Politique sécurité de Cisco

Posté par (page perso) . Modéré par Mouns.
Tags :
0
3
août
2005
Matériel
Cisco a choisi l'arme judiciaire pour ses failles de sécurité.
La dernière faille importante en date semble vouloir être étouffée par Cisco, qui utilise la justice pour tenter (inutilement) de faire oublier un trou de sécurité d'IOS (le système d'exploitation des routeurs de Cisco).
Ceci montre encore une fois l'importance d'avoir un code ouvert partout : la sécurité par obscurcissement n'étant pas une méthode sûre, et les entreprises propriétaires du code souhaitant cacher l'information plutôt que corriger.
Administrateurs réseau, avec IOS <12.3(15) ou 12.4(2), patchez! En effet, une faille a été récemment découverte par Michael Lynn, qui a démissionné de son entreprise (ISS, traitant de la sécurité Internet) pour pouvoir diffuser l'information (même si depuis il a cédé à l'injonction de Cisco et ne diffuse plus rien)
Cisco, à la place de corriger rapidement la faille, a tenté d'interdire la diffusion de l'information.
Comme on pouvait s'en douter, l'information circule toutefois dans le milieu de la sécurité, et est accessible par n'importe quelle personne ayant une volonté de prendre le contrôle d'un routeur Cisco (ancienne version de l'IOS)
Même si depuis l'éclatement de l'affaire Cisco a diffusé une alerte de sécurité, il est clairement montré que c'est sous pression de la communauté Internet que ceci a été fait.

Sources : diverses (conférences black hat, zdnet, Cisco...)

Aller plus loin

  • # Présentation en pdf

    Posté par . Évalué à 10.

  • # Source

    Posté par (page perso) . Évalué à 2.

    En fait, c'est un article de ZDnet, pas du NouvelObs.
  • # interview de Michael Lynn

    Posté par (page perso) . Évalué à 9.

    Interview de Michael Lynn par Wired: http://www.wired.com/news/privacy/0,1848,68365,00.html(...)

    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

  • # Position de Bruce Schneier

    Posté par . Évalué à 6.

    Le célebrissime cryptographe Bruce Scheneier fait un compte rendu détaillé de l'affaire dans son blog, et prend parti, fait et cause, pour Lynn:

    http://www.schneier.com/blog/archives/2005/07/cisco_harasses.html(...)
    • [^] # Re: Position de Bruce Schneier

      Posté par . Évalué à 2.

      Oui, et d'ailleurs, il doit être très content de se faire traiter de pirate par les journaleux...
      Cisco a déclenché la semaine dernière la colère de nombreux pirates en essayant de bloquer une présentation révélant une faille dans ses routeurs informatiques, qui dirigent environ 60% du trafic internet.

      from : http://fr.news.yahoo.com/050804/290/4j21y.html(...)


      Ca commence a me saouler cet amalgame chercheur en sécurité/pirate.... (non, je ne reviendrai pas sur la LEN et l'article 46 qui nous dit

      I. - Après l'article 323-3 du code pénal, il est inséré un article 323-3-1 ainsi rédigé :

      « Art. 323-3-1. - Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée. »

      Hein? comment ca je l'ai fait? :p )

      Security by obscurity, quand tu nous tiens.... (qu'on ne vienne pas me dire que le "sans motif légitime" change quoi que ce soit)
  • # article de SecurityFocus

    Posté par . Évalué à 4.

    Exploit writers team up to target Cisco routers
    http://www.securityfocus.com/news/11263(...)
  • # Encore une fois ...

    Posté par . Évalué à 10.

    La goutte d'eau qui fera déborder le vase ?

    Cisco se conduit plus mal que n'importe quelle autre société, y compris microsoft, en ce qui concerne sa façon de réagir aux failles de sécurité.

    Il semble que leur nouvelle politique consiste breveter la solution à la faille si elle touche d'autres systèmes (même s'ils n'ont pas inventé la solution) et intenter des procès aux chercheurs qui découvrent les failles.

    L'affaire des failles du protocole icmp de juillet 2005:
    http://linuxfr.org/2005/07/14/19309.html(...)

    L'affaire des failles du protocole tcp de mai 2004:
    http://kerneltrap.org/node/3085(...)

    Leur utilisation extensive et abusive des brevets au sein de l'ietf est une autre affaire, mais pas vraiment plus reluisante.

    Ca ressemble à une société dont les décisions (y compris concernant la technique) sont prises par l'equipe de comm'. Esperons que cette afaire leur fasse assez mauvaise presse pour rectifier le tir dorénavant.
    • [^] # Monopole .....

      Posté par . Évalué à 2.

      Si Cisco réagit de cette façon, c'est qu'il peuvent se le permettre.

      En effet, ils ont une situation de quasi-monopole sur le marché des routeurs haut de gamme (celà dit ce n'est pas pour rien, le matériel Cisco est quand même très performant). Donc, dans ce cas je pense que leur image de marque, ils s'en tapent un peu. D'ailleurs, vu leur situation de quasi-monopole, ils pourraient se justifier en arguant que révéler la faille fait courir un risque très important aux infrastructures réseau, et de ce fait leur image ne souffrira pas tant que ça. Et même, en supposant que leur image est touchée, que mettre à la place de routeurs Cisco sur des infrastructure réseau complexe ? C'est quand même un matériell qui a fait ses preuves.
      • [^] # Re: Monopole .....

        Posté par . Évalué à 9.

        que mettre à la place de routeurs Cisco sur des infrastructure réseau complexes

        Ca c'est le resultat brillant de l'intox cisco ("il n'y a que nous"). Je connais au moins une marque de routeurs très haut de gamme, Juniper, qui explose cisco sur les réseaux très exigeants (malheureusement ces routeurs sont très chers).

        Je suis certain qu'il existe plein d'autres bonnes marques de routeurs.

        Et on peut d'ors et déjà leur substituer des logiciels libres sur du simple pécé dans de très nombreuses PME, lorsque les besoins en perfs sont moindres, ou dans les cas d'utilisations (peut etre tres frequents) où ce n'est pas le nombre de pps routés qui compte: endpoits ipsec, petits firewalls, access points wifi, serveurs d'authentification, passerelles rnis ...

        ils pourraient se justifier en arguant que révéler la faille fait courir un risque très important aux infrastructures réseau,

        Heu ... ?
        Si "ne pas la révéler" a comme conséquence qu'elle ne soit patchée, je dirait que c'est l'inverse: se taire fait courir un risque important.

        Par ailleur Cisco ne peut définitivement plus arguer d'irresponsabilité des chercheurs dans les cas (comme celui-la) de full disclosure étant donné que leurs pratiques ignobles à l'encontre des chercheurs qui les contactent avant de révéler les failles sont maintenant connues et publiques (cf. les liens ci-dessus).
  • # l'o po copris

    Posté par . Évalué à 4.

    Administrateurs réseau, avec IOS <12.0(31), 12.1 toute version, <12.2(25), <12.3(15) ou 12.4(2), patchez!

    Cisco, à la place de corriger rapidement la faille, a tenté d'interdire la diffusion de l'information.

    je comprends pas, ils ont sorti un patch ou pas?
    • [^] # Re: l'o po copris

      Posté par . Évalué à 5.

      D'après (un lien du dernier lien) :

      http://www.boingboing.net/2005/07/27/security_researcher_.html(...)

      Lynn outlined a way to take control of an IOS-based router, using a buffer overflow or a heap overflow, two types of memory vulnerabilities. He demonstrated the attack using a vulnerability that Cisco fixed in April. While that flaw is patched, he stressed that the attack can be used with any new buffer overrun or heap overflow, adding that running code on a router is a serious threat.


      Voila ce que je comprend :

      En fait, la présentation expliquait les techniques pour profiter d'une vulnérabilité pour prendre le contrôle du routeur. La vulnérabilité initiale est patchée mais les techniques de Lynn s'appliqueront à n'importe quelle faille future. Donc, d'après les informations disponibles les versions actuelles sont sûres (il faut patcher) mais la moindre vulnérabilité future est critique.
    • [^] # Re: l'o po copris

      Posté par (page perso) . Évalué à 2.

      Je me suis sans doute mal exprimé, désolé.
      Cisco, dans un premier temps, à la place de corriger...
      Cisco, dans un second temps, suite à divulgation de la faille, a patché.

      Il manque en effet la notion de temps dans ma prose.
  • # journal...

    Posté par . Évalué à 2.

    Cette "news" est dans un journal depuis 1 semaine (ou presque ? pas envis de vérifier)....

    https://linuxfr.org/~letoff/18964.html(...)

    "La première sécurité est la liberté"

    • [^] # Re: journal...

      Posté par (page perso) . Évalué à 7.

      Et je suis en mesure de te dire que le nombre de choses qui se sont passées en une semaine est proprement incroyable! (lecture de Bugtraq et Full-disclosure). Je ne relaye pas ces informations ici car je n'ai pu les vérifier et il se pourrait que certaines ne soient que des rumeurs (ex: l'histoire des groupes de hackers chinois) que je ne souhaite pas propager.

      Dernier rebondissement: le site de cisco a été hacké et l'ensemble de la base de données avec les informations clients a été compromise. Et là ce n'est plus du domaine de la rumeur:

      Extrait de http://www.cisco.com/cgi-bin/login(...)


      # Cisco has determined that Cisco.com password protection has been compromised.
      # As a precautionary measure, Cisco has reset your password. To receive your new password, send a blank e-mail, from the account which you entered upon registration, to cco-locksmith@cisco.com. Account details with a new random password will be e-mailed to you.
      # Because of a large number of requests, registered Cisco.com users may experience delays in receiving the new passwords.
      # This incident does not appear to be due to a weakness in Cisco products or technologies.
      # If you receive a request for additional information it is because there are more than one User ID in the Cisco.com database associated with your email address. Please follow the instructions provided.


      D'après certains experts en sécurité celà se serait passé lors du DEFCON (là aussi à prendre au conditionnel) et va générer un zouli bordel pour Cisco puisque les hackers détiennent suffisamment d'infos pour faire un merveilleux 'social engeneering'.

      Bref, sale temps pour Cisco et sa politique de sécurité par l'obscurité.

      PS: j'aime beaucoup le passage
      This incident does not appear to be due to a weakness in Cisco products or technologies.
      • [^] # Re: journal...

        Posté par . Évalué à 2.

        Bah, à jouer au con avec des black hat, ils s'étonnent de devenir une cible ?

        "La première sécurité est la liberté"

      • [^] # Re: journal...

        Posté par . Évalué à 5.

        L'article du nouvel obs est trompeur.

        Lynn parle de code injection et de protection faible de ce coté là. Pour en faire la démonstration, il a sans doute utiliser une vieille faille ipv6 pour le faire.

        Cisco a corrigé cette faille mais le problème conceptuel à la base reste.

        "La première sécurité est la liberté"

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.