Svelato grosso bug, Cisco s'arrabbia

Un ricercatore di sicurezza è persino arrivato a licenziarsi dalla società per cui lavorava pur di divulgare una grave falla di sicurezza che affligge un non precisato numero di router Cisco. Questa ha già minacciato ritorsioni legali


Las Vegas (USA) – Ha quasi dell’incredibile ciò che è successo mercoledì in occasione della conferenza sulla sicurezza Black Hat. Il ricercatore di sicurezza Michael Lynn, già noto nell’ambiente per aver scoperto diverse vulnerabilità nei prodotti di Cisco , ha lasciato il proprio posto di lavoro per rivelare alcune informazioni su di una seria vulnerabilità dei router di Cisco.

Lynn, che fino a due giorni fa era impiegato nella società Internet Security Systems (ISS), ha spiegato di essere stato messo di fronte a due scelte: conservare il proprio impiego e “tenere la bocca chiusa” su ciò che aveva scoperto, o dimettersi e divulgare quella che, a suo dire, è “una vulnerabilità che potrebbe mettere in ginocchio le reti di mezzo mondo”.

Sotto le pressioni di Cisco, ISS e gli organizzatori della Black Hat avevano infatti deciso di cancellare l’intervento di Lynn. Senza alcun preavviso, questi ha tuttavia deciso di consegnare a ISS la propria lettera di licenziamento e, subito dopo, è salito sul palco della conferenza di Las Vegas per descrivere la falla di sicurezza scoperta in IOS, il sistema operativo utilizzato da Cisco nei propri router. A sole due ore di distanza dalla presentazione, Cisco ha inviato al ricercatore di sicurezza e agli organizzatori della Black Hat una lettera che li diffida dal divulgare ulteriori informazioni sulla vulnerabilità. E, almeno nei confronti di Lynn, potrebbero presto esserci nuove azioni legali.

“Siamo convinti che le informazioni presentate da Lynn alla Black Hat siano state ottenute illegalmente e vìolino le nostre proprietà intellettuali”, ha affermato il portavoce di Cisco John Noh.

Il colosso dei router ritiene infatti che Lynn abbia scoperto le debolezze di IOS decompilando il proprio software, un’azione quasi sempre illegale per la legge statunitense.

Cisco ha poi detto che l’ex ricercatore di ISS non ha divulgato vulnerabilità nuove, ma problemi di sicurezza che l’azienda avrebbe già sistemato lo scorso aprile. L’azienda ha tuttavia ammesso che la tecnica utilizzata da Lynn, capace di far girare del codice a scelta sui router vulnerabili, potrebbe essere utilizzata per estendere le possibilità di attacco che sfruttano le recenti falle.

Ma il grande pericolo, secondo Lynn, è che i router su cui gira una versione vulnerabile di IOS siano ancora moltissimi. “Ho reputato giusto – ha detto l’esperto di sicurezza – avvertire gli utenti e i governi del grande rischio che stanno correndo. Sono a conoscenza del fatto che alcuni cracker stanno già lavorando ad alcuni pericolosi exploit”. Giusto per gettare un po’ di benzina sul fuoco, l’esperto ha poi aggiunto che “IOS è il Windows XP di Internet”.

Una sommaria descrizione della falla divulgata da Lynn, con alcuni link di approfondimento, la si trova in questo advisory di FrSIRT classificato “critical”.

Come a dimostrare di non essere succube di Cisco, ieri ISS ha rivelato alcune vulnerabilità che interessano la tecnologia VoIP del colosso di San Jose.

“La vulnerabilità più recente che è stata scoperta nella sicurezza del VoIP dal team X-Force di ISS è quella del Call Manager di Cisco, un componente indispensabile per la funzionalità di qualsiasi dispositivo VoIP di Cisco con funzionalità call signalling e call routing”, ha spiegato ISS in un comunicato. “Sfruttando queste vulnerabilità, un aggressore è in grado di scatenare un gran numero di overflow all’interno di un processo importante di Call Manager, causando sia una condizione di denial of service, sia una condizione di vulnerabilità che può essere sfruttata da un aggressore per compromettere completamente il server del Call Manager. Questo permetterebbe inoltre all’aggressore di intercettare telefonate e ottenere l’accesso non autorizzato ai network e ai dispositivi che hanno installato un prodotto VoIP Cisco”.

La vulnerabilità viene descritta nel dettaglio qui .

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Cosa più grave..
    che le stampanti memorizzano tutto ciò che stampano in una memoria tampone..non vi capita mai che i drivers (ergo applicazione) della stampante chieda l'accesso a internet? 8)
    • Anonimo scrive:
      Re: Cosa più grave..
      - Scritto da: Anonimo

      che le stampanti memorizzano tutto ciò che
      stampano in una memoria tampone..

      non vi capita mai che i drivers (ergo
      applicazione) della stampante chieda l'accesso a
      internet? 8) La mia HP 845c mai.;)
    • Anonimo scrive:
      Re: Cosa più grave..
      - Scritto da: Anonimo

      che le stampanti memorizzano tutto ciò che
      stampano in una memoria tampone..
      Memoria molto piccola, tutto sommato. Sicuramente non tiene la storia di tutto quello che hai stampato. Al massimo fa una sorta di "caching" degli ultimi documenti, per velocizzare la ristampa.
      non vi capita mai che i drivers (ergo
      applicazione) della stampante chieda l'accesso a
      internet? 8)
      Molti firewall considerano come "accesso ad Internet" la semplice apertura di un socket. I socket sono molto utilizzati anche per permettere a più processi in esecuzione sullo stesso PC di comunicare tra loro. Inutile dire che i moderni driver hanno sempre più spesso almeno un processo residente in memoria... Quanto allarmismo inutile...Lieutenant
  • Anonimo scrive:
    E se non fossero solo le stampanti?
    La scusa che i sistemi di individuazione steganografici o altro servano a impedire la stampa di soldi falsi è una macroscopica cazzata. Perchè ai falsari basterebbe semplicemente rubare una stampante per farne sparire le tracce alla faccia dei pallini gialli e blu.Ma a me viene un dubbio...E se anche i documenti prodotti con una qualunque applicativo contenessero gli stessi segni identificativi? Con gli aggiornamenti in linea sarebbe un gioco da ragazzi creare un codice utente con tutte le infomazioni adatte ad identificarlo o quanto meno a rintracciarlo.
    • Anonimo scrive:
      Re: E se non fossero solo le stampanti?
      - Scritto da: Anonimo
      [...] Ma a me viene un
      dubbio...E se anche i documenti prodotti con una
      qualunque applicativo contenessero gli stessi
      segni identificativi? Beh, se l'applicativo è open source questo è piuttosto difficile, mentre se è closed ovviamente potrebbe esserci sempre qualche tecnica steganografica...
    • Anonimo scrive:
      Re: E se non fossero solo le stampanti?
      - Scritto da: Anonimo
      La scusa che i sistemi di individuazione
      steganografici o altro servano a impedire la
      stampa di soldi falsi è una macroscopica cazzata.
      Perchè ai falsari basterebbe semplicemente rubare
      una stampante per farne sparire le tracce alla
      faccia dei pallini gialli e blu.Ma a me viene un
      dubbio...E se anche i documenti prodotti con una
      qualunque applicativo contenessero gli stessi
      segni identificativi?
      Con gli aggiornamenti in linea sarebbe un gioco
      da ragazzi creare un codice utente con tutte le
      infomazioni adatte ad identificarlo o quanto
      meno a rintracciarlo.Rigiriamola:la steganografia viene applicata alle banconote vere per inserire dei "segni" che una stampante sappia individuare al fine di riconoscere il tentativo di stampare una banconota falsa.Così funziona, vero?Mai notato quei pallini gialli sugli euro? Ecco, quei pallini sono disposti in una maniera particolare e le stampanti laser sono tutte in grado di individuare, nelle stampe accodate, tali pallini. Quando li individuano, si rifiutano di stampare.Ed è una figata, perchè si può applicare lo stesso meccanismo per impedire di fare fotocopie di qualsiasi documento (che so... planimetrie di edifici, specifiche di progetti e via dicendo).Lieutenant
  • Anonimo scrive:
    photoshop + altro articolo
    io ricordo di un altro articolo di PI che ne parlava, ma non lo vedo linkatoricordo inoltre di un articolo che parlava dell'adobe e del watermarking / filigrana ... photoshop? bohma neanche questo è linkato
    • Lamb scrive:
      Re: photoshop + altro articolo
      - Scritto da: Anonimo
      io ricordo di un altro articolo di PI che ne
      parlava, ma non lo vedo linkato

      ricordo inoltre di un articolo che parlava
      dell'adobe e del watermarking / filigrana ...
      photoshop? boh

      ma neanche questo è linkatoEssi', sono articoli molto molto vecchi, al momento non disponbili online :(
      • Presid. Scrocco scrive:
        Re: photoshop + altro articolo
        http://punto-informatico.it/p.asp?i=50286http://punto-informatico.it/p.asp?i=46482 :D==================================Modificato dall'autore il 29/07/2005 9.09.03
        • Lamb scrive:
          Re: photoshop + altro articolo
          - Scritto da: Presid. Scrocco
          http://punto-informatico.it/p.asp?i=50286

          http://punto-informatico.it/p.asp?i=46482

          :D;) Eh ma c'e' un precedente mooolto precedente :)
  • Anonimo scrive:
    NON COMPRIAMO LE S. RIVELATRICI!!!
    NON COMPRIAMO LE S. RIVELATRICI!!!COMPERIAMO LE VECCHIE STAMPANTI: costano meno, anche sotto il punto di vista della ricarica dell' inchiostro, e non fanno la spia!!!
    • Anonimo scrive:
      Re: NON COMPRIAMO LE S. RIVELATRICI!!!
      Sei in grado di fornirci un elenco di stampanti/fotocopiatrici sicuramente esenti da tale sistema?O quello che ci suggerisci è di non comprare più stampanti/fotocopiatrici?Forse quello che c'è da chiederci è chi diamine dia l'autarità alle persone che dovrebbero fare i nostri interessi di prendere tali decisioni in nostro nome senza neanche consultarci, senza avvisarci , ecc.A volte viene da chiederci (e questo vale sia per l'Italia che per gli USA) se siamo uno stato democratico e se siamo dei sudditi/schiavi senza diritti dei potenti.
      • Anonimo scrive:
        Re: NON COMPRIAMO LE S. RIVELATRICI!!!
        mah.... onestamente ammetto che sin ora pensavo (speravo) fossero solo leggende metropolitane..Ora ho dovuto definitivamente ricredermi.. L'EFF è un'associazione piuttosto credibile; non è certo paragonabile ad un servizio di "studio aperto"...tanto per capirci.. Ad ogni modo, sulla tua affermazione sullo stato di democrazia etc, mi pare ovvio che non si può pensare che possa esistere una forma di stato ove non esistano limitazioni alle libertà degli individui che lo costituiscono; in difetto sarebbe l'anarchia.Certo, quando le cose te le fanno, però, così "sotto il naso"......o meglio sotto il c*lo, ti fanno girare le balle.Insomma, la libertà dell'individuo è relativa.Tutto sta nell'individuare quali sono le esigenze per la sicurezza nazionale, e su queste forgiare quelle forme di tutela che la garantiscano. A quel punto, tutto ciò che non la pregiudica, può essere visto come qualcosa a cui il cittadino può avere libero accesso e/o ne ha diritto.
    • Anonimo scrive:
      Re: NON COMPRIAMO LE S. RIVELATRICI!!!
      Chi sono le sante rivelatrici ?
  • carbonio scrive:
    Ma non si sapeva già?
    Mi sembra di ricordare che ne parlavano gia' una decina di anni fa' dei tecnici di fotocopiatrici/stampanti laser (Canon?), allo SMAU di milano.Dicevano che veniva stampato il numero seriale su ogni copia e che nelle stampanti a colori era nascosto stile scrittura Brail, oltre a rimarcare la presenza di un chip per evitare la copia delle banconote (che per la qualita' delle stampanti di 10anni fa' mi sembrava un po' esagerato).PS: Poi la tecnica l'ho vista anche in una puntata di CSI (lo so che non fa' molto testo scientifico, ma a volte... ;) )
    • Anonimo scrive:
      Re: Ma non si sapeva già?
      Si ne ha parlato anche PI, la novita' e' che ora le magagne salteranno fuori. Non ci fosse la EFF toccherebbe inventarla
  • Anonimo scrive:
    E' una vita che si sa...
    Si è sempre saputo che è possibile risalire ad una stampante dal foglio stampato, almeno in linea di massima. Dipende chi devono prendere, quantomeno, se ne vale la pena.Persino nei polizieschi il pirla di turno che ha mandato lettere minatorie con la Hp si trova fregato.E che fai, torni alla macchina da scrivere?
    • Anonimo scrive:
      Re: E' una vita che si sa...

      E che fai, torni alla macchina da scrivere?se devo scrivere lettere minatorie nn sono certo cosi stupido da stamparle: guanti, giornale e forbici.
      • Anonimo scrive:
        Re: E' una vita che si sa...
        - Scritto da: Anonimo

        E che fai, torni alla macchina da scrivere?

        se devo scrivere lettere minatorie nn sono certo
        cosi stupido da stamparle: guanti, giornale e
        forbici.Toto' e Peppino docet ;)
    • Anonimo scrive:
      Re: E' una vita che si sa...
      - Scritto da: Anonimo
      E che fai, torni alla macchina da scrivere?Le macchine da scrivere elettromeccaniche possono essere perfino più univoche delle stampanti col codice... la rilevazione ottica delle microsingolarità meccaniche ha fatto passi da gigante perfino nei normali controlli di qualità industriali.
      • Anonimo scrive:
        Re: E' una vita che si sa...
        si ma le macchine da scrivere oggi sono dei reperti, se per ipotesi uso una olivetti di 30 anni fa recuperata da un fallimento di 10 anni fa, dubito fortemente che qualcuno ne sappia niente :D
    • Santos-Dumont scrive:
      Re: E' una vita che si sa...
      - Scritto da: Anonimo
      Si è sempre saputo che è possibile risalire ad
      una stampante dal foglio stampato, almeno in
      linea di massima. Dipende chi devono prendere,
      quantomeno, se ne vale la pena.

      Persino nei polizieschi il pirla di turno che ha
      mandato lettere minatorie con la Hp si trova
      fregato.

      E che fai, torni alla macchina da scrivere?No, potrei:1) comprare solo stampanti di contrabbando a Ciudad del Oeste (Paraguay), e gliela metto in quel posto.2) uso ritagli di giornale, alla vecchia maniera (cylon)
      • AnyFile scrive:
        Re: E' una vita che si sa...
        Non sono certo un esperto in materia ...utilizzando il sitema del giornale rischi seriamente di lasciare alcune tue tracce. Se i guanti ti evitano di lasciare le tue impronte digitali puç ad esepio succedere che incolli un tuo frammento di capello o pelo, o una traccia di saliva ecc.E poi quando compri il giornale devi stare attento a non lasicare impronte digitali in una zona che poi utilizzerai ... e per citare un libro/film di don Camillo devi utilizzare un giornale che non se l'unico nel paese a comprare.Per quanto rigurda le macchine da scrivere si è sempre saputo che ognuna è leggermente differente dalle altre.Oltre al fatto che diversi modelli utilizzano caratteri, spaziature ecc. differenti, per come erano costruite (specialmente quelle a martelletti, per quelle a margherita il discorso è più complicato) il posizionamento del carattere non era mai perfetto.In un film di François Truffaut un bambino dice all'altro una frase del tipo: ma che sei matto a scrivere una lettera ricattatrice con una macchina da scrivere, ti becano subito.Il punto cruciale secondo me è che devono avere un database enorme per tener traccia di tutte le stampanti/fotocopiatrici.Inoltre appunto come la mettiamo per quelle rubate? e per quelle che vengono rivendute, ecc?E al soito queste procedure funzianono solo all'interno della nazione. COsa dire di quanto viene stampato all'estero? Dal numero di serie riescono al massimo ad arrivare in quale stato è stata venduta la stampante e quale sia stato l'importatore.Più che altro secondo me questo sitema dà la possibilità una volta sequestrata una stampante di dimostrare che prorpio quella è stata utilizzata per scrivere qualcosa. E a meno che uno non abbia utilizzato guanti ed altre preucazioni sul foglio dovrebbero comunque esserci altre tracce legate all'autore.
        • AnyFile scrive:
          Re: E' una vita che si sa...
          Dimenticavo ...ci si lamenta che gli USA prelivino le impronte digitali aa chiunque entri da loro e ci si dimentica che tra poco ognuno di noi sarà costretto a fornire le proprie impronte digitali. (Quando rinnoverà la propria carta d'identità, cosa che da noi è obbligatorio avere, una simile proposta in Gran Bretagna ha suscitato proteste talemnte indignate da dover sostpendere la proposta)Ma la cosa a mio avviso preoccupante è che non è chiaro a che titolo vogliono le nostre impronte. Cosa ne fanno?Chi garantisce che non possano essere utilizzate per scoprire con che ragazza caio ha avuto una cena galante la scorsa sera?
          • Gatto Selvaggio scrive:
            Re: E' una vita che si sa...

            Cosa ne fanno?La domanda è invece: Cosa faremo?Il giorno in cui diventa obbligatorio dare le impronte ci rifiutiamo, ci nascondiamo tutti come ladri o facciamo le pecore e le diamo?
Chiudi i commenti