24 giu 2008

ios rootkit

Mi stavo quasi dimenticando di andare a vedere qualche dettaglio sul rootkit per IOS presentato all'EuSecWest a fine Maggio. Un rootkit per i router Cisco fa particolarmente impressione perche' e' la prima volta che ne viene dimostrato pubblicamente uno e soprattutto perche' e' una di quelle occasioni in cui ci si rende conto di stare sottovalutando un pericolo potenzialmente enorme per Internet. Nella ricerca di sicurezza a volte si cade nel tranello di dare per scontati alcuni requisiti "ovvii" che in realta' tanto ovvii non sono: cosa succederebbe se qualcuno "dirottasse" i vostri indirizzi? cosa succederebbe se entrasse sul mercato una partita di router contraffatti?
Tornando al rootkit, Nico Fischbach ha relazionato qui e qui su quanto presentato all'EuSecWest da Sebastian Muniz. In sostanza, l'IOS e' "patchabile", anche "al volo", ma e' richiesto l'accesso all'immagine IOS da craccare e il rootkit puo' comunque essere scoperto da un amministratore attento.
Nel valutare un livello di rischio vanno pesati i danni potenziali e la probabilita' di attacco. In questo caso, i danni potenziali sono praticamente incalcolabili e la probabilita' di attacco forse non e' cosi' prossima allo zero come si potrebbe pensare.
Il documento che presenta il DIK ("Da Ios rootKit" - spiritosi questi geek) e' disponibile qui. Cisco ha gia' risposto: "The security configuration of a device, specifically in relation to device security, is conveyed using documented best practices".

Nessun commento: