Cisco-Gate @ BlackHat conference

Par 4n9e le 04-08-2005


Michael Lynn présente les vulnérabilités des routeurs Cisco et s'en trouve poursuivit



lynn1.jpg

Conference BlackHat, quelques jours avant la DEFCON, Las Vegas.
Michael Lynn, cadre d' ISS (Internet Security Systems), a donné sa démission afin de pouvoir intervenir librement lors d'une présentation.
Lors de la conférence, il présente quelques vulnérabilités inhérantes à la téléphonie sur internet.
Les organisateurs de la BlackHat savent qu'il a du refaire totalement sa presentation initiale, pour une raison que nous verrons plus loin...




lynn2.jpg


Puis, subitement, sa présentation change pour aborder les problemes de sécurité sur les routeurs Cisco. De quoi s'agit il ? En huit étapes, il exploite un ensemble de failles de sécurité critiques issues de buffer / heap overflow soit disant connues et patchées depuis avril selon Cisco. Toujours est il que Lynn à le temps de faire la démonstration de l'établissement d'un shell avec droits devant l'assemblée.
Dans l'assistance, les représentants de Cisco présents s'en prennent à l'intervenant, forcant les organistaeurs a mettre un coup d'arret à la présentation de Lynn.

Que s'est il passé ? Quelques temps auparavent, ayant connaissance des recherches de Lynn et suivits par ISS, un commando d'avocats de Cisco obtient une injonction légale immédiate pour forcer Lynn a ne pas dévoiler les details de cette vulnérabilité, que ce soit à l'occasion de la BlackHat, ou de la DEFCON qui la suit. Lynn a demissionné, et n'a pas cédé à la censure.
S'ensuit la destruction des documents en question puis plus tard, la perquisition des machines de Lynn par le FBI. Dans les jours qui suivent, les sites ayant eu le temps de mettre cette présentation en ligne sont pourchassés et forcés de la retirer.

Evidement, à la DEFCON qui suit, on parle de ce coup de tonnerre...sans en parler, les implications prenant rapidement un tour dangereux pour toute personne qui diffuserait l'information. Toujours est il que malgré les efforts de Cisco et ISS, on retrouvera une copie de la presentation négligeament abandonnés sur une table de la réception de l' Alexis Park Hotel, lieu de la DEFCON. Cequi circule, et qui ne peut pas encore être interdit, est une vidéo montrant des cadres de Cisco tentant de faire disparaitre les documents de la présentation de Lynn.
Sur le reseau mondial, difficile de faire disparaitre quelque chose totalement. D'apres les sites ayant diffusé dans les premieres heures cette présentation avant de devoir la retirer, des miliers de téléchargements ont dejà eu lieu.
Alors bien sur, il est aujourd'hui possible de trouver en quelques minutes avec quelques recherches ce document. Toutefois il reste encore frappé d'interdiction de publication, c'est pourquoi il ne sera pas publié sur ce forum. D'autant que, ne nous y trompons pas, il s'agit d'un ensemble de techniques d'un niveau qui dépasse largement celui de ce forum et de sa population. En ce sens, son contenu présente donc pour la plupart des sites plus un danger qu'une information necessaire aux membres. Reste qu'elle circule quand meme sous le manteau, et par la force des choses finira par etre publique. Celui qui souhaite l'obtenir aura de grandes chances de succes en s'adressant tout simplement a tire personnel à ceux qui s'interressent au probleme...A titre d'exemple, des serveurs en pologne passent outre cette restriction.

D'autant que l'histoire ne risque pas de s'arreter là : dès le 29 au soir, un groupe composé de hackers (des vrais) et de professionnels de la sécurité se formait dans un des salons de la DEFCON, avec pour ferme intention de trouver le moyen de reproduire l'exploit de Lynn, en prenant pour base de départ toutes les videos, photos numeriques, documents sur la presentation censurée. Ils lancent a ce sujet un appel, bientot relayé sur les grands forum de securité, a toute personne possédant ces éléments.
La tache est difficile, mais d'importance. Jusqu'à present, l'idée généralement admise était que, si il est probable de pouvoir faire tourner du code sur ces routeurs, la sécurité propre au Cisco Internet Operating System (IOS), le coeur logiciel des materiels reseau Cisco interdisait toute exploit distante.


code_header Lynn a écrit:
spacer "No one really thought this (running code on Cisco routers) was possible, until Wednesday, so no one really looked to defend against it,"

M.Lynn


lynn3.jpg


On considère en outre que dans le domaine de la sécurité, il est necessaire d'établir un dialogue clair entre les différents acteurs; d'une part les firmes de developpement, et d'autre part la communauté des professionnels et des passionnés de la sécurité. Or Cisco a dans ce cas brisé deux lois morales, en patchant une vulnérabilité sans autre information d'assurance que la seule foi en leurs dires, et en censurant un travail de recherche a ce sujet.
Apres les recentes et multiples mises en lumière de problemes de sécurité sur les produits Cisco (voir l'article sur le classement SANS des vulnérabilités pour juillet 2005 dans ce forum), la firme a joué là, a l'evidence, une tres mauvaise carte dans le jeu de la communication.


quote_header Cisco a écrit:
spacer "Cisco's actions (regarding) Mr. Lynn and Black Hat were not based on the fact that a flaw was identified, rather that they chose to address the issue outside of established industry practices and procedures for responsible disclosure,(...)"
"It is Cisco's opinion that the method Mr. Lynn and Black Hat chose to disseminate this information was not in the best interest of protecting the Internet."


En resumé, Cisco ne s'en prend pas particulièrement à Lynn dans cette affaire, mais préfère régler les problemes de sécurité à sa facon, dans l'interet d'Internet. On retrouve le vieux debat sur le full-disclosure.

Le probleme pour eux est qu'a present cette facon d'agir ne va que plus mettre en lumière d'éventuelles failles que des légions de hackers vont se focaliser a chercher, sachant qu'elles existent. Et peut être meme par là, en trouver d'autres.
D'un autre coté, le point de vue de Lynn et de ses defenseurs avertis est que ci et là, les recherches concernant ces vulnérabilités étaient deja bien avancées, voire meme peut etre deja exploitées en Chine. On peut considérer ceci comme plausible, venant de personnes qui savent mieux que quiconque ce qu'elles disent. L'idée est donc d'en avertir publiquement la communauté des utilisateurs afin de couper l'herbe sous le pied des attaquants eventuels.

On dit qu'en placant Lynn et une boite Cisco dans une piece, cette derniere finira par ceder en quelques temps. L'injonction qui frappe Lynn ne vaut que pour cette presentation, et ne lui interdit aucune autre recherche sur les produits Cisco si tant est qu'il respecte l' EULA.
Parions qu'on ne peut raisonnable pas donner cher de l'intégrité de ces produits dans les temps a venir...




4N9e, [à titre personnel]