Комментарии 9
НЛО прилетело и опубликовало эту надпись здесь
В разделе загрузки дают подсмотреть хеши без регистрации и СМС. Гуглить по «download [имя образа]».
Правда, если исходить из того, что кто-то мог залить левый хитромодифицированный образ, выводу команды «verify» верить нельзя. Наверное, даже подключившись к консоли и принудительно выйдя в роммон, нельзя верить ничему, что там видишь, включая сообщения «rommon успешно обновлен». Разумеется, загрузка 100% корректного образа тоже ничего не гарантирует, если руткит глубже. Хм. И впрямь — что делать-то? Хотя так мы дойдем до того, что в корпусе с шильдиком «Cisco» может быть что-то совсем другое, умело маскирующееся.
Правда, если исходить из того, что кто-то мог залить левый хитромодифицированный образ, выводу команды «verify» верить нельзя. Наверное, даже подключившись к консоли и принудительно выйдя в роммон, нельзя верить ничему, что там видишь, включая сообщения «rommon успешно обновлен». Разумеется, загрузка 100% корректного образа тоже ничего не гарантирует, если руткит глубже. Хм. И впрямь — что делать-то? Хотя так мы дойдем до того, что в корпусе с шильдиком «Cisco» может быть что-то совсем другое, умело маскирующееся.
Верифицировать имидж IOS можно и оффлайн — blogs.cisco.com/security/offline-analysis-of-ios-image-integrity. А все варианты верификации описаны тут — www.cisco.com/web/about/security/intelligence/iosimage.html
>Зараженный маршрутизатор не должен был выдавать никаких результатов или выдавать нечто похожее на
Сделал на домашней железке:
c1#show platform | include RO, Valid
c1#
Меня похакали? Или вы как-то неправильно описали проверку?
> Ни в одном из упомянутых случаев не была использована никакая известная или неизвестная уязвимость в программном обеспечении Cisco.
В принципе, отсутствие криптографически стойкой цифровой подписи образа в каком-то смысле уязвимость. Апелляция на «сначала надо было получить логин-пароль админа» частично работает, но ведь одному администратору будет нереально что-то скрыть от другого администратора без манипуляций с образом, такова специфика IOS. Можно подсовывать хитрые TCL скрипты, но и они оставляют следы, которые легко найти. Вот подмену образа хрен обнаружишь.
Ну и раз уж зашла речь о подобных вещах — что-то я не видел официальных комментариев по поводу давно утекших фотографий, на которых бравые парни из NSA перехватывают железо, распечатывают коробки, что-то там делают и снова запечатывают коробки :) Каких моделей оборудования касались те модификации? Были ли там «имеющиеся в оборудовании Cisco программных и аппаратных механизмов защиты»? Как обнаружить те модификации? Наверняка же ваши люди проводили расследование по поводу такой наглости.
Сделал на домашней железке:
c1#show platform | include RO, Valid
c1#
Меня похакали? Или вы как-то неправильно описали проверку?
> Ни в одном из упомянутых случаев не была использована никакая известная или неизвестная уязвимость в программном обеспечении Cisco.
В принципе, отсутствие криптографически стойкой цифровой подписи образа в каком-то смысле уязвимость. Апелляция на «сначала надо было получить логин-пароль админа» частично работает, но ведь одному администратору будет нереально что-то скрыть от другого администратора без манипуляций с образом, такова специфика IOS. Можно подсовывать хитрые TCL скрипты, но и они оставляют следы, которые легко найти. Вот подмену образа хрен обнаружишь.
Ну и раз уж зашла речь о подобных вещах — что-то я не видел официальных комментариев по поводу давно утекших фотографий, на которых бравые парни из NSA перехватывают железо, распечатывают коробки, что-то там делают и снова запечатывают коробки :) Каких моделей оборудования касались те модификации? Были ли там «имеющиеся в оборудовании Cisco программных и аппаратных механизмов защиты»? Как обнаружить те модификации? Наверняка же ваши люди проводили расследование по поводу такой наглости.
Функция подписи на некоторых моделях у нас появилась еще в 2003-м году. Со временем она сильно была модифицирована. Функции Trust Anchor и Secure Boot, наряду с Digital Image Signing, сейчас не позволяют подменить образ. Но для старых моделей со старым софтом и невключенными функциями защиты это возможно было сделать.
Что касается NSA, то мы уже комментировали это — tools.cisco.com/security/center/content/CiscoSecurityResponse/cisco-sr-20131229-der-spiegel и официальный бюллетень — tools.cisco.com/security/center/content/CiscoSecurityResponse/cisco-sr-20131229-der-spiegel
Что касается NSA, то мы уже комментировали это — tools.cisco.com/security/center/content/CiscoSecurityResponse/cisco-sr-20131229-der-spiegel и официальный бюллетень — tools.cisco.com/security/center/content/CiscoSecurityResponse/cisco-sr-20131229-der-spiegel
Хостовые индикаторы (с выдачей результата команды show) могут «сбоить» в зависимости от версии и настроек ПО. Лучше попробуйте бесплатный сканер SYNful Knock Scanner — www.talosintel.com/scanner
Вот оно чо, оказывается!
Это не потому что кодовая база IOS просто полная вермишель и все эти 12M/T/S собраны разными людьми из разных кусков так, что чтобы понять какой из них как работает нужно отдельного человека в штате иметь. И не потому что накодено там так, что проще все было переписать в какой-то момент и назвать 15, а третьи люди в то же время от того же тихого ужаса попытались сделать все тоже самое, но чуть по другому и получили совсем третий результат назвав его XR/XE. Это оказывается для всеобщей-же безопасности! Чтобы злоумышленники пачками отправлялись в дурку, пытаясь разработать эксплоит и каждый раз понимая что подвержены ему будут дай бог 2-3% устройств, потому что остальные 98% на другом трейне, версии или ревизии…
Это не потому что кодовая база IOS просто полная вермишель и все эти 12M/T/S собраны разными людьми из разных кусков так, что чтобы понять какой из них как работает нужно отдельного человека в штате иметь. И не потому что накодено там так, что проще все было переписать в какой-то момент и назвать 15, а третьи люди в то же время от того же тихого ужаса попытались сделать все тоже самое, но чуть по другому и получили совсем третий результат назвав его XR/XE. Это оказывается для всеобщей-же безопасности! Чтобы злоумышленники пачками отправлялись в дурку, пытаясь разработать эксплоит и каждый раз понимая что подвержены ему будут дай бог 2-3% устройств, потому что остальные 98% на другом трейне, версии или ревизии…
Что скажете на ответ Digital Security?
habrahabr.ru/company/dsec/blog/272183
habrahabr.ru/company/dsec/blog/272183
Ничего. Я в статье выше уже все написал. Их ответ только подтверждает то, что было написано
— Устаревшая версия IOS.
— Уязвимости найдено не было.
— Существуют ограничения на использование.
— При обращении производителя ему было отказано.
— Про возможность блокирования шелкода встроенными механизмами защиты ни слова.
— Устаревшая версия IOS.
— Уязвимости найдено не было.
— Существуют ограничения на использование.
— При обращении производителя ему было отказано.
— Про возможность блокирования шелкода встроенными механизмами защиты ни слова.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Сетевое оборудование под угрозой? Давайте разбираться…