ISS geht gegen Veröffentlichung des Vortrags über Cisco-Schwachstellen vor

Die Auseinandersetzung um den Vortrag über Schwachstellen in Cisco-Routern, den Michael Lynn, bis vor kurzem noch bei der Sicherheitsfirma ISS beschäftigt, auf der Blackhat-Konferenz hielt, zieht weitere Kreise. Nun sind auch Webseiten ins Visier der Anwälte von ISS geraten, auf denen der Vortrag von Lynn im Internet veröffentlicht wurde. Laut einem Fax, das der Sicherheitspezialist Richard Forno auf seiner Webseite präsentiert, fordern die Anwälte von ISS die sofortige Entfernung des Vortrags aus dem Web. Lynn sei nicht berechtigt gewesen, diesen Vortrag zu halten, ein Gericht habe mittlerweile bereits eine Verfügung erlassen, die jede weitere Verbreitung des Materials untersage, heißt es in dem Schreiben. Forno hat daraufhin den Vortrag erst einmal von seinem Server genommen und veröffentlicht unter der URL, unter der er zu finden war, nun das Schreiben der Anwälte. Auf den Servern der Blackhat-Konferenz, auf denen der Vortrag bis vor kurzem noch unter www.blackhat.com/presentations/bh-usa-05/BH_US_05-Lynn.pdf bereitstand, ist er mittleweile ebenfalls verschwunden.

Michael Lynn wurde für seinen Vortrag bereits vom Router-Hersteller und seinem Ex-Arbeitgeber vor Gericht zitiert, hat sich aber mittlerweile mit Cisco und ISS geeinigt. Er darf sich nie mehr zu den Details der beschriebenen Sicherheitsprobleme in Cisco-Routern äußern. Seine kompletten Unterlagen, auch die auf seinen Computern, muss er unter Aufsicht eines Forensik-Experten löschen, nachdem Kopien für seinen früheren Arbeitgeber und den Router-Riesen angefertigt wurden. Auch der Veranstalter der Blackhat-Konferenz wurde verpflichtet, eventuelle Videoaufzeichnungen zu vernichten.

In der Öffentlichkeit und bei Sicherheitsexperten stellen sich Cisco und ISS mit ihrem Vorgehen allerdings kein gutes Zeugnis aus -- zumal es sich etwa nach Ansicht des Internet Storm Center bei dem Vortrag vor allem um eine gelungene Aufarbeitung bereits bekannter Schwachstellen handelt. Neu war Lynns Demonstration, wie man klassischen Shellcode, wie er von Linux- oder Windows-Exploits bekannt ist, einschleusen und sich damit übers Netz Zugang zur Kommandozeile des Routers verschaffen kann.

Angesichts der immer wieder auftauchenden Sicherheitslücken und angesichts der Komplexität, die Ciscos Router-Betriebssystem IOS inzwischen erreicht hat, erscheint das Bemühen, Informationen über mögliche Exploits für Sicherheitslücken zu unterdrücken, als der hilflose Versuch, größere Probleme zu verhindern. Immerhin bauen unzählige IP-Carrier, Backbone-Betreiber und Internet-Provider auf Router des Marktführers Cisco -- erfolgreiche Angriffe auf die Router könnten große Teile des Internet lahmlegen. Die Komplexität von IOS, die Schwierigkeit, Patches für die Router vor dem Einsatz zu testen, und die für viele Internet-Router notwendige ständige Betriebsbereitschaft führen zudem dazu, dass oft Korrekturen für Bugs im IOS nur mit langer Verzögerung eingespielt werden.

Zieht man die Möglichkeiten, die Lynn aufgezeigt hat, in Betracht, kann man den Administratoren von Cisco-Routern trotzdem nur den dringenden Rat geben, ab sofort die Geräte regelmäßig mit den aktuellen Patches zu versorgen. Und das angefangen mit der Korrektur für das IPv6-Loch, das einen Heap-Overflow ermöglicht. (jk)