Alfonso Maruccia

Le backdoor di Cisco sono le backdoor di tutti

Il problema sono gli standard adottati dal mercato. Troppo permeabili alle attenzioni indesiderate di cracker o peggio. Lo dice un ricercatore IBM a BlackHat 2010

Roma - Cisco Systems, la società che recentemente si è guadagnata le reprimende di Electronic Frontier Foundation per la sua propensione a fornire formidabili strumenti di controllo tecnologico al regime cinese, finisce ancora una volta sotto la lente di ingrandimento, questa volta a opera del ricercatore di IBM Tom Cross. Che sostiene: le backdoor nell'hardware di Cisco sono un pericolo alla sicurezza, costante e ubiquo.

Presentando i risultati del suo studio alla Black Hat Conference, Cross ha sostenuto che nonostante le capacità di monitoraggio del traffico insite nei dispositivi commercializzati da Cisco siano spesso dettati dalla semplice formalizzazione di standard acquisiti, nondimeno quelle capacità prestano il fianco a rischi e vulnerabilità che permangono nel corso del tempo.

Gli standard incriminati, che in definitiva tendono a influenzare anche l'hardware prodotto dalle altre aziende del settore, sono quelli che si affidano al protocollo SNMP versione 3, aprendo le porte a diversi vettori potenziali di attacco da parte di malintenzionati. SNMP era ad esempio inizialmente vulnerabile agli attacchi "brute-force" sul sistema di autenticazione, un problema che nella ricostruzione di Tom Cross Cisco ha provato a mitigare con il rilascio di una patch, ma che persiste in tutte le macchine su cui tale patch non è stata installata per scelta volontaria (e magari dettata da particolari esigenze) degli amministratori.
Il fatto poi che SNMP sia basato su protocollo UDP invece che TCP, dice Cross, peggiora la situazione perché è relativamente facile camuffare gli indirizzi IP di origine. Non è prevista poi la cifratura delle comunicazioni, e gli hacker potrebbero teoricamente mettere in piedi un'operazione di sorveglianza senza lasciare traccia per gli admin.

La soluzione offerta da Cross al problema del tecno-controllo fallato? La revisione degli standard implementati sui dispositivi, ferma restando la consapevolezza che la questione non potrà mai essere risolta del tutto per via della presenza di macchine non aggiornate per ragioni di opportunità.

Alfonso Maruccia
Notizie collegate
  • AttualitàEFF, la Cina e i sette giganti ITSi punta il dito contro un pugno di aziende statunitensi sospettate di aver fornito alle autoritÓ di Pechino strumenti di tecnocontrollo. Con molti profitti e scarso rispetto per i diritti umani
21 Commenti alla Notizia Le backdoor di Cisco sono le backdoor di tutti
Ordina
  • Lavoro con apparati router/switch cisco quotidianamente (non sono dipendente cisco) e so che in realtà lo IOS sta per essere pensionato, anche se non a breve. Il mondo enterprise essendo molto strutturato non consente cambiamenti veloci, si punta molto più sulla scalabilità di medio termine.
    La soluzione del kernel monolitico IOS era ritenuta valida più di venti anni or sono, quando lo si cominciò a sviluppare, ora mostra però tutti i suoi limiti (e i pochi vantaggi). Non a caso nelle macchine di fascia alta CRS (terarouter) il S.O. su cui gira lo IOS-XR è l'ottimo QNX, ovvero struttura microkernel e real-time.
    Anche la serie middle, come ad esempio la 7200 citata in qualche commento precedente, su cui ancora gira lo IOS, sta per essere soppiantata da sistemi ibridi, gli ASR. Macchine simil-server che dal punto di vista SW sono composte da un kernel linux a 64 bit scritto ad-hoc (anche per superare i limiti nell'indirizzamento) su cui gira uno pseudo IOS, e per quanto riguarda l'hardware dotate di architetture ASIC espressamente studiate per il forwarding intensivo (SIP-SPA) in modo da superare i limiti di backplane di una normale architettura a bus PCI.
    Tornando IN-TOPIC è vero che il protocollo SNMP è storicamente affetto da vulnerabilità, in special modo la V.2 e parzialmete la più recente V.3 (non prendo nemmeno in considerazione la V.1), ma il problema è normalmente e semplicemente risolto confinando con delle apposite policy di sicurezza (access-list, route-map, etc.) le subnet di monitoring in cui saranno presenti macchine e/o operatori che potranno eseguire determinate query sugli apparati di routing. In questo modo si isola completamente l'accesso SNMP ai soli soggetti che, da reti dedicate, avranno le credenziali per accedervi. E' chiaro che se nell'implementazione di un'architettura di rete non si prevedono queste basilari tecniche di esclusione di accesso a specifici servizi di rete presenti su una o più macchine, come al solito il problema non è nella vulnerabilità dell'oggetto in sé, ma in chi lo dovrebbe amministrare...
    non+autenticato
  • "Security is Not My Problem". Nomen Omen.Con la lingua fuori
    non+autenticato
  • http://www.easylivecd.com/english/cdrouter/

    Un vecchio pc riciclato (vista win7, se non altro sono utili perché i gonzi buttano via dell'ottimo hardware ancora funzionante) e tanti saluti ai bug di Cisco
    non+autenticato
  • See fai andare un service provider con quel coso
    Il problema non è certo per il tuo router di casa!
    non+autenticato
  • - Scritto da: Cisco Kid
    > See fai andare un service provider con quel coso
    > Il problema non è certo per il tuo router di casa!

    Mah... magari "quel coso", specificatamente, non e' il non-plus-ultra, ma ci sono distribuzioni ottimali; non per forza linux based (ie: *bsd).
    Il limite per router "aperti" in ogni caso e' nell'hw: se prendi hw general purpose e' difficile trovarne di economico che abbia dei backplane sufficienti a sostenere troughput adeguati (ie: il bus pci per grosse installazioni e' troppo lento).
    Non ho idea di cosa tu intenda per "service provider", quale dimensione intendi, pero' con macchinette da 2-300 euro e' possibile sostituire router Cisco da decine di migliaia di euro. Ed essendoci tutto il software libero (ie: non solo il gcc che la Cisco ha usato, tra le altre cose, truffaldinamente; vedi la causa in corso in USA), risolvere i bug e' questione piu' economica che pagare i migliaia di dipendenti Cisco che formano lo Human Network...
  • A parte che faccio parte della human networkSorride

    Intendevo proprio l'hw. Un pc non è paragonabile sia per performance sia per ridondanza (un router ha doppio backplane, doppio supervisor, due o più alimentatori, tutti sostituibili senza spegnere o riavviare il router). Posso capire che per un ufficio di 10 persone un pc possa essere un'alternativa, ma nelle grandi aziende e nei service provider (Telecom, Fastweb...) non lo è per niente. Del resto se Cisco è leader nel settore un motivo ci saràSorride
    non+autenticato
  • e in ogni caso mi sembra che il problema segnalato sia nel protoccolo SNMP.... quindi non vedo cosa possa risolvere cambiare l'hardware
    non+autenticato
  • Si certo HSRP e' un'esclusicva di cisco . . . ma perfavore ci sono delle soluzioni che hanno performance del tutto paragonabili. La scelta di cisco non e' certo dettata dalle prestazioni ma dal fatto che essendo delle apparecchature dedicate basta fare il corso alla persona di turno per gestirle.
    Mettere su un router con Linux necessita piu' conoscenze ed e' piu' difficile reperire personale, tutto qui.

    Esistono soluzioni tipo queste www.vyatta.com, tra l'altro adottate anche da provider come rackspace che funzionano benissimo.

    Con questo non voglio dire che cisco o huawei (http://www.huawei.com/) non siano buone anzi sono entrambe ottime. Ma considerare le soluzioni open come seconda scelta e' quanto di piu' sbagliato.
    non+autenticato
  • HSRP è ridondanza a livello architetturale, mica di macchina!

    Bello quel vendor che basa il suo sales pitch su "siamo più economici di cisco"A bocca aperta

    Poi voglio vedere cosa succede quando aggiungi access lists, ips, call manager e altri servizi così cosa succedeA bocca aperta
    non+autenticato
  • Se e' per quello esistono altri vendor che offrono soluzioni di quel tipo.
    Per la ridondanza esistono soluzioni altrettanto ridondate a livello hardware dei cisco.

    Non prendiamo Cisco come un valore assoluto perche' non lo e', esistono un sacco di alternative piu' o meno valide.
    non+autenticato
  • Certo, Juniper, Brocade, ecc ecc mica ho detto che c'è solo Cisco.

    Ma non sono pc con linux sopra... è sempre hw dedicato!
    non+autenticato
  • - Scritto da: Kid Cisco

    >
    > Ma non sono pc con linux sopra... è sempre hw
    > dedicato!

    o quasi http://www.imagestream.com/Enterprise_Express.html
    e per quanto riguarda le prestazioni non siamo proprio messi male http://www.linux-mag.com/id/5448

    Sinceramente non vedo questo abisso tra Cisco e soluzioni basate su BSD o Linux, ma poi visto che si puo' scegliere ognuno sceglie cio' con cui si trova meglioOcchiolino
    non+autenticato
  • Ah sicuramente, ognuno è libero di fare come credeSorride
    Cmq direi notevole il confronto con un router di 10 anni faA bocca aperta
    non+autenticato