BLACK HAT: نقطه ضعف سيسكو نگراني‌ها را برانگيخته است

نويسنده: Jaikumar Vijayan
Computerworld
مترجم: امين ايزدپناه

اعلام عمومي حمله به يك روتر شركت Cisco Systems در كنفرانس ماه جاري Black Hat USA نشان داد كه بخش مهمي از شبكه‌هاي سازماني احتمالا بيش از آن كه بسياري از كاربران تصور مي‌كردند در مقابل هكرها آسيب‌پذير هستند.

اما، مديران IT و تحليلگران امنيتي اعلام نمودند، شركت‌هايي كه راهكارهاي پيشنهاد شده را براي ايمن‌سازي شبكه‌هاي خود به كار ببندند عملا بايد در مقابل اين واقعيت كه اكنون حمله‌كنندگان اطلاعاتي در مورد نحوه‌ي shut down كردن روترها از طريق سوء‌استفاده از يكي از نقطه‌ ضعف‌هاي نرم‌افزاري كه پيش از اين افشا شده بود دارند ايمن باشند.

Andreas Wuchner-Bruhl، مدير امنيت IT در Novartis Pharma AG، مي‌گويد: "در نهايت، وضعيت سيسكو هيچ تفاوتي با مايكروسافت يا يونيكس نمي‌كند. آسيب‌پذير‌ي‌ها همواره وجود خواهند داشت. سازمان‌ها ناچارند خودشان را به گونه‌اي آماده نمايند كه توانايي محفاظت از خود را داشته باشند."

Michael Lynn، يك محقق امور امنيتي، يك هفته پيش هنگامي كه يك presentation در مورد نقطه ضعف روتر در كنفرانس Black Hat در Las Vegas ارائه داد باعث برانگيخته شدن نگراني‌ها گرديد. سيسكو و شركت Internet Security Systems كه Lynn در آنجا مشغول به كار بود، سعي نمودند او را از سخنراني برنامه‌ريزي شده‌ي خود باز دارند.

سيسكو با طرح يك دعوي حقوقي بر عليه Lynn و واداشتن سازمان دهندگان Black Hat به حذف presentation او از ادامه برنامه‌هاي كنفرانس، تمام تلاش خود را در جهت جلوگيري از انتشار اين اطلاعات به كار گرفت. اما چندين وب‌سايت مرتبط با امور امنيتي كپي‌هايي از اين presentation را در معرض ديد بازديدكنندگان خود قرار دادند، كه اين امر سيسكو را وادار به انتشار يك توصيه (advisory) در تاريخ 29 جولاي نمود كه در آن از كاربران مصرانه خواسته شده بود نسخه نرم‌افزار Internetworking Operating System سيسكو را به جديدترين نسخه ارتقاء دهند.

بر طبق توصيه سيسكو، محصولات اجرا كننده نسخه‌هاي معين IOS در مقابل حملاتي كه از پكت‌هاي خاص IP نسخه 6 استفاده مي‌كنند آسيب‌پذير هستند. بر طبق اعلام سيسكو، تنها ابزارهايي كه به شكل صريح براي پردازش ترافيك IPv6 پيكربندي شده باشند تحت تاثير اين نقطه‌ضعف قرار مي‌گيرند.

اطلاعاتي كه Lynn افشا نمود نشان دهنده آن است كه هكرهاي خرابكار چگونه مي‌توانند از طريق روترها به "متوقف ساختن، تغيير مسير و scramble نمودن ترافيك شبكه" بپردازند، اين گفته Gene Hodges  رئيس شركت McAfee است.

Hodges ضمن بيان پيچيدگي حمله به روترها مي‌افزايد: "تاكنون، جامعه امنيتي، از نظر من، ساده‌انگارانه تصور مي‌نمود كه اين امر غير ممكن است."

 

پتانسيلي براي سوءاستفاده مجدد

Jian Zhen، مدير توليد شركت LogLogic (فروشنده ابزارهايي براي مديريت ثبت داده‌هاي شبكه) مي‌گويد، با وجود اين كه نسخه به روز رساني شده IOS در مقابل حمله تشريح شده به وسيله Lynn آسيب‌پذير نيست، اما هر آسيب‌پذيري جديد سرريز بافر يا heap كه در اين نرم‌افزار كشف شود مي‌تواند با استفاده از همين فرايند مورد سوءاستفاده قرار گيرد.

Zhen مي‌گويد: "اين بدترين قسمت ماجراست. آسيب‌پذيري مزبور را به دليل شايستگي و تلاش فني مورد نياز به سختي مي‌توان مورد سوءاستفاده قرار داد. اما تمام چيزي كه مورد نياز است شخصي است كه كد shell لازم را بنويسد، و يك اسكريپت معمولي مي‌تواند از آن براي آسيب‌پذيري‌هاي جديدي كه در آينده كشف مي‌شوند استفاده نمايد."

Zhen اين گونه مي‌افزايد كه سيسكو نياز به يك بازرسي كامل كد دارد تا آسيب‌پذيري‌هاي سرريز ممكن را در IOS مورد شناسايي قرار دهد و سپس آنها را برطرف سازد. او مي‌گويد: "اين كار ساده‌اي نخواهد بود، و زمان زيادي صرف خواهد نمود، اما انجام ندادن آن اينترنت را در معرض خطر قرار خواهد داد."

با اين حال، حمله به روترها مادامي كه شركت‌ها از معيارهاي دفاعي مناسب استفاده كنند ساده نخواهد بود، اين گفته‌ي Lloyd Hession مسئول ارشد امنيت اطلاعات در BT Radianz (يك فراهم‌كننده سرويس‌هاي اتصال شبكه براي شركت‌هاي تجاري) است.

Hession مي‌گويد: "نخستين اصل مسلم امنيت روتر دسترس‌ناپذير كردن روتر است." وي خاطرنشان مي‌نمايد كه ابزارها بايد حتي‌الامكان به اينترنت متصل نباشند.

براي نمونه، قرار دادن روترهاي دستور-و-كنترل (command-and-control) در سگمنت‌ شبكه مجزاي خود مي‌تواند دسترسي هكرها به آنها را دشوار سازد، اين گفته Paul Mockapetris ابداع كننده سيستم نام دامين اينترنت و رئيس Nominum (فروشنده مديريت آدرس IP) است.

Mockapetris مي‌گويد: "به همين دليل است كه carrierها شبكه‌هاي كنترلي مجزا را به كار مي‌برند. يك حمله كننده قبل از آن كه بتواند هر حمله‌اي را انجام دهد بايد ابتدا به شبكه وارد گردد. اين دقيقا اصل اساسي دفاع چند لايه‌اي است."

بنا بر گفته Hession، دردسر بزرگتر ناشي از نقطه‌ضعف IOS براي شركت‌هاي بزرگ، مشكلات به روز رساني روترهاي آسيب‌پذير است. Hession مي‌گويد: " BT Radianz داراي بيش از 40000 روتر است، كه اغلب آنها ساخت سيسكو هستند، و به روز رساني آنها به چندين ماه برنامه‌ريزي، تست و downtime زمانبندي شده نياز دارد.

او خاطر نشان مي‌كند، در نتيجه اتخاذ تصميم براي انجام patch بايد با تدابير كاهشي كه شركت از قبل اعمال نموده است (از قبيل ماسك نمودن آدرس، مديريت out-of-band و فيلترينگ دسترسي) هماهنگ گردد.

 

سيسكو رمزهای عبور وب كاربران را reset كرد

سيسكو اعلام نمود رمزهاي عبور تمامي كاربران ثبت شده وب‌سايت خود را پس از كشف شدن يك آسيب‌پذيري امنيتي در نرم‌افزار موتور جستجوي خود كه رمزهاي مزبور را در معرض ديد عموم قرار مي‌داد reset نموده است.

بنابر گفته John Noh سخنگوي سيسكو، اين رمزهاي عبور از سوي مشتريان، كاركنان و شركاي تجاري سيسكو كه براي دستيابي به نواحي خاصي از وب‌سايت يا دريافت هشدارهاي ايميلي ثبت‌نام كرده‌اند مورد استفاده قرار مي‌گيرند.

Noh مي‌گويد، سيسكو دوشنبه گذشته از اين رخنه در موتور جستجوي خود آگاه گرديد و فورا آن را اصلاح نمود. او افزود، شركت براي احتياط شروع به ارسال رمزهاي عبور جديد به كاربران و ممانعت از دستيابي كاربران به نواحي محافظت شده وب‌سايت توسط رمزهاي پيشين خود نمود.

