Nic tak nie elektryzuje administratorów sieci jak wiadomość, że w systemie operacyjnym Cisco IOS znaleziono poważny błąd. Wiele kontrowersji wzbudziło ujawnione niedawno odkrycie dokonane przez byłego pracownika Internet Security Systems.

Cisco Systems to firma szczególna. Jej rozwiązania sieciowe stanowią gros infrastruktury Internetu i rozległych sieci korporacyjnych. Liczby mówią same za siebie: 60% ruchu w Internecie przepływa właśnie przez urządzenia Cisco. Nic zatem dziwnego, że Cisco i router to wręcz synonim. Ze względu na powszechność właśnie, podobnie jak w przypadku systemów Microsoft Windows, rozwiązania Cisco są przedmiotem wzmożonego zainteresowania włamywaczy.

Zdobycie routera to bardzo często zdobycie także zapory sieciowej, która działa w jego środowisku, stanowi więc dla włamywacza najlepszą zachętę do dalszych działań. Również zawodowi badacze zabezpieczeń, nienoszący tzw. czarnego kapelusza, uważają znalezienie luki w systemie operacyjnym Cisco IOS za punkt honoru. Choć systemy Cisco są na ogół bardziej odporne na włamania niż te produkowane przez Microsoft, chętnych by się o tym przekonać nie brakuje. Co jakiś czas niektórym się udaje. Jednak gdy to się już stanie, powstaje pytanie: co dalej?

Prosimy nie rozgłaszać

W takiej sytuacji stanął niedawno Mike Lynn, pracownik firmy Internet Security Systems (ISS). Podczas konferencji Black Hat poświęconej bezpieczeństwu systemów informatycznych i technikom hakerskim przedstawił on koncepcję, według której możliwe jest zdalne uzyskanie pełnej kontroli nad urządzeniami Cisco z systemem IOS.

Mówiąc żargonem, chodziło o to, jak "zbindować shella". Nie wszystkie konfiguracje Cisco IOS są podatne na taki atak, jednak sama możliwość jego przeprowadzenia zdalnie - bez względu na stopień trudności jego wykonania w praktyce - wprawił uczestników konferencji w osłupienie. Osoby odpowiedzialne za bezpieczeństwo w "poważnych instytucjach" informacja mogła wprawić w przerażenie.

Jako pracownik ISS Mike Lynn miał dostęp do kodów źródłowych IOS, co było kluczowe dla znalezienia owej podatności. Odkrywając słynną już lukę, postąpił etycznie i odpowiedzialnie: poinformował Cisco i - jak twierdzi - próbował zabezpieczyć swoją firmę i jej produkty przed skutkami potencjalnych ataków. Wiedząc, że sprawa jest poważna, Lynn zwrócił się do Cisco o pomoc w opracowaniu stosownego zabezpieczenia. Niestety, jak twierdzi Lynn, Cisco zignorowało jego rewelacje twierdząc, że opisywane zagrożenie w rzeczywistości nie istnieje.

Mając dostęp do źródeł IOS, Lynn uparcie jednak twierdził swoje. Po przedstawieniu mocniejszych argumentów Cisco poprosiło, by Lynn nie publikował na ten temat żadnych informacji do momentu zakończenia prac nad kolejną wersją IOS, która w owym momencie była na etapie testów beta. Tak zaczęła się "wielka sprawa".

Lynn postanowił odejść z ISS i poinformować społeczność informatyczną o zagrożeniu. Ostatecznym argumentem, który przekonał go o słuszności takiego kroku i ujawnienia szczegółów jego odkrycia na forum publicznym, okazała się informacja, że hakerzy po raz kolejny wykradli z Cisco źródła IOS. Oznaczało to ni mniej, ni więcej, że wkrótce ukażą się programy automatycznie przejmujące sterowanie nad routerami. W wywiadach, jakich udzielał już jako samodzielny badacz, Lynn wyrażał swoje opinie o nowym systemie IOS, mówiąc, że "nowa architektura będzie jeszcze bardziej podatna na ataki". Wprawdzie Cisco opublikowało uaktualnienie pod nazwą "ipv6 routing fix", lecz według Lynna nie odnosi się ona do problemu, który wykrył, a poprawka jest tylko próbą "mydlenia oczu" zdezorientowanej publiczności.

Psychologia sceny

Skutki działań podjętych przez Lynna są różnorakie. Dla niego samego bezpośrednim następstwem ujawnienia potencjalnego mechanizmu włamania do IOS był pozew sądowy wytoczony przez Cisco. Producent zarzucił mu ujawnienie poufnych informacji.

Lynn nie przewidział, niestety, do jakiego stopnia jego publikacja "ożywi" środowisko podziemia hakerskiego. W swoim wystąpieniu podał, że dzięki wykorzystaniu luki można przejąć sporą część zasobów Internetu. Trudno o lepszą zachętę dla hakerów. Można nawet zaryzykować stwierdzenie, że te słowa były bezpośrednią przyczyną ponownej, udanej próby wykradzenia kodów źródłowych IOS z Cisco! Ale kod przynajmniej części systemu IOS jest dostępny w internetowym półświatku już od jakiegoś czasu i każdy żądny sławy lub zarobku haker może uzyskać dostęp do niego, a następnie próbować odszukać problem, o którym Lynn mówił na konferencji Black Hat.

Znalezienie luki w IOS to obecnie tylko kwestia czasu. Grozi nam ożywienie sceny hakerskiej, która od dłuższego czasu pozostawała w pewnym uśpieniu. Tylko nieliczne grupy hakerskie są nadal aktywne - głównie amatorskie. Sprawa IOS to jednak impuls, poważne wyzwanie intelektualne i ambicjonalne. Wywoła wyścig, który będzie się odbywać w zawrotnym tempie. Co więcej, wreszcie jest powód, aby zakładać grupy hakerskie, aby szybciej znaleźć dziurę w Cisco IOS i wspólnymi siłami ogłosić się mianem najlepszych. To właśnie jest prawdziwe niebezpieczeństwo - znacznie większe, niż jedna czy dwie konkretne luki w tym czy innym systemie. Prawdopodobnie skutki tego ożywienia będziemy odczuwać jeszcze przez bardzo długi czas.

Moralność relatywna

Pisząc o sprawie Lynna i wywołanym przez niego poruszeniu na scenie hakerskiej, nie można nie wspomnieć o najnowszej inicjatywie 3Com, która zamierza pójść śladem iDefense, jednej z największych na świecie firm specjalizujących się w zabezpieczeniach sieciowych. Wykupuje ona od programistów w bardziej lub mniej oficjalny sposób informacje o dziurach w zabezpieczeniach, czasem nawet z kodem eksploitów i wirusów oraz gotowymi łatami. iDefense nie działa w tej dziedzinie w pełni oficjalnie, ich program jest zagmatwany i unika nazywania spraw po imieniu.

3Com zamierza robić to co iDefense, tyle że w pełni otwarcie i oficjalnie. W ramach projektu Zero Day Initiative (http://www.zerodayinitiative.com/) firma deklaruje, że płaci za wynajdywanie problemów w systemach, aby móc sprzedać na rynku rozwiązania likwidujące je. Pół biedy, gdyby chodziło wyłącznie o jej własne produkty. Trzeba zrozumieć, że takie inicjatywy prowadzą w prostej linii do aktywizacji sceny hakerskiej i wynajdywania nowych dziur. Wątpliwe, żeby ktoś, kto miał do czynienia z bezpieczeństwem "na poważnie", tego problemu nie dostrzegał.

Błędy i ich skutki

Lynn ogłosił szokującą informację, ale wcześniej mogło wiedzieć o niej kilka osób. Przerażony swoim odkryciem Lynn działał w przekonaniu, że ktoś może przejąć kontrolę nad setkami tysięcy routerów bez wiedzy ich administratorów i sparaliżować Internet. Prawdziwego strachu najadł się dopiero wtedy, gdy zaczęli odwiedzać go przedstawiciele amerykańskich agencji rządowych, takich jak NSA czy FBI, chcący dowiedzieć się, w czym leży problem.

Cła sprawa nie przybrałaby takiego obrotu, gdyby wraz z opublikowaniem informacji Lynn ujawnił szczepionkę. Klamka jednak zapadła. Na skutek błędu Lynna, ale także w dużej mierze w wyniku nieprzemyślanej reakcji Cisco i ISS, sytuacja wymknęła się spod kontroli. Przede wszystkim Cisco otwarcie poróżniło się z ważnym dla jego wiarygodności środowiskiem - nawet jeśli nie taka była intencja, działania Cisco tak właśnie zostały zinterpretowane. Środowisko, które do tej pory było mu życzliwe, zrobi teraz wszystko, aby udowodnić, że "wielka korporacja" jednak nie ma racji, próbując ukryć prawdę. Nie trzeba być prorokiem, aby przewidzieć skutki. W gorszej sytuacji jest chyba tylko Microsoft.

Poza tym, pomimo wszystkich zabiegów prawnych, informacja o potencjalnej metodzie ataku wydostała się na zewnątrz. Wiele witryn opublikowało prezentację Lynna i, zanim otrzymało list od prawników ISS, pobrały ją tysiące osób z całego świata. iDefense, 3Com, Symantec i inne powinny podziękować Lynnowi - dzięki niemu będą miały źródło utrzymania przez kolejnych kilka lat. Cisco jest tu wielkim przegranym. Nie opublikowało poprawki, zignorowało problem i przez to straciło kredyt zaufania.

Podatek na bezpieczeństwo

Sytuacja wywołana działaniem Lynna uświadamia jedno: bezpieczeństwo to interes jak każdy inny. Jeżeli informacje o zagrożeniach mają być dostępne dopiero wtedy, gdy producent felernego oprogramowania dogada się z "odpowiedzialną" firmą, która za udzielenie informacji weźmie kwotę X, a za udostępnienie szczepionki kwotę Y, mamy do czynienia z bardzo niebezpiecznym, podatnym na wypaczenia modelem biznesowym. Firmy, takie jak iDefense czy 3Com, chętnie poinformują nas o problemie "wcześniej" za dodatkową opłatą Z. Tylko patrzyć, a okaże się, że lokalny informatyk jest dyskredytowany - no bo przecież na bezpieczeństwie znają się tylko specjalistyczne firmy. To już nawet nie biznes - to podatek na bezpieczeństwo. Czy jest to bezpieczne - oceńcie Państwo sami.