条目标记“思科”

第1 / 2页

Thangrycat:严重的Cisco漏洞

总结

Thangrycat是由Cisco信任锚模块中的一系列硬件设计缺陷引起的。2013年首次投入商业运营,Cisco Trust Anchor Module(TAM)是一种专用的硬件安全模块,广泛用于Cisco产品。包括企业路由器,交换机和防火墙。TAM是支持这些设备中所有其他Cisco安全和值得信赖的计算机制的信任的根源。thangrycat允许攻击者通过fpga位流修改对信任锚模块进行持久修改,因此,破坏了安全引导过程,并在其根源上使Cisco的信任链失效。虽然这些缺陷是基于硬件,可以远程利用thangrycat,而无需物理访问。由于缺陷存在于硬件设计中,任何软件安全补丁都不太可能完全解决基本的安全漏洞。

从A新闻文章

打黑猫可怕有两个原因。首先,如果黑客利用这个弱点,他们可以对你的路由器做任何他们想做的事情。第二,攻击可以远程发生——这是一个软件漏洞。但修复只能在硬件级别应用。就像,物理路由器。亲自。耶西。

这就是说,只有当您对设备具有管理访问权限时,Thrangerycat才能工作。你需要一个两步的攻击,以使画眉猫工作。攻击1使您可以远程管理访问,攻击2是鞭打猫。攻击2没有攻击不可能发生1。Cisco可以通过发送软件更新来保护您免受攻击。如果你的身份证明人们已经很好地保护了您的系统,并且一直在应用更新和补丁,您不是国家行为体的常规目标,你相对安全,不受攻击1,因此,很安全,不会被毒打。

不幸的是,攻击#1是一个普通的漏洞。许多系统甚至没有正确配置管理访问。画眉猫是有机会被利用的。

Boing Boing

Thangrycat依赖于攻击者能够以系统管理员的身份运行进程,还有红气球,披露该漏洞的安全公司还揭示了一个允许攻击者以管理员身份运行代码的缺陷。

人们很容易把对可信计算模块的攻击斥为一种无聊的行为:毕竟,一旦攻击者在您的系统上有了根,所有赌注都取消了。但是,可信计算的承诺是计算机能够检测并撤销这种妥协,通过使用一个单独的,独立计算机调查和报告主系统的状态(黄和斯诺登称之为反省引擎)一旦这个系统被破坏,它可能被迫提供关于系统状态的错误报告:它可能报告说,它的操作系统已经成功更新,以修补一个漏洞,而实际上更新刚刚被丢弃。

查理·沃泽尔和莎拉·琼《纽约时报》对此进行了讨论,这是一种可以远程执行的攻击,但只有在受影响的系统存在的情况下(并且只有在经过非常仔细的检查之后,而且,除了替换系统或至少是受损的组件之外,可能仍然没有别的办法来解决这个问题)。

发布于5月23日,2019年上午11:52·查看评论

国家安全局正在囤积漏洞

国家安全局在骗我们。我们知道这一点是因为从NSA服务器窃取的数据被倾倒在互联网上。该机构正在收集你所使用产品的安全漏洞信息,因为它想用它来攻击别人的电脑。这些漏洞没有被报告,而且还没修好,使您的计算机和网络不安全。

8月13日,一个自称影子经纪人的组织释放互联网上300兆字节的NSA网络武器代码。正如我们专家所说,国家安全局的网络本身没有受到黑客攻击;可能发生的是"登台服务器"对于国家安全局的网络武器——也就是说,2013年,美国国家安全局用来掩盖其监控活动的服务器遭到黑客攻击。

在斯诺登文件发布的前几周,美国国家安全局无意中进行了自我修复。链接背后的人使用了临时黑客术语,做了件奇怪的事,一个令人难以置信的提议,涉及对其余数据进行比特币拍卖:“!!注意网络战争的政府赞助商和从中获益的人!!!!!你花多少钱买敌人的网络武器?”

尽管如此,大多数人相信黑客攻击是俄罗斯政府的工作,数据发布了某种政治信息。或许这是一个警告:如果美国政府揭露俄罗斯是民主党全国委员会(Democratic National Committee)遭黑客攻击的幕后黑手——或其他引人注目的数据泄露事件——俄罗斯将反过来揭发NSA的行为。

但我想说的是数据。数据转储中复杂的网络武器包括漏洞和“利用代码”可以针对普通的互联网安全系统进行部署。目标产品包括由思科飞塔,TOPSEC,沃奇卫士,瞻博网络——世界各地的私人和政府机构都在使用的系统。其中一些漏洞自2013年以来已被独立发现和修复,有些人直到现在还不知道。

