Как стать автором
Обновить

Комментарии 14

Интересно, публичный ключ при этом они сменили или нет. ;) Может всё так же можно подключиться.
Кто еще не обновился, проверяйте, остаются ли подключения с этим ключом в логах.
Это больше смахивает не на бекдор, а на идиотизм, вставленный каким-то разработчиком из лени. Потом это благополучно прозевали. Ну я всегда был «высокого» мнения о качестве цискиного кода.

Впрочем, у таких систем ssh наружу редко публикуется. Вот если бы буквы из определенным образом сформированных SIP INFO пакетов воспринимались как CLI команды — это было бы бекдорище.
>> вставленный каким-то разработчиком из лени.

на такую реакцию и расчитано

а ваш пример 100% указывает на злой умысел
Если бы это был злой умысел, то приватный ключ в самом образе отсутствовал бы. Нет сценария, по которому он потребовался бы в дальнейшем, особенно если это делали бекдор. Даже наоборот, в случае бекдора его владелец заинтересован в том, чтобы никто другой не мог им пользоваться. В крайнем случае был бы отдельный ключ для исходящих соединений на сервер управления, но и в этом я не вижу особого смысла.

Далее. Если это — злой умысел, то зачем заводить на это баг, если никто посторонний еще не обнаружил ключ?
Далее. Если это — злой умысел, то зачем заводить на это баг, если никто посторонний еще не обнаружил ключ?


Возможно циско сама не знает сколько «добра» понапихано у них в продуктах.

btimes.ru/news/politika/kompaniya-cisco-poprosila-ubrat-quotzhuchkiquot-spetssluzhb-iz-svoikh-routerov

А тут прочитал и ох... провели аудит прошивки и наловили…

Ну а в качестве рекламного хода «открытости» опубликовали данный бажок. :) Что там еще зарыто в недрах, одному богу известно.

Там было другое. Если интересующий кого-надо клиент покупает железку, то эта железка идет до клиента через специальный склад, где с ней что-то делают. Вероятно, что-то на уровне микрокода и биоса. Эту информацию я, кстати, слышал еще до того, как ее публиковали. Весьма похоже на правду.

Вы явно думаете, что циске интересно шпиёнство, но это не так. Корпорации обязаны сотрудничать со спецслужбами, если те попросят, но сильно облегчать им жизнь никто не станет, их все недолюбливают. В интересах циски продавать железки, софт и саппорт, и всё это приносит измеримую пользу американской экономике. Шпионить за пользователями — не в интересах циски (в этом можно было бы обвинить гугл/фейсбук, которые хотят знать всё обо всех), их просто заставляют это делать. Встраивать бекдоры в 100% софта — это весьма серьезный репутационный риск, так как выше шансы, что кто-то это обнаружит хотя бы по подозрительной сетевой активности. Так что наверняка они со спецслужбами пошли на компромисс — циска может совершенно честно заявить «мы не ставим бекдоры в наше оборудование и софт», а спецслужбы при этом пользуются бекдорами, которые устанавливают самостоятельно, где-то посреди логистической цепочки от циски до клиента.

Думайте, анализируйте мотивы, не бросайтесь обвинениями понапрасну.

И повторю, что прикрепление приватного ключа к софту с бекдором было бы идиотизмом. Если вы настраиваете компьютер А, чтобы компьютер Б мог подключиться по нему с помощью сертификата, то на компьютер А копируется публичный ключ. Приватный ключ тут ни в каких случаях не требуется.
В целом согласен, кроме одного нюанса. Мы ни с кем из спецслужб не сотрудничаем. Они сами. Сотрудничали бы, не надо было заворачивать железку через специальный склад
А можно организовать логистику так, что железки к определенным заказчикам будут идти через определенные склады… Ну и конечно же мало кто в компании будет в курсе дела. Вы — точно нет.

Или вы думаете, что АНБшные шпионы внутри Cisco тайком заворачивают железо через те склады, а руководству про это неизвестно? Третьего не дано.

Прелесть этой схемы именно в возможности честно, без вранья сказать «мы не ставим бекдоры в наше оборудование». Ну а заявления «мы не сотрудничаем со спецслужбами», конечно, ложь (хотя не уверен, что кто-то в вашем руководстве применял такую формулировку). Правду в этом случае сказать нельзя по закону.
А что считать угрозой? SSH — это угроза, Telnet — огромная угроза, SNMP — еще какая угроза, Интернет — одна сплошная угроза… Есть PoС Blue pill, есть замечательная технология Intel Anti-Theft, были перехваты ван Эйка и чудеснейшая и элегантнейшая подслушивающая установка работавшая без питания… Сейчас даже промышленные станки привязываются аппаратно к территории завода. Давайте всех производителей обвиним в пособничестве хакерам.

И вообще, само словосочетание «информационная безопасность» — крайне скользкое понятие, так как полной безопасности информации никто и никогда не обеспечит.
От себя добавлю к словам JDima, что уязвимость была обнаружена и устранена нами же в рамках нашей политики устранения уязвимостей (http://www.cisco.com/web/about/security/psirt/security_vulnerability_policy.html) и нашего CSDL (http://www.cisco.com/web/about/security/cspo/csdl/process.html). Случаев использования этой уязвимости неизвестно. Патч для устранения уязвимости разработан и предлагается для загрузки заказчикам.
Вы лучше скажите: каков смысл существования аккаунта support, если TAC как правило работает через webex? Это где-нибудь документировано? Где еще можно встретить этот аккаунт?
Честно? Не знаю. Возможно это часть кода из когда-то приобретенного нами продукта… Тут разработчиков надо мучать :-(
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории