思科漏洞主角林恩访谈路由器是定时炸弹

安全研究员迈克尔·林恩（Michael Lynn）从ISS（互联网安全系统）公司辞职后，不顾思科及ISS公司的阻挠，上周三在黑帽安全会议上演示了如何利用漏洞攻击和控制思科的路由器，在业内激起轩然大波，思科和ISS的公众形象也一落千丈。

会议结束第二天，林恩与思科及ISS达成和解协议，他同意删除有关这一漏洞的研究资料，不泄露实现这一攻击的具体方法，不再散布他的演示稿。（事实上，林恩演示时用的长达35页的 的幻灯片《The Holy Grail：Cisco IOS Shellcode And Exploitation Techniques》（《圣杯：思科IOS操作系统Shell代码及攻击技术》）已经以PDF文件形式在网上散布开来。文中大致介绍了利用堆栈溢出获得Shell权限的技术，这一漏洞能使攻击者获得Shell权限之后可以进一步攻击。林恩并不是发现这一漏洞，而是发明了利用这一漏洞获取Shell权限的方法。这一幻灯片中第二页的图片把思科比作泰坦尼克号，以此让思科的用户提高警觉。）

林恩一夜之间成了科技界的名人，他现在还面临着美国联邦调查局的调查。在接受美国一网站的独家采访时，林恩讲述了整个事件的来龙去脉以及其对互联网安全的影响。

1）您能否先介绍一下这一事件的起因？您以前所在的公司ISS是否曾要求您反向工程思科的IOS操作系统？

对，ISS很明确的要求我这么做。当时是1月26日，思科刚宣布发现一个漏洞，这个漏洞跟我演示的那个完全不同。他们是这样描述这一漏洞的，“通过向路由器发送特制的IPv6包会导致路由器重启”。但他们的说法很含糊，只是说“嗨！IPv6出了问题，会导致路由器重启”，而没有说明你是否能控制局面。

ISS希望公司的产品和用户不会因这个漏洞受到影响，于是就打电话给思科，想了解更多的细节，然而思科不愿提供相关信息。ISS的高层就跟我说，“你能不能反向工程，分析思科的IOS操作系统，看看这个漏洞到底是怎么回事？”

2）所以这个漏洞与你在黑帽会议上演示的那个不同？

不一样。不过发现黑帽会议上演示的那个漏洞，思科要比我早两周时间。

3）然后发生了什么？

我于是干了一个通宵，分析这一漏洞，结果却发现另一个漏洞威胁很大。第二天，也就是1月27日，ISS根据我的分析结果向用户提出安全建议。

经过分析，我意识到IOS操作系统的问题比思科说的要严重。公司（ISS）就打电话给思科说，“我们不敢百分之百肯定发现了你们宣布的那个漏洞，但是我们发现的那个漏洞很重要，因为它的破坏性大得多。你们说这个漏洞可能会造成拒绝服务攻击，而成功利用我们发现的这个漏洞的攻击者可以完全控制受影响的系统。”

思科的回答是：“你们这些家伙在撒谎。思科的IOS操作系统里不可能执行Shell代码。”公司的高层听了很恼火，就对我说，“迈克，你的新研究项目是思科的IOS操作系统。去找出利用IOS操作系统漏洞的办法，好让我们证明他们是错的。”

4）您说过反向工程得到了思科方面的协助。

是的。不过合作是后来的事了。一开始他们不怎么乐意，并没有真正在反向工程方面给予协助。他们只是在发现和确定漏洞上给予了配合。

5）他们也没有阻止你做这事。

没有。我们还做了不少沟通。（随后的一个月里，林恩一直在研究思科的IOS操作系统。）

6）当你找到利用这一严重漏洞进行攻击的方法，告诉思科“这就是我们发现的漏洞......”，他们是什么反应？

他们说，“我们不相信。”ISS的高层就说，“不相信的话就来亚特兰大，我们演示给你们看。”ISS之前从未这样做过——他们不会让外人来自己的办公室，给对方演示产品的漏洞，更不用说竞争对手了。于是思科派了客服经理迈克·考迪尔（Mike Caudill）和一个自称是IOS操作系统的架构师、设计过部分IOS源代码的人过来。后者看了我的演示后，很受震动，惊讶的下巴都要掉下来，嘴里只是说，“哇哦，太酷了。”那天是6月14日。

7）思科在决定阻止您散布这一演示之前早就看到了您的演示。是在什么时候？

大概是6月14日吧，就是他们到亚特兰大来的那天。不过我们在这之前早就告知他们这个漏洞了。

8）那思科对您在黑帽会议上的演示有多紧张？

当他们在黑帽会议网站（www.blackhat.com）上看到演示的预告后，就打电话找我们说，“喂~~等一等。你们不会是认真的吧？”我们就说，“是的，当然是认真的。”顺便说一句，是ISS向黑帽安全会议提交的演示申请。ISS对我说，“嗨，你想去参加黑帽会议吗？我们希望你去。”

9）那ISS清楚这一漏洞的严重程度。

是的，他们知道得一清二楚。不过他们一开始并没有意识到问题的严重性，还想在公司内部大范围分发这一漏洞的资料。公司要求我“把资料发给所有的销售工程师和测试人员。”

10）为什么ISS要您这样做？

因为这样做可以打击竞争对手思科。请你注意，这件事思科当时还没有公开，这些资料其实对测试人员没什么用处——因为漏洞还没有公布，所以他们无法向用户提出相关的安全建议。

我就跟他们说，“你们真的清楚让用户知道这一漏洞的后果？”其中一人就回答，“那是思科的事。”另一人转过身对我说，“要让思科也尝尝苦头，这个漏洞就是他们的Witty worm蠕虫。”我当时就心想，参加黑帽会议不是什么好差事。

（去年现身的Witty worm蠕虫专门针对ISS公司的安全程序的漏洞，攻击运行这一安全程序的计算机系统，特别是瞄准运行这一程序的军事基地进行攻击。当时一小时之内就有12000台服务器和电脑感染这一蠕虫病毒。鉴于这一蠕虫病毒的传播速度之快以及蠕虫作者对于ISS的客户了如指掌，一些安全专家猜测编写并散布这一蠕虫病毒的人是ISS内部员工，或至少与ISS有联系。）

于是我表示拒绝参加黑帽会议，他们强逼我去，我就当场向他们提出要辞职。这大约是一个月前的事。

我认为他们这样做不道德。我到现在都还不想让人们知道这一漏洞的攻击方法。（随后ISS被迫答应给予林恩决定可以让哪些人知道漏洞攻击细节的权利，说服林恩不要辞职，参加黑帽会议。）

所以我们开始准备黑帽会议上的演示，我们与思科联系后，思科也表示同意。

11）他们在您演示之前就发布有关了您演示内容的信息，对吗？

是的，还有补丁。补丁在发布信息之前6个月就出来了。

12）所以他们早就知道这一问题的严重性。

[1] [2] 下一页  

文章录入：csh    责任编辑：csh 

即便他们真不知道，也本应知道的。

13）但思科并没有向其用户指出这一漏洞的严重性。

是的，他们没有。

14）思科在决定阻止您参加黑帽会议之前早就看到你的演示内容，对吗？

大概是6月14日。他们来亚特兰大那天。

两周前ISS告诉我说，思科想跟我谈谈。我就表示，只要思科不说“他在撒谎”之类的话，我是愿意和他们谈的。其实这也没什么大不了的。ISS信任我，让我参加黑帽会议，这很好，因为我觉得思科应该严肃看待我的演示。

（然而，事情又有了戏剧性的转变，ISS命令林恩在演示中不得提及反向工程这一事实，否则将取消这次演示。要是他不照办，就将被公司解雇。）

事态发展又转了个180度的弯。一周左右前，在公司本财季结束那天晚上，大家都兴高采烈的庆祝公司业绩又创新高。公司的首席执行官在邀请我喝啤酒谈话的时候，对我措辞非常强硬。

15）是不是因为思科威胁了ISS？

我直截了当地问过，“是不是思科在威胁你们？”他们说没有。老实说，我认为并不存在任何法律上的威胁。我觉得思科和ISS之间达成了默契，更象是“你敬我一尺,我还你一丈”。

（思科要求林恩晚一年，等新版本的IOS操作系统推出之后，再演示这一漏洞。见林恩不愿放弃原来主张，思科就威胁说要起诉林恩和黑帽会议。随后在黑帽会议的默许之下，思科从黑帽会议书籍上撤下了林恩的演讲用的幻灯片。）

16）在您演示结束之后，与联邦调查局人员见了面，有人还给了你一块challenge coin （军队中纪念挑战性任务的特殊硬币），是这样的吗？

是的，这是一个很有趣的插曲。我当时并不知道这块硬币的含义，没有好好感谢他。在我演示完后，他别着一块很显眼的徽章走到我面前说，“我要和你谈谈。就现在！”

17）他是什么部门的？

有很多部门的人旁听了我的演示。他自称是国家安全局空军特别调查办公室的，但没给我看他的证件。他们把我带至维护区，我被一群人围得严严实实。其中一人问另一人，“车子准备好没？”我听了吓一大跳，叫道“哦，我的上帝”——以为他们要带走我。他们赶紧说，“我们只是开个玩笑！哈哈，我们感谢你还来不及呢。”当时我吓的够呛，一动不动地呆坐在那里。他们都过来和我握了手。

因为事先得知我会做出导致严重后果的出格事，他们也看了我的演示。一旦明白过来我实际上是在向他们提供潜在威胁的有用信息，他们用尽一切溢美之词夸赞我。美国计算机紧急事件反应小组（CERT）还询问我是否愿意去华盛顿住一两周，帮助他们制定国家网络安全战略。

18）思科路由器新版本的操作系统现在还处于Beta版测试过程中。

它采用了更好的架构，但是安全性能却更差。这就是为什么我现在就把事情真相公诸于世，而不是加以掩盖。我认为这一漏洞是可以修复的。

现在的问题是，如果你要进行常规攻击，就必须先黑掉一台机器，然后才能控制这台机器所在的网络。而要是你能利用测试版的IOS操作系统的漏洞，那么就能控制一切。

目前没有用户给思科的路由器打补丁，因为大家都有这么个观念，认为思科的产品不会出问题。因此，除非真的发生很严重的安全事故，人们是不会去打补丁的。现在到了改变他们错误观念的时候了。思科不应该掩耳盗铃，欺骗用户并拖延时间；而应该在出现严重问题之前就直面它、正视它。

19）思科说你发现的漏洞并不严重。

我不能完全同意这一说法。是的，计算机会有漏洞，路由器也不例外——它们都会被黑。任何复杂系统都会出错，这是它们的本性。

但是我坚决反对认为路由器蠕虫之类攻击潜在威胁并不大的看法。黑客控制计算机后很难破坏其中的硬件，但是路由器就不同。

当路由器被攻击后，网络陷于瘫痪，这时你该如何给路由器打补丁？用邮寄补丁光盘的办法？这行不通，路由器可没光驱。

存在安全隐患的路由器就象互联网上的一颗颗定时炸弹，幸运的是我们现在还有足够的时间解决这一问题。我希望人们有所警觉，采取相应的行动。但与此同时，我认为人们现在有点觉醒了。情况没有你想象的那么糟糕，因为使事态无法控制的新版本尚未出炉。

上一页  [1] [2] 

文章录入：csh    责任编辑：csh