Black Hat: Cisco bez szwanku?
- NetWorld OnLine,
- 18.10.2005, godz. 13:00
O echach konferencji Black Hat (Las Vegas) i głośnej sprawie Michaela Lynna w aspekcie polityki bezpieczeństwa Cisco Systems mówi Jeff Platon, odpowiedzialny w koncernie za sieciowe produkty z zakresu bezpieczeństwa i aplikacje.
Cisco zachowało się w sposób racjonalny i adekwatny do sytuacji. Zasady polityki ochrony własności intelektualnej i bezpieczeństwa systemów sieciowych naszych klientów są znane od lat. Sprawa z udziałem Michaela Lynna jest doskonałym przykładem łamania podstawowych norm, zarówno tych moralnych jak i prawnych. Lynn, po tym, jak luka w systemie IOS routerów została już zdiagnozowana, a "łatki" opracowano przedstawił cały mechanizm włamywania się do oprogramowania zarządzającego. Wykład miał formę instruktażową, krok po kroku ukazując, w jaki sposób obchodzi się zabezpieczenia. Taką postawę można zakwalifikować jako celowe i szkodliwe działanie, co ma znamiona czynu kryminalnego.
Podsumowując, nasi klienci nie powinni się niczego obawiać, ponieważ pozostajemy czujni w dziedzinie systemów bezpieczeństwa, a wszelkie zauważone nieprawidłowości są natychmiast korygowane.
Jednak nie wszyscy wierzą w czyste intencje działań Cisco. Podobno nakłanialiście uczestników spotkania do pozbycia się prezentacji Lynna z materiałów konferencyjnych?
Nie mieliśmy żadnych negatywnych sygnałów od uczestników w tej sprawie. Wierzę, że nasi klienci ufają nam w tak delikatnej materii. Czy cała historia z Lynnem mogła mieć inny przebieg? Z pewnością tak. Po fakcie zawsze łatwiej jest krytykować czyjeś działania. Jednak w tamtej konkretnej chwili trzeba było podejmować szybkie decyzje i tak też uczyniliśmy.
Rozumiem, że dość nerwowa reakcja Cisco była jednostkowym wydarzeniem?
Tak, opracowujemy nowe standardy zachowań w podobnych sytuacjach.
Poprzez wymianę prawników?
Nie chodzi tutaj o naszych prawników, do ich pracy nie mamy zastrzeżeń. To, co się powinno zmienić, to postrzeganie Cisco przez uczestników, będących świadkami takich sytuacji jak te z konferencji Black Hat. Pracujemy nad tym.
Wspomniał Pan, że przed wystąpieniem Lynna większość dużych klientów Cisco miało już dostęp do "łatek" naprawiających lukę w IOS. Czy jesteście jednak pewni, że oni zainstalowali tę aktualizację?
Co prawda, w umowach sprzedaży naszych rozwiązań nie ma wyraźnej klauzuli zobowiązującej klientów do instalowania przesyłanych przez nas poprawek, ale zdecydowane większość z nich ufa nam w tej kwestii I zawsze przeprowadza takie aktualizacje. W rzadkich przypadkach bardzo poważnych zagrożeń, nasze sugestie są wręcz obligatoryjne i poważni użytkownicy nigdy ich nie kwestionują.
Routerom z IOS zdarzają się luki, a jak bezpieczne są wasze rozwiązania VoIP?
Gdy pięć lat temu zaczynaliśmy "przygodę" z telefonią internetową, nikt nie myślał poważnie o względach bezpieczeństwa. W ostatnim czasie nastąpiła jednak diametralna zmiana punktu widzenia w tych kwestiach. Obecnie nasze działania koncentrują się głównie na zabezpieczaniu technologii głosowych (m.in. dzięki patentom przejętym w wyniku akwizycji spółki Okena w 2003 roku oraz wprowadzeniu specjalnych systemów chroniących przez tzw. SPITem - SPam over Internet Telephony. Nasze opracowania zabezpieczające technologię VoIP zostały niedawno nagrodzone, co dodatkowo mobilizuje nas do wytężonej pracy.
Rozmawiał: Matt Hamblen
Opracował: Dariusz Niedzielewski
Więcej o konferencji Black Hat i Michaelu Lynnie pisaliśmy tutaj: