Black Hat: Cisco im Kreuzfeuer
In Vorträgen wurde auf Lücken im VoIP-Stack hingedeutet. Zudem soll sich Ciscos NAC relativ leicht aushebeln lassen.
- Daniel Bachfeld
Gleich am ersten Tag der Black-Hat-Konferenz steht der Netzwerkgerätehersteller Cisco im Regen: Hendrik Scholz von Freenet Cityline deutete in seinem Vortrag "SIP Stack Fingerprinting and Stack Difference Attacks" eine bislang nicht veröffentlichte Sicherheitslücke in der Software des Herstellers an. Über Details haben Scholz und Cisco wohl Stillschweigen vereinbart, Cisco prüft unterdessen, was an der Sache dran ist. Der Fehler soll aber in Ciscos Voice-over-IP-Anwendungen stecken, die das Session Initiation Protocol (SIP) unterstützen.
Schlecht weg kam auch Ciscos Network-Access-Control-Framework (NAC) zum Schutz von Netzwerken. In seinem Vortrag "Bypassing Network Access Control" erklärte Ofir Arkin von Insightix, wie leicht sich NAC aushebeln lässt. Dabei ließ er kein gutes Haar an spezifischen Lösungen, die unter anderem auch von Microsoft und Symantec angeboten werden. Beispielsweise würden einige Lösungen nur dann funktionieren, wenn Clients ihre IP-Adressen per DHCP beziehen würden. Sobald ein Rechner eine statische Adresse habe, könne ihm NAC keine Sicherheitsrichtlinie mehr aufzwingen. Teile des Unternehmensnetzes könnten so für NAC glatt unsichtbar bleiben. Zudem würden die derzeit verfügbaren Produkte zu viele Schwachstellen enthalten, als dass sich ein Hacker davon abhielten ließe, Zugriff auf ein NAC-geschütztes Netzwerk zu erhalten. Dazu würde im Moment schon das Spoofen von MAC- und IP-Adresse genügen. Cisco erklärte am Rande der Konferenz nur, dass NAC wohl noch einen weiten Weg gehen müsse, um umfassenden Schutz zu bieten,
Anders als noch im vergangenen Jahr geht Cisco diesmal mit der Kritik sehr viel lockerer um. Im Vorjahr hatte der Vortrag von Michael Lynn über Exploits für Cisco-Systeme noch für einen Eklat auf der Black Hat gesorgt, in dessen Folge Lynn und den Veranstaltern der Konferenz sogar eine einstweilige Verfügung von Cisco ins Haus flatterte. Dieses Jahr ist Cisco sogar einer der Sponsoren der Konferenz. Dabei versucht der Netzwerkriese gute Miene zum bösen Spiel zu machen und schmiss für die Teilnehmer der Veranstaltung ein Party im Pure, dem Nachtclub in Caesars Palace – auch Michael Lynn wurde auf der Party gesichtet.
Neben Cisco sponsert auch Microsoft die Black Hat, was die Frage nach der weiteren Entwicklung dieser Veranstaltung aufwirft. Während sie früher noch in familiärer Runde stattfand und ein intensiver Informationsaustauch zwischen den Teilnehmern möglich war, nehmen mittlerweile rund 3000 Personen an der Konferenz teil. Bereits seit Längerem wird darüber gespottet, dass die Konferenz zur Jobbörse mutiert ist, auf der sich neben diversen Herstellern und Dienstleistern auch FBI und NSA tummeln. Das Wegfischen der Sicherheitsspezialisten führt in der Regel dazu, dass sie die Informationen über gefundene Lücken nur noch ihren Arbeitgebern zur Verfügung stellen. Der Allgemeinheit fehlen dann unter Umständen wichtige Informationen, wie sie noch unter anderem auf Mailinglisten wie Full Disclosure veröffentlich werden.
Siehe dazu auch: (dab)
- Black Hat: MacBook via WLAN gehackt, Meldung auf heise Security
- Black-Hat-Konferenz: Viel Microsoft und eine blaue Pille, Meldung auf heise Security
