„Térdre kényszeríthetem az Internetet”

Főként Cisco routerek biztosítják az Internet gerincének működését – és nem csak azt. Az USA-beli gyártó hálózati eszközei az Internet szinte minden pontján felbukkannak – ezért egy, a vállalat által készített termékben felmerülő hiba is igen komoly problémát jelenthet. Erre a minap szolgáltatott az élet bizonyítékot, amikor egy hackerkonferencián az egyik előadót, a mondókáját követően (annak tartalma miatt) nem sokkal bírósági idézés várta.

Már megint a fekete kalaposok

Többször szóba hoztuk az elmúlt napokban a Black Hat Briefings nevű konferenciát, amelyet a tegnapi és a mai napon tartottak, tartanak az Egyesült Államokban, Las Vegas-ban. Az IT-biztonság iránt érdeklődő szakemberek, laikusok számos előadást meghallgathattak itt, többek között annak a Michael Lynnek a tényfeltáró bemutatóját, aki közlendője miatt hamar bajba is került. Történt ugyanis, hogy Lynn egy olyan hiba kiaknázását prezentálta, amelyet korábban a Cisco IOS (Internetwork Operating System) szoftverében fedeztek fel. Az amerikai vállalat be akarta tiltatni az előadást, ám ez nem sikerült neki, ezért még aznap beperelte Lynnt.

Michael Lynn az Internet Security Systems (ISS) szervezetnek dolgozott korábban. Előzetes megállapodások szerint egy olyan bemutatót akart tartani a rendezvényen, ahol egy, a Cisco routereiben futó operációs rendszert érintő hiba kihasználására hívja fel a figyelmet. Időközben azonban az ISS-nél úgy döntöttek „felsőbb nyomásra”, hogy mégsem kerülhet sor erre a bemutatóra, és helyette inkább egy, a VoIP biztonsági hiányosságait demonstráló előadást tartanak.

Bemutató, minden áron

Lynn azonban nem hagyta annyiban a dolgot. Felmondott az ISS-nél, és mégis előadta mondanivalóját. A férfi demonstrációja alatt a résztvevők közül többen komolyan ledöbbentek, mert habár egy korábban már ismert biztonsági rés kihasználását mutatta be, sokan kételkedtek abban, hogy magát a hibát valóban ki is lehet aknázni. Igaz, ezt egy helyi routerrel és nem egy távoli eszközzel tette meg. Az előadást egyébként azzal zárta a szakember, hogy a jelenlévők segítségét kereste, mivel éppen munkanélküli lett a felsőbb érdekeknek való ellenszegülése miatt.

Ezt követően alig pár óra múlva a Cisco jogi képviselői felkeresték Lynnt, és átadtak neki egy idézést. A vád szerint az IT-biztonsági szakértő úgy volt képes felfedezni és közzé tenni a sebezhetőséget, hogy visszafejtette az eredeti Cisco IOS kódot – ezzel pedig megsértette a vállalat szellemi jogait. A bírósági tárgyalás elé néző Lynn az esetet követően (egyelőre) nem kívánt nyilatkozni a médiának.