所有这些都是国家安全局的例子——尽管它和美国政府的其他代表说——优先考虑它对我们的安全进行监视的能力。这是一个例子。安全研究员Mustafa al-Bassam说建立一种代号为benighsure的攻击工具,可以欺骗思科的某些防火墙,让它们暴露一些内存,包括他们的身份验证密码。这些密码可以用来解密虚拟专用网,或VPN,交通,完全绕过防火墙的安全。思科尚未售出这些防火墙自2009年以来,但它们今天仍然在使用。

像这样的弱点,应该有,几年前就固定下来了。他们本来是,如果美国国家安全局在发现安全漏洞时,能够用它的话来警告美国公司和组织。

在过去的几年里,美国政府的不同部门一再向我们保证,国家安全局不会囤积“零日”。安全专家对软件供应商未知漏洞使用的术语。在我们之后学会了从斯诺登的文件中得知,美国国家安全局从网络武器制造商那里购买了零日漏洞,奥巴马政府宣布,2014年初,国家安全局必须披露瑕疵在普通的软件中,这样它们就可以被修补(除非有“明确的国家安全或执法”使用)。

那年晚些时候,国家安全委员会网络安全协调员兼总统网络安全问题特别顾问Michael Daniel坚持美国不储备零日核武器(除了同样有限的豁免)。白宫2014年的官方声明同样的事情。

影子经纪人的数据显示这不是真的。国家安全局囤积漏洞。

囤积零日漏洞是个坏主意。这意味着我们都不那么安全。当爱德华·斯诺登揭露了国家安全局的许多监视计划时,对于该机构如何处理其发现的常见软件产品中的漏洞,人们进行了大量讨论。在美国政府内部,找出如何处理单个漏洞的系统称为漏洞股票过程(VEP)。这是一个跨机构的过程,这是复杂的

进攻和防守之间存在着根本的紧张关系。NSA可以将漏洞保密,并使用它攻击其他网络。在这种情况下,我们都面临着其他人发现和使用相同漏洞的风险。另外,NSA可以向产品供应商披露该漏洞,并看到它得到修复。在这种情况下,我们都很安全,不让任何人利用漏洞,但是国家安全局不能用它攻击其他系统。

可能有一些过于迂腐的文字游戏正在进行。去年,美国国家安全局它发现91%的漏洞。撇开剩下的9%是否代表1的问题不谈,10,或1000个漏洞,更大的问题是,在NSA眼中,什么才算是“弱点”。

并非所有的漏洞都能转化为漏洞代码。国家安全局披露了其无法使用的漏洞,因此没有丧失任何攻击能力,这样做可以增加它的数量;这是良好的公关。我们关心的漏洞是影子经纪人数据转储中的漏洞。我们关心他们,因为他们的存在让我们都很脆弱。

因为每个人都使用相同的软件,硬件,和网络协议,在攻击他们的系统时,我们无法同时保护我们的系统,无论“他们”是谁。是。要么每个人都更安全,或者每个人都更脆弱。

几乎一致,安全专家相信我们应该揭露和修复漏洞。国家安全局继续说那些似乎反映了这一观点的话,了。最近,美国国家安全局告诉所有人,它不太依赖零天,不管怎样。

今年早些时候,在一次安全会议上,罗伯•乔伊斯美国国家安全局(NSA)量身定做的访问行动组织(TAO)的负责人——基本上是该国的首席黑客——给出了答案罕见的公开演讲,他是这么说的凭证被盗这是一种比“零天”更有效的攻击方式:“许多人认为国家的行动是在“零天”进行的,但这并不常见。对于大型企业网络,坚持和专注会让你在没有零日的情况下融入其中;有这么多的向量更容易,风险较小,而且生产效率更高。”

他所指的区别是利用软件中的技术漏洞和等待人类,说,密码要小心。

在任何关于脆弱性股票过程的讨论中,你经常听到的一个短语是nobus,代表“除了我们。”基本上,当国家安全局发现一个漏洞时,它试图找出它在发现它的能力上是否独一无二,或者其他人是否能找到它,了。如果它认为没有人会发现问题,它可能会拒绝公开。这是一种既傲慢又乐观的评价,许多安全专家怀疑美国有一些独特的能力进行脆弱性研究。

影子代理数据转储中的漏洞肯定不是nobus级别的。他们是任何人——另一个政府——的工厂漏洞,网络犯罪分子业余黑客——可能会发现,事实证明,他们中的许多人2013年发现当数据被盗时,今年夏天,当它被出版的时候。它们是全世界人们和公司使用的通用系统中的漏洞。

那么,在2013年被盗的国家安全局密码的秘密藏匿中,所有这些漏洞都在做什么呢?假设是俄国人干的他们利用这些漏洞入侵了多少家美国公司?这就是脆弱性股票程序旨在防止的,它显然失败了。

如果有任何漏洞——根据白宫和国家安全局制定的标准——应该被披露和修复,就是这些。尽管乔伊斯坚持认为它们并不重要,但国家安全局认识和利用它们的三年多时间里,它们并没有出现,这表明脆弱的股票过程已经严重破坏。

我们需要解决这个问题。这正是国会调查的目的。整个过程需要更多的透明度,监督,以及责任。它需要优先考虑安全而不是监视的指导原则。一个好的开端是Ari Schwartz和Rob Knake的建议报告:其中包括一个明确界定和更公开的程序,国会和其他独立机构加强监督,以及对修复漏洞而不是利用漏洞的强烈偏见。

只要我还在做梦,我们真的需要把我们国家的情报收集任务和我们的计算机安全任务分开:我们应该解散国家安全局。该机构的任务应限于国家间谍活动。个人调查应该是联邦调查局的一部分,网络战能力应在美国网络司令部内,关键的基础设施防御应该是国土安全部的任务的一部分。

我怀疑今年我们会看到国会的调查,但是我们最终会算出来的。在我的2014本书中数据和哥利亚,我写道“无论网络罪犯做什么,无论其他国家怎么做,我们美国人需要在安全方面犯错误,修复我们发现的几乎所有漏洞……”我们国家的网络安全太重要了,不能让美国国家安全局牺牲它,以获得相对于外国对手的短暂优势。

这篇文章之前出现在Vox.com上。

编辑添加(8/27):这些漏洞是在野外发现的在24小时内,说明他们披露和修补的重要性。

詹姆斯·班福德认为这是内幕人士。我不同意,但他是对的,道目录不是一个斯诺登文件。

人们正在关注代码的质量。它是并不是说

8月26日发布,2016年上午5:56·查看评论

同步攻击思科路由器

火眼报告发现持续恶意软件,破坏思科路由器:

虽然这种攻击可能发生在任何路由器技术上,在这种情况下,目标受害者是思科路由器。Mandiant团队发现了14例这种路由器植入物,被称为SYNful敲门,四个国家:乌克兰,菲律宾,墨西哥,和印度。

[…]

植入物使用的技术使其很难被发现。路由器固件镜像的秘密修改可以用来保持环境的永久存在。然而,它主要超过检测,因为很少,如果有的话,正在监视这些设备是否存在危害。

我不知道这次袭击是否与这次袭击针对8月份发现的Cisco路由器。

正如我当时写的,这很可能是一种来自政府窃听机构的攻击。我们知道,例如,美国国家安全局喜欢这么做攻击路由器。如果我不得不猜测,我想这是国家安全局利用的。(注意目标列表中缺少五个眼睛国家。)

9月21日发布,2015年上午11:45·查看评论

思科恶意攻击

这是严重的

思科系统公司的官员警告客户,一系列的攻击完全劫持了关键的网络设备,将有效的rommon固件图像与恶意修改的图像交换。

攻击者使用有效的管理员凭据,有迹象表明,这些攻击是由内部人员或以其他方式设法获得更新和更改Cisco硬件所需的高度敏感密码的人进行的。短的ROM监视器,ROMMON是启动思科IOS操作系统的工具。管理员使用它来执行各种配置任务,包括找回丢失的密码,下载软件,或者在某些情况下运行路由器本身。

没有迹象表明是谁发动了这些袭击,但这正是你对政府攻击者的期望。无论最初是哪个政府发现了这一点,假设他们现在都在利用它——并且将继续这样做直到它被修复。

发布于8月19日,2015年下午12:34·查看评论

Cisco将设备运送到假地址以阻止NSA拦截

去年五月我们学会了美国国家安全局拦截运往世界各地的设备,并安装窃听装置。有照片国家安全局的员工打开了思科的盒子。思科首席执行官约翰·钱伯斯本人向奥巴马总统投诉关于这种做法,这并不是思科设备在国外的卖点。明镜周刊发表了更完整的文档,伴随着更广泛的故事,今年1月:

在最近的一个案例中,几个月后,一个通过供应链封锁植入的信号灯又回到了国家安全局的秘密基础设施。回拨为我们提供了进一步利用该设备和调查网络的途径。在开始调查时,TAO/Requirements&Targeting的Sigint分析确定,植入的设备提供了比我们所期望的更大的访问:我们知道这些设备将被叙利亚电信机构(STE)作为其互联网主干网的一部分使用,但我们不知道的是,STE的GSM(蜂窝)网络也使用这种主干网。由于STE GSM网络以前从未被开发过,这种新的访问方式代表了一场真正的政变。

现在,思科正在自己处理此事,提供给运送设备到假地址为了避免国家安全局的拦截。

我认为,我们甚至还没有开始了解美国国家安全局对美国科技产业造成的长期损害。

Slashdot线

发表于3月20日,2015年早上6点56分·查看评论

喷气犁:美国国家安全局今天的开发

今天的植入物来自美国国家安全局的定制接入操作(TAO)小组植入目录

喷气式飞机

(ts//si//rel)jetprol是用于Cisco PIX系列和ASA(自适应安全设备)防火墙的固件持久性植入。它坚持dnt的Bananaglee软件植入。JetPlower还具有持久的后门功能。

(ts//si//rel)jetprol是用于Cisco PIX系列和ASA(自适应安全设备)防火墙的固件持久性植入。它坚持dnt的Bananaglee软件植入,并在引导时修改CiscoFirewall的操作系统(OS)。如果启动操作系统不支持Bananaglee,它可以安装一个持久后门(PDB),设计用于BANANAGLEE的通信结构,以便在稍后的时间重新获得完整的访问权限。JETPLOW在思科的500系列PIX防火墙上工作,以及大多数ASA防火墙(5505,5510年,5520,5540年,5550)。

(ts//si//rel)上面显示了目标防火墙上典型的JetPlow部署,带有到远程操作中心(ROC)的渗出路径。JETPLOW可以远程升级,也可以远程安装,前提是BANANAGLEE已经安装在感兴趣的防火墙上。

状态:(c//rel)已发布。已广泛部署。基于操作系统版本的当前可用性受到限制(请查询详细信息)。

单位成本:0美元

页与图形,是在这里。关于道和目录的一般信息是在这里

在评论中,自由讨论如何利用资源,我们如何检测它,自2008年目录输入以来,它可能得到了怎样的改进,等等。

发表于1月9日,2014年下午1:02·查看评论

思科IP电话黑客

尼斯工作

所有现有的思科IP电话,包括在白宫和船上的桌子上看到的那些空军一号,存在允许黑客完全控制设备的漏洞。

发表于3月12日,2013年下午1:43·查看评论

琳恩/思科信息

上周有一些新消息琳恩/ Cisco /国际空间站故事:迈克·林恩给出了一个有趣的面试连线。这里有一些新闻关于联邦调查局的调查这是一个视频Cisco/ISS在黑帽会议进程中翻页。

有人在为林恩设立法律辩护基金。通过PayPal将捐款发送到Abaddon@IO.com。(有人知道网址吗?)根据BoingBoing,不用于保护林恩的捐款将捐给基金会。

林恩的谈话副本在网上突然出现,但由于国际空间站律师的法律制止函,其中一些已被删除,喜欢这一个。目前,林恩的幻灯片是在这里在这里在这里在这里在这里在这里在这里在这里在这里在这里在这里在这里在这里在这里,和在这里。(列表来自BoingBoing注意,上面的陈述与林恩在黑帽的陈述不同。Blackhat的演示文稿底部没有ISS标志,就像在互联网上一样。同时,关键的代码组件被涂黑了。(林恩的实际演示幻灯片的照片已经提供在这里,但由于国际空间站的法律威胁已被删除。)

对整个故事有很多评论和分析。商业周刊完全没有抓住重点。eWeek的拉里·萨尔茨报道更加平衡

黑客是加班重建林恩的攻击,并编写一个漏洞。这个,当然,这意味着我们更有可能有蠕虫利用这个漏洞。

遗憾的是,我们本可以避免这种情况。如果思科和ISS只是让林恩展示他的作品,它可能只是在众多晦涩的演讲中又一个晦涩的演讲那就是BlackHat。试图给林恩戴上口罩,两家公司确保1)脆弱性是这次会议的最大新闻,2)一些黑客会把这个漏洞变成攻击代码,只是为了报复他们。

编辑补充:詹妮弗·格拉尼克是林恩的律师,她有博客关于BlackHat和DefCon的事。林恩在演讲中用到的幻灯片的照片在这里(现在,至少)。只有我一个人,或者,国际空间站似乎是出于恶意而进行的?对于思科,我认为这是愚蠢的,但我认为这是对国际空间站的恶意。

编辑添加:我不同意美国国税局温克勒评论,要么。

编辑添加:iss自卫

编辑添加:更多评论

编辑添加:很好反驳温克勒的文章。

8月3日发布,2005年下午1:31·查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。

施耐尔的安全是一个个人网站。betway88必威官网备用表达的意见不一定是IBM有弹性