نام نویسنده: نيما مجيدى www.hat-squad.com.com
هموطن سلام و ايستنا -کنفرانس کلاه سياه ها هر ساله در امريکا برگذار مى شود و به بحث هاى جديد در زمينه امنيت اطلاعات مى پردازد مخاطبان آن از مردم عادى گرفته تا بخش هاى دولتى و شرکت هاى خصوصى همگى با هدف آشنايى با مباحث ويژه در اين زمينه در آن شرکت ميکنند . اما رويداد امسال اين کنفرانس به طور حتم به عنوان يکى از بى سابقه ترين اتفاقات رخ داده در تاريخ ن ثبت خواهد شد .
در حالى کنفرانس امسال کلاه سياه ها به پايان مى رسد که به نظر مى رسد يکى از بزرگترين تهديدات امنيتى در دنياى اينترنت در طى دوره برگذارى اين کنفرانس شکل گرفته است . خبرى که باعث شده مسئولين امنيتى به طور غير منتظره اى احساس خطر کنند .
اما داستان از کجا شروع شد !؟
تيم تحقيقاتى شرکت ISS در روز 25 جولاى اعلام مى کند که به دليل پايان نيافتن تحقيقات ، به جاى ارائه مطالب در مورد مشکل IOS به ارائه مطالب در رابطه با مشکلات امنيتى VOIP خواهد پرداخت .
روز پنجشنبه 27 جولاى در حالى که شرکت کنندگان براى شروع کارگاه مايکل لين لحظه شمارى مى کردند نا گهان ايکل با حالتى مضطرب وارد سالن مى شود و با اشتياق از حاضرين مى پرسد آيا شما موافقيد که من در باره امنيت در سيستم هاى VOIP صحبت کنم ؟! و يا اينکه در مورد اسيب پذيرى سيستم عامل IOS بر رورى Router هاى سيسکو ؟
حاضرين که از تغيير برنامه کنفرانس شگفت زده شده بودند به مايکل اعلام مى کنند که علاقه دارند طبق برنامه از پيش تعيين شده مايکل در مورد چگونگى حمله به IOS صحبت کند . با شروع جلسه مايکل اقدام به اعلام نتايج تحقيقاتش در 6 ماه گذشته مى کند . داستانى باور نکردنى از چگونگى اسيب پذيرى Router هاى سيسکو همه را شگفت زده ميکند ، تنها در چند لحظه مايکل با برنامه اى که از قبل طراحى کرده بود (Exploit) توانست خط فرمان را مقابل چشم صدها مخاطب ظاهر کند . آرى نفوذ به Router سيسکو تنها در طول 1 دقيقه انجام گرفته بود . مايکل به خط فرمان Enable در محيط IOS سيسکو دست يافته بود . اما اين يک شوخى بود ؟! يا يک فاجعه امنيتى ؟!
بسيارى از متخصصين امنيتى پس از پايان جلسه اعلام کردند که اين کار به خاطر طراحى خاص سيستم عامل سيسکو غير ممکن است و به احتمال زياد مايکل از قبل ترفند هايى را براى انجام اين کار زده است .
اما کار به همين جا ختم نشد ، در يک حرکت غير منتظره شرکت معتبر امنيت ISS که مايکل در انجا به عنوان محقق مشغول به کار بود ، اعلام کرد که مايکل لين از اين شرکت اخراج شده است و اين شرکت هيچگونه مسوليتى در قبال فعاليت هاى آتى او ندارد . شرکت سيسکو در طرح دعوى به دادگاه ايالتى اعلام کرد که مايکل لين با دى کامپايل کردن سورس برنامه IOS و کشف اين اسيب پذيرى حقوق کپى رايت و کد بسته بودن اين برنامه را زير پا گذاشته است و بايد مجازات شود .
مايکل لين در جلسه برگزار شده تنها اطلاعات کلى از اين مشکل امنيتى را در اختيار ديگران گذاشته و از مطرح کردن اطلاعات کليدى خوددارى کرده است . او اعلام کرده در ماه هاى گذشته اين مشکل توسط شرکت ISS به کمپانى Cisco منتقل شده بود اما سيسکو بدون اعلام خبر از وجود چنين مشکلى آن را در نسخه هاى بعدى firmwareرفع کرده است .
حساسيت اين اسيب پذيرى به چه دليلى است ؟!
امروزه بيشتر مسيريابهاى اينترنتى از تجهيزات سيسکو استفاده مى کنند در واقع اين تجهيزات بستر اصلى اينترنت را شکل داده اند و در صورت آسيب پذيرى اين دستگا ها شاخه هايى از اينترنت مى توانند قطع شوند و کار مسير يابى اطلاعات را در اينترنت دچار مشکل کنند .
سيستم عامل Router ها و Switch هاى سيسکو که IOS نام دارد را نمى توان به راحتى سيستم عامل هاى ديگر مانند Linux و يا Windows به روز رسانى کرد و مشکل از همين جا شروع مى شود. زيرا بيشتر مديران شبکه ها فاقد دانش کافى در زمينه به روز رسانى و رفع اين اسيب پذيرى بر روى دستگاه هاى خود هستند .
شرکت سيسکو به طور رسمى با انتشار يک بيانيه از ضعف در پروتکل IPV6 بر روى IOS خبر داده که نفوذگر مى تواند با استفاده از مشکلات Buffer Overflow کدهاى مخرب خود را از راه دور وارد سيستم کرده و کنترل آن را در دست بگيرد . گر چه در متن اين بيانيه خبرى از مشکل BOF نيست ، اما با شناخت از سياستها Cisco اين امر طبيعى است در اين متن اعتبار کشف اين مشکل به کنفرانس کلاه سياه ها داده شده است .
بى شک فعاليت هاى گروه هاى زيرزمينى نفوذگران شروع شده است و به زودى مى توانند با محدود شدن حيطه اين مشکل به IPV6 در بازه زمانى کوتاه اطلاعات دقيق ترى در اين رابطه به دست آورند و اين اطلاعات را به صورت عمومى بر روى اينترنت منتشر کنند و يک بار ديگر طوفانى سهمگين تر از Blaster به پا کنند .
مايکل لين در حالى که در آخرين صفحات گزارش خود بر روى پرده کنفرانس عکسى از يک انفجار اتمى قرار داده بود اين سوال را مطرح نمود ” ايا اين پايان جهان است ؟” و در ادامه با مطرح کردن دلايل تکنيکى امکان گسترش يک کرم اينترنتى با استفاده از اين اسيب پذيرى را کار بسيار سخت بر شمارد اما غير ممکن ندانست .
لين ادعا مى کند که تنها به انتشار نتايج تحقيقاتش پرداخته و شرکت Cisco از اين ضعف با خبر بوده از اين رو هيچ فعاليت غير قانونى انجام نداده است . بايد منتظر بود و بار ديگر نظاره گر شکل گيرى يک گردباد در محيط اينترنت ، زنگ خطر به صدا در آمده است اميد است که مسولين شبکه هاى داخلى کشور نيز صداى آن را بشنوند .
