Een beveiligingsonderzoeker heeft een rootkit ontwikkeld voor de routers van Cisco Systems, wat een verontrustende ontwikkeling is gezien de routers van dat bedrijf de meerderheid van het internetverkeer vervoeren.
Sebastian Muniz, een onderzoeker van Core Security Technologies, ontwikkelde de kwaadaardige software die hij op 22 mei in Londen op de EuSecWest-conferentie ten toon zal gaan stellen.
Rootkits zijn onzichtbare programma’s die uiterst moeilijk te verwijderen zijn en zichzelf erg diep in het systeem nestelen. Het merendeel van de rootkits richt zich alleen op Windows, dit is dan ook de eerste keer dat er over een rootkit gediscussieerd wordt die geschreven is voor IOS, het Internetwork Operating System gebruikt door de Cisco-routers. "Een IOS-rootkit is in staat taken te verrichten die elke andere rootkit op een desktop-pc ook zou kunnen doen," aldus Muniz in een e-mailinterview.
Deze kwaadaardige programma’s worden voornamelijk gebruikt om keyloggers op een pc te installeren en om aanvallers toegang tot het systeem te verschaffen. De bekendste rootkit deed echter heel iets anders, die stopte namelijk het illegaal kopiëren van cd’s en kwam af van Sony BMG.
Een rootkit voor de Cisco-routers is vooral verontrustend omdat deze routers, net als het Windows-besturingssysteem, een erg groot marktaandeel hebben. In 2007 had, volgens onderzoeksbureau IDC, het bedrijf ruim een aandeel van tweederde. Echter kan de rootkit niet worden gebruikt om toegang te verkrijgen tot de router, een aanvaller moet een ander lek uitbuiten of het administratorwachtwoord weten.
De rootkit kan echter wel werken op verschillende versies van IOS, in tegenstelling tot de eerdere dreiging voor dit besturingssysteem bekend onder de naam ‘IOS patching shellcode’ dat aangepast moest worden voor elke IOS-versie, en draait op het flashgeheugen van de router.
Muniz heeft geen plannen om de broncode van de rootkit bekend te maken. Zijn doel is juist om uit te leggen hoe hij hem gemaakt heeft zodat routers beter beveiligd kunnen worden tegen dit soort dreigingen en om aan te tonen dat Cisco-routers niet onkwetsbaar zijn. "Ik heb dit gedaan met het doel om aan te tonen dat IOS-rootkits echt zijn, en dat er beveiligingsmaatregels genomen moeten worden," aldus Muniz. Cisco weigerde op de dreiging te reageren.
Overigens komt de rootkit op een kritiek moment nu The New York Times meldt dat de FBI neppe Cisco-routers als een gevaar voor de infrastructuur beschouwt. Eind februari rