Cisco Routers Again Take Hacker Spotlight

Cisco hacking scene memiliki cukup tenang selama tiga tahun terakhir, tetapi pada konferensi hacker Black Hat minggu ini di Las Vegas, akan ada sedikit kebisingan.

Peneliti keamanan akan memberikan ceramah tentang rootkit dan peretasan baru dan perangkat lunak pendeteksi gangguan untuk router yang membawa sebagian besar lalu lintas Internet.

Tiga tahun lalu, peneliti keamanan Michael Lynn menyorotkan sorotan pada produk Cisco ketika dia berbicara tentang bagaimana dia menjalankan program "shellcode" sederhana di router tanpa otorisasi. Pembicaraan kontroversial Lynn adalah kisah terbesar di Black Hat 2005. Dia harus berhenti dari pekerjaannya untuk menghindari larangan perusahaan membahas Cisco, dan baik dia maupun penyelenggara konferensi segera dituntut oleh Cisco. Perusahaan jaringan itu berpendapat bahwa slide presentasi Lynn berisi informasi yang melanggar hak kekayaan intelektual perusahaan, dan ceramah Lynn benar-benar dirobek dari paket materi konferensi. Dalam perjanjian penyelesaian, peneliti dilarang membahas lebih lanjut karyanya, tetapi salinan presentasinya (pdf) diposkan online.

[Bacaan lebih lanjut: Kotak NAS terbaik untuk streaming media dan pencadangan]

Hari ini, Kepala Cisco Petugas Keamanan John Stewart sangat berterus terang tentang pengalaman tersebut, mengatakan bahwa perusahaannya bertindak untuk alasan yang benar - melindungi pelanggan dan kekayaan intelektualnya - tetapi bertindak terlalu jauh. "Kami melakukan semacam hal konyol," katanya. "Itulah mengapa saya secara pribadi mensponsori Black Hat di level platinum sejak itu. Karena saya pikir kami harus melakukan pendamaian."

Lynn tidak lama bekerja. Dia dengan cepat direnggut oleh pesaing Cisco Juniper Networks, tetapi selama beberapa tahun setelah ceramahnya, tidak banyak diskusi umum tentang peretasan Cisco, menurut Jeff Moss, direktur Black Hat.

Moss percaya bahwa ekonomi mungkin telah mendorong beberapa peneliti Cisco di bawah tanah. Setiap kode yang mengeksploitasi celah-celah Cisco sangat berharga sehingga setiap peretas yang memilih untuk mengungkapkan temuannya, daripada menjualnya ke perusahaan keamanan atau lembaga pemerintah, seringkali menyerahkan banyak uang, kata Moss. Kerentanan Mike Lynn bernilai sekitar US $ 250.000, menurutnya.

Tapi tahun ini semuanya telah terbuka. Penyelenggara Black Hat merencanakan tiga pembicaraan tentang router Cisco dan Sistem Operasi Internetwork yang mereka jalankan. "Tiba-tiba saja tahun ini banyak hal yang telah lepas," kata Moss.

Akhir-akhir ini, dengan Microsoft Windows tidak lagi menjadi lahan subur untuk perburuan bug yang dulu, para peneliti mencari produk lain untuk diretas. Dan router Cisco adalah target yang menarik. Mereka menguasai lebih dari 60 persen pasar router, menurut firma riset IDC.

"Jika Anda memiliki jaringan, Anda memiliki perusahaan," kata Nicolas Fischbach, manajer senior teknik jaringan dan keamanan dengan COLT Telecom, sebuah perusahaan Eropa. penyedia layanan data. "Memiliki PC Windows tidak lagi menjadi prioritas."

Tapi router Cisco membuat target yang lebih sulit daripada Windows. Mereka tidak begitu terkenal untuk peretas dan mereka datang dalam banyak konfigurasi, jadi serangan pada satu router mungkin gagal pada satu detik. Perbedaan lainnya adalah bahwa administrator Cisco tidak selalu mengunduh dan menjalankan perangkat lunak.

Akhirnya, Cisco telah melakukan banyak pekerjaan dalam beberapa tahun terakhir untuk mengurangi jumlah serangan yang dapat diluncurkan terhadap routernya dari Internet, menurut Fischbach. "Semua eksploitasi dasar yang sangat mudah yang dapat Anda gunakan terhadap layanan jaringan benar-benar hilang," katanya. Risiko memiliki router yang dikonfigurasikan dengan baik yang diretas oleh seseorang dari luar jaringan perusahaan Anda adalah "sangat rendah."

Hal itu tidak menghalangi para peneliti keamanan.

Dua bulan lalu, peneliti Core Security, Sebastian Muniz menunjukkan cara-cara baru untuk membangun program rootkit yang sulit dideteksi untuk router Cisco, dan minggu ini rekannya, Ariel Futoransky, akan memberikan pembaruan Black Hat pada penelitian perusahaan di bidang ini.

Juga, dua peneliti dari Information Risk Management (IRM), sebuah konsultan keamanan yang berbasis di London, berencana untuk merilis versi modifikasi dari GNU Debugger, yang memberikan pandangan kepada peretas tentang apa yang terjadi ketika perangkat lunak Cisco IOS memproses kode mereka, dan tiga program shellcode yang dapat digunakan untuk mengendalikan router Cisco.

Peneliti IRM Gyan Chawdhary dan Varun Uppal telah melihat kembali karya Lynn. Secara khusus, mereka melihat lebih dekat pada cara Lynn mampu menghindari fitur keamanan iOS yang disebut Check Heap, yang memindai memori router untuk jenis modifikasi yang akan memungkinkan hacker untuk menjalankan kode yang tidak sah pada sistem.

Mereka menemukan bahwa sementara Cisco telah memblokir teknik yang digunakan Lynn untuk mengelabui Check Heap, masih ada cara lain untuk menyelundupkan kode mereka ke sistem. Setelah pengungkapan Lynn, Cisco "hanya menambal vektor," kata Chawdhary. "Dalam arti, bug masih ada."

Dengan memodifikasi satu bagian dari memori router, mereka mampu melewati Check Heap dan menjalankan shellcode mereka ke sistem, katanya.

Peneliti Lynn dikreditkan dengan membuat nya penelitian sendiri mungkin, Felix "FX" Lindner, juga akan berbicara tentang peretasan Cisco di Black Hat. Lindner, kepala Recurity Labs, berencana untuk merilis alat forensik Cisco baru, yang disebut CIR (Cisco Incident Response), yang telah diuji beta selama beberapa bulan terakhir. Akan ada versi gratis, yang akan memeriksa memori router untuk rootkit, sementara versi komersial dari perangkat lunak akan dapat mendeteksi serangan dan melakukan analisis forensik perangkat.

Perangkat lunak ini akan memberikan para profesional jaringan seperti Fischbach cara untuk kembali dan melihat memori perangkat Cisco dan melihat apakah sudah dirusak. "Saya pikir ada gunanya," katanya. "Bagi saya, itu bagian dari toolkit ketika Anda melakukan forensik, tetapi itu bukan satu-satunya alat yang harus Anda andalkan."

Masih ada hambatan besar bagi penyerang Cisco, kata Stewart. Misalnya, banyak penyerang enggan meretas router, karena jika mereka membuat kesalahan, mereka melumpuhkan seluruh jaringan. "Kami semacam mendapat izin karena tidak ada yang mau berkeliaran dengan infrastruktur yang mereka gunakan," katanya. "Ini seperti mengacaukan jalan bebas hambatan ketika kamu mencoba untuk pergi ke kota yang berbeda."

Meskipun Cisco mungkin tidak memiliki kekhawatiran keamanan yang besar sekarang, Stewart tidak menerima apa-apa.

Faktanya, dia juga mengakui bahwa perusahaannya telah beruntung sejauh ini dan dia tahu itu bisa berubah jika cukup banyak orang seperti Lindner mulai mengerjakan masalah itu. "Kami punya waktu," katanya. "Kami mendapat kesempatan untuk menjadi lebih baik, dan kami harus terus berinvestasi untuk menurunkan permukaan serangan."