Ссылки для упрощенного доступа

Еще одна неуязвимая система


Как поставить мировой Интернет на колени

Специально для сайта

Владимир Губайловский

Ведущий мировой производитель сетевого оборудования Cisco Systems и компания Internet Security Systems (ISS) подали совместное ходатайство о временном судебном запрете Майклу Линну (Michael Lynn) и организаторам конференции по компьютерной безопасности Black Hat в Лас-Вегасе разглашать содержание доклада, который Майкл Линн сделал на конференции.

Доклад был посвящен теоретическим уязвимостям маршрутизаторов Cisco. Судебный запрет последовал через два часа после того, как доклад был сделан. В иске, поданном в окружной суд Северного округа Калифорнии, истцы просят запретить Линну и участникам и организаторам конференции Black Hat «дальнейшее раскрытие принадлежащей Cisco и ISS секретной информации». Представитель Cisco Джон Ноу (John Noh) сказал: "Мы уверены, что информация, которую Линн представил на Black Hat, была добыта нелегально и нарушает наши права интеллектуальной собственности. Линн декомпилировал программное обеспечение Cisco для исследовательских целей и тем самым нарушил права компании"

Майкл Линн сообщил на конференции в Лас-Вегасе, что он за два часа до своего доклада оставил свою работу исследователя в ISS — после того как ISS решила отменить семинар и фактически запретила своему сотруднику делать сообщение на конференции.

По словам экспертов, участвовавших в конференции Black Hat, о самой уязвимости, которую Линн использует для атаки, Cisco было известно, и она включила соответствующую поправку в недавние версии IOS (операционная система, работающая на маршрутизаторах Cisco). Но Майкл Линн утверждает, что Cisco устранила только следствия, а причины остались.

Маршрутизатор Cisco

Чтобы оценить масштаб угрозы (а она, вероятно, оказалась достаточно серьезна, если Cisco прибегла к судебному запрету) нужно вспомнить, что на маршрутизаторах Cisco работает 60% мирового Интернета, и до сих пор они считались едва ли не самыми надежными с точки зрения устойчивости к возможному взлому.

Мировой Интернет представляет собой иерархию сетей: самую крупную сеть образуют магистральные каналы (backbones), они имеют самую высокую пропускную способность (гигабиты), и к ним присоединяются Интернет-провайдеры. К провайдерам подключаются локальные сети и отдельные пользователи. На всех "стыках" сетей стоят маршрутизаторы – и почти всегда это маршрутизаторы Cisco под управлением IOS, той самой операционной системы, чью неуязвимость поставил под сомнение Майкл Линн.

Маршрутизатор – это едва ли главное действующее "лицо" в мировом интернете. Маршрутизатор — это устройство, которое работает с несколькими каналами, направляя в свободный канал очередной пакет данных. Выбор канала осуществляется по адресу, указанному в заголовке поступившего сообщения. Таким образом, маршрутизатор выполняет две взаимосвязанные функции. Во-первых, он направляет информацию по свободным каналам, предотвращая «закупорку» узких мест в Сети; во-вторых, проверяет, что информация следует в нужном направлении. При объединении двух сетей маршрутизатор подключается к обеим сетям, пропуская информацию из одной в другую, и в некоторых случаях осуществляет перевод данных из одного протокола в другой. Для того чтобы буквально парализовать работу Интернета, достаточно провести удаленную атаку на несколько десятков мощных маршрутизаторов, отвечающих за работу магистральных сетей. Если эти маршрутизаторы выйдут из строя - даже на короткое время - мировая сеть распадется на несвязанные сегменты, и пакеты перестанут проходить.

Это действительно серьезная угроза целостности Сети.

Доклад Майкла Линна

Несмотря на все попытки компании Cisco Systems ограничить распространение доклада Майкла Линна, он разошелся по сети. Его экземпляр выложен, например, на сайте www.securitylab.ru. Доклад называется "The Holy Grail: Cisco IOS Shellcode And Exploitation Techniques" – "Святой Грааль: шеллкод и техника взлома Cisco IOS". Начинается этот материал с главки, которая состоит из названия "Еще одна неуязвимая система" и картинки, на которой изображен тонущий "Титаник".

В своем докладе Майкл Линн привел список "недоразумений", которые связаны с маршрутизаторами Cisco:

1. маршрутизатор – это только "железо" (hardware);

2. нет никакой возможности вызвать сбой (переполнение буфера - buffer overflow) в

операционной системе IOS

4. нет никакого способа эксплуатации этой уязвимости, для перехвата управления;

5. все маршрутизаторы настолько разные, что даже если удастся использовать уязвимость одного из них, ни на каких других найденную уязвимость использовать невозможно.

Майкл Линн утверждает, что такая точка зрения в корне не верна: на маршрутизаторах работает программное обеспечение на обычных процессорах и потому возможна эксплуатация уязвимости, как и в любой другой программной среде, как, например, Windows. Причем, как утверждает Линн, можно разработать такие программы, которые смогут перехватить управление маршрутизаторами, реализованными на разных платформах.

Но никаких конкретных программ, которые способны взломать маршрутизатор, в докладе нет.

Первый взлом?

Можно ли воспользоваться идеями Майкла Линна, чтобы написать реальное приложение, которое использует описанные уязвимости? Как сообщило агентство Reuters, участники конференции Defcon сумели это сделать.

"Компьютерным хакерам удалось найти уязвимость, которая позволяет захватить управление маршрутизатором Cisco Systems". Один из хакеров, который, как и другие участники рискованного эксперимента, пожелал остаться неназванным сказал: "Мы сделали это, потому что кто-то думает, что это невозможно". Другой хакер, назвавшийся Simonsaz, сказал: "Линн не ограничился только идеями, хотя и не сообщил всех деталей. Но он сказал достаточно, чтобы люди могли понять, как им действовать, и они сделали это". При этом хакеры утверждали, что не собираются использовать свои достижения для конкретных взломов, а ограничились, по их словам, только демонстрацией такой возможности. Их целью было показать компании Cisco Systems, что следует не затыкать рот экспертам, а думать над исправлением собственных ошибок.

Действия Cisco Systems привлекли к себе нездоровое внимание со стороны хакерского сообщества. Последовал взлом сайта Cisco.com. Взлом сайта вроде бы никак не связан с историей Майкла Линна и судебным запретом. Но пользователям, зарегистрированным на сайте Cisco.com, было рекомендовано сменить пароли доступа к сайту, поскольку их персональные данные были украдены.

Комментарий эксперта

Доклад Майкла Линна прокомментировал для радио "Свобода" ведущий антивирусный эксперт "Лаборатории Касперского" Александр Гостев.

Владимир Губайловский: В докладе Линна идет речь о двух типах уязвимостей IOS Cisco - переполнении буфера и переполнении хипа (heap). Насколько это серьезно?

Александр Гостев: Это, действительно, очень серьезно. Как известно, на оборудовании Cisco работает более 50% всех маршрутизаторов Интернета. Переполнение буфера и/или хипа (heap) является одной из главных проблем всех современных программных продуктов. Достаточно вспомнить, что самые критические уязвимости в Windows, которые привели к глобальным вирусным эпидемиям (RPC DCOM и LSASS), были как раз вызваны аналогичными переполнениями буфера и/или хипа. Этот тип уязвимости позволяет злоумышленнику заставить операционную систему выполнять любой внедренный код.

Владимир Губайловский: Можно ли реально использовать идеи, изложенные в докладе Майкла Линна, для удаленного взлома маршрутизатора?

Александр Гостев: Использовать, конечно, можно. Другой вопрос в том, что для этого необходимо обладать ОЧЕНЬ обширными знаниями об IOS. Людей с такими знаниями крайне мало и я сомневаюсь, что они будут заниматься подобными вещами. В докладе приведено весьма мало информации, которая может помочь злоумышленникам. Скажем так: Линн чуть-чуть приоткрыл "ящик Пандоры", показывая возможную опасность.

Владимир Губайловский: Насколько на Ваш взгляд хорошо защищена операционная система IOS, которая работает на маршрутизаторах Cisco?

Александр Гостев: Еще совсем недавно она была достаточно хорошо защищена. Но в прошлом году часть (или все) исходные тексты IOS были украдены и, несомненно, попали в руки тех людей, которые могут найти уязвимости и использовать их. Атака на Интернет, использующая уязвимости в IOS - это действительно то, что может "убить Интернет". Конечно, не окончательно, но на какое-то время – без всякого сомнения. Это даже более опасно, чем любая критическая уязвимость в Windows - ведь оборудование Cisco обслуживает-соединяет-коммутирует ЛЮБЫЕ компьютеры, работающие на любой операционной системе.

А пока Майкл Линн рассылает свое резюме в поисках работы и ждет приглашения в суд. Cisco Systems латает свой взломанный сайт и напоминает своим пользователям, что операционную систему IOS Cisco нужно регулярно обновлять. А мировой Интернет по-прежнему работает на маршрутизаторах Cisco, и продолжает надеяться, что они неуязвимы - как "Титаник".

Справка

Перевод названия доклада Майкла Линна "Holy Grail: Cisco IOS Shellcode And Exploitation Techniques" комментирует Кирилл Симонов, аспирант Донецкого национального университета.

"Exploitation" я бы не стал переводить, как "эксплуатация". Это, конечно, правильное словарное значение, но в данном случае "exploitation" – это производное значение от жаргонного слова "exploit" - уязвимость в защите или взлом с использованием этой уязвимости. См. словарь "The Free On-line Dictionary of Computing" или статью на Wikipedia. "Exploitation" – в данном случае, это скорее "взлом", поэтому правильней перевести "Exploitation Techniques" - "техника взлома".

"Shellcode" перевести еще сложнее. Я не знаю аналога этого термина на русском языке. Здесь необходимо хорошо представить себе, как происходит взлом программы по сети. Используя ошибки в программе, обычно переполнение буфера, взломщик (человек или программа) переписывает часть кода взламываемой программы на shellcode (а точнее, заставляет программу перезаписать часть самой себя). Shellcode – это небольшой фрагмент кода, который запускает какую-нибудь программу, обычно эта программа - shell, системная оболочка, аналог command.com под Windows, в которой взломщик может выполнять свои команды. Wikipedia называет "shellcode" - "an exploit payload", то есть "боеголовка".

Можно сравнить shellcode с фрагментом ДНК, который биологической вирус внедряет в ДНК пораженной клетки.

Суть "защиты" IOS Cisco Systems состояла в том, что хотя переполнение буфера и другие ошибки могут быть в коде IOS, но их нельзя использовать для внедрения shellcode в код IOS.

XS
SM
MD
LG