بر طبق گفته Noh، مقامات سيسكو عقيده دارند كه آسيب‌پذيري مذكور نمي‌تواند براي دستيابي به اطلاعات حساس از قبيل سورس كد شركت مورد سوءاستفاده قرار گيرد. او همچنين گفت اين حفره امنيتي هيچ يك از محصولات يا تكنولوژي‌هايي را كه سيسكو به فروش مي‌رساند تحت تاثير خود قرار نداده است.

سيسكو از نرم‌افزار شركت گوگل براي قدرت بخشيدن به امكان جستجوي اصلي موجود بر روي سايت خود بهره مي‌برد، اما Noh خطرنشان كرد كه گوگل در اين مشكل دخيل نيست.

او مي‌گويد: "آن يك آسيب‌پذيري مرتبط با يك ابزار جستجوي سيسكو است. آن بخشي از برنامه كاربردي وب است."

 

هكرها كنترل كپي‌هاي غير قانوني انجام شده از سوي مايكروسافت را bypass كردند

شركت مايكروسافت تصديق نمود كه هكرها در برهه‌اي كوتاه از زمان توانسته‌اند فرايندي را كه اين شركت ماه گذشته براي حصول اطمينان از اين مطلب كه كاربران دانلود كننده به روز رساني‌هاي نرم‌افزاري موجود بر روي سايت مايكروسافت داراي كپي‌هاي قانوني ويندوز هستند نصب كرده بود bypass نمايند.

يك پست فرستاده شده به وبلاگ Boing Boing در تاريخ 28 جولاي مدعي شده بود كه يك رشته دستوري جاوا اسكريپت مي‌تواند كنترل كليد نرم‌افزاري را در برنامه Windows Genuine Advantage 1.0 مايكروسافت bypass نمايد. بنابر ادعاي اين پست، كاربران مي‌توانند WGA را با paste كردن دستور مزبور در نوار آدرس مرورگر خود و فشار دادن كليد Enter مغلوب سازند. اين پست مي‌افزايد: "اين كد باعث از كار افتادن فرايند كنترل كليد مي‌گردد."

WGA كاربران را ملزم به اجراي يك برنامه مي‌نمايد تا قبل از آن كه بتوانند از سرويس‌هاي به روز رساني نرم‌افزاري مايكروسافت استفاده كنند اثبات گردد كه كپي ويندوز آنها غير مجاز نيست. مايكروسافت از سپتامبر گذشته آن را به عنوان يك برنامه آزمايشي (pilot) مورد استفاده قرار مي‌داد اما فرايند اعتبارسنجي را از تاريخ 27 جولاي الزامي نمود.

يكي از سخنگويان مايكروسافت مي‌گويد: "طي مدت 24 ساعت، هكرها مدعي شدند كه اين فرايند را دور زده‌اند، و به نظر مي‌رسد كه آنها اين كار را انجام داده‌اند." او مي‌افزايد، شركت اين نقطه‌ضعف را كه مورد سوءاستفاده قرار گرفته بود در نسخه جديد WGA كه در حال عرضه است برطرف خواهد ساخت.

هك Boing Boing تنها راه براي شناسايي مشكلات WGA نيست. David Keller، موسس شركت مشاوره‌اي و خدمات كامپيوتري Compu-Doctor، در يك مصاحبه ايميلي مدعي گرديد كه او توانايي bypass كردن WGA با ايجاد تغيير در تنظيمات Internet Explorer را داشته است. او با نقطه‌ضعفي در برنامه مواجه شد كه يك كليد محصول قانوني را بر روي كپي Windows XP Professional Service Pack 2 متعلق به مشتري به عنوان كپي نامعتبر مي‌شناخت.

Keller مي‌نويسد، او شانسي براي استفاده از تكنيسين‌هاي پشتيباني مايكروسافت نداشت، بنابراين او WGA افزوده شده به منوي Internet Options مرورگر را غيرفعال نمود.

Copyright 2005 IDG News Service.All right reserved.
Copyright 2005, PC World Iran, All rights reserved.