefälschte Cisco-Router, -Switches und -Karten unter anderem an die US Navy, die US Air Force sowie die amerikanische Luftfahrtbehörde Federal Aviation Administration (FAA) - und sogar an das FBI selbst verkauft worden.
Das US-Verteidigungsministerium hat bereits Bedenken geäußert, dass die unzureichende Sicherheit in der Zulieferkette im Bereich Mikroelektronik die nationalen Abwehrsysteme gefährden könnte - der Gedanke, dass ein Hacker ein Rootkit in ein gefälschtes Cisco-System schmuggeln könnte, dürfte Sicherheitsexperten demnach Magenschmerzen bereiten. (kf)