Eisberg voraus
So schockierend die kompromittierten Kundenpasswörter bei Cisco sein mögen -- dem Quasi-Monopolisten in Sachen Netzwerk-Hardware stehen größere Probleme ins Haus.
So schockierend die kompromittierten Kundenpasswörter bei Cisco sein mögen -- dem Quasi-Monopolisten in Sachen Netzwerk-Hardware stehen größere Probleme ins Haus.
Besucherberichten zufolge hat Michael Lynn in seinem umstrittenen Blackhat-Vortrag erwähnt, dass der Quellcode für Ciscos Betriebssystem IOS bereits mehrfach gestohlen worden sei. Solche Gerüchte sind nicht neu. Doch Lynn untermauerte die Vermutung, dass Cracker aktiv daran arbeiten, funktionierende Exploits für Cisco-Router zu schreiben, mit einigen interessanten Entdeckungen. So habe er einige der Erkenntnisse für seine Blackhat-Demonstration aus der Übersetzung chinesischer Seiten gewonnen.
Tatsächlich finden sich auf den Seiten der chinesischen Hackergruppe xfocus unter anderem Informationen, wie man mit dem Debugger gdb IOS-Internas ausforschen kann. Zur Erinnerung: xfocus hat 2003 den ersten funktionierenden Exploit der RPC/DCOM-Lücke in Windows veröffentlicht. Auf dem baute der Blaster-Wurm auf, der wenig später Millionen von Windows-Rechnern infizierte.
Steht uns jetzt ein Router-Wurm bevor, der womöglich das gesamte Internet lahmlegt? Die Parallelen zum Blaster-Wurm sind nicht ganz von der Hand zu weisen und gehen weit über die chinesische Hacker-Site und die Tatsache hinaus, dass Cisco ähnlich wie Microsoft ein Quasi-Monopol inne hat.
Damals war nur ein geringer Teil aller Windows-Systeme mit dem immunisierenden Patch von Microsoft versehen. Fragen Sie doch mal einen befreundeten Netzwerk-Admin bei einem Bier, ob er denn alle aktuellen Security-Patches auf seinen Ciscos eingespielt hat. Er wird Sie wahrscheinlich anschauen, als wären Sie von einem anderen Stern. Einen Cisco-Router oder -Switch behandeln Admins wie unsereins einen Videorekorder: anstöpseln, einrichten und laufen lassen. Der Net-Admin meines Vertrauens schätzt, dass circa 80 Prozent aller Cisco-Geräte noch nie einen Patch gesehen haben. Wenn doch, dann nur, um Funktionsfehler zu beheben. Security-Patches? Eine Cisco knackt doch keiner.
FX und Lynn haben bereits demonstriert, dass dies sehr wohl möglich ist. Lynn zeigte, dass ein Angreifer übers Netz volle interaktive Kontrolle erlangen kann und wies darauf hin, dass dies prinzipiell auch ein Wurm ausnutzen könnte. Die wichtigste Einschränkung dabei: Bisher muss er dazu exakte Adressen im Speicher des Geräts kennen, die jedoch von der Version abhängen.
Auch hier zeigt sich eine beängstigende Parallele zum Blaster-Wurm: Der erste xfocus-Exploit funktionierte sprachabhängig nur auf einigen wenigen Windows-Versionen - auf den anderen stürzte der verwundbare Windows-Dienst nur ab. Doch innerhalb weniger Wochen wurde der Exploit so weit verfeinert, dass er mit über 48 verschiedenen Windows-Versionen zurecht kam (siehe auch Lehren aus "Einmal Wurm mit Ansagen").
Ganz so schnell und einfach wird es diesmal wohl nicht gehen - schon weil nicht jeder Möchtegern-Cracker eine Cisco zum Rumspielen zuhause stehen hat. Doch Kriminelle brauchen gar keine Wurmfunktionen, um Exploits für bislang unbekannte Cisco-Lücken gewinnbringend zu nutzen. So weist FX zurecht darauf hin, dass aus deren Sicht ein Router-Wurm geradezu Verschwendung wäre. Man-In-The-Middle-Angriffe - beispielsweise auf verschlüsselte Verbindungen -, die durch die Kontrolle eines Routers möglich werden, wären ein viel lohnenderes Ziel.
Die Zeit läuft gegen Cisco und damit auch gegen uns. Deshalb gehören jetzt zwei Fragen dringend auf die Tagesordnung:
1) Wie ist es zu schaffen, dass Cisco-Geräte in absehbarer Zeit auf den aktuellen Patch-Stand kommen?
Ciscos aktuelle Patch-Verteilungsstrategie bietet eine Menge Optimierungpotential. Hier könnte Cisco durchaus von den Redmondern lernen, die ja vor einem ähnlichen Problem standen. Wie wäre es mit einem Service auf den Geräten, der selber regelmäßig nachsieht, ob ein kritischer Patch bereit steht und den Admin so lange mit E-Mails und SNMP-Traps bombardiert, bis er ihn einspielt oder explizit bestätigt, dass er das nicht will? Parallel dazu gilt es natürlich auch, die Qualitätssicherung so zu verbessern, dass ein Admin den gelieferten Patch ohne Angst vor unerwünschten Nebenwirkungen einspielen kann.
2) Wie stellt man sicher, dass die Patches rechtzeitig erscheinen -- also bevor LĂĽcken aktiv ausgenutzt werden?
Wenn der IOS-Quellcode tatsächlich bereits mehrfach gestohlen wurde, muss man davon ausgehen, dass er bereits in die falschen Hände gelangt ist und schon jetzt Auftrags-Cracker nach neuen Schwachstellen und Möglichkeiten suchen, diese gezielt auszunutzen. So sehr sich Cisco bemüht, denen zuvor zu kommen - allein können sie das auf Dauer nicht schaffen. Security by Obscurity hat bei Cisco ein Stück weit funktioniert - jetzt ist der durch die Geheimhaltung gewonnene Vorsprung verspielt. Deshalb sollte Cisco den Quellcode gleich ganz offenlegen und dies mit einem lukrativen Angebot kombinieren, am Auffinden und Beseitigen von Sicherheitsproblemen mit zu arbeiten. Eine Prämie von 50.000 US-Dollar trüge definitiv mehr zur Sicherheit von IOS bei, als Seiten aus den Blackhat-Konferenzunterlagen zu reissen.
Sicher gibt es auch andere diskussionwĂĽrdige Ideen. Es stellt sich jedoch die Frage, ob der Netzwerkriese ĂĽberhaupt noch flexibel genug ist, auf die bedrohliche Situation auch mit (fĂĽr ihn) neuen Konzepten und Ideen zu reagieren. Oder ob er Titanic-gleich weiter auf den Eisberg zusteuert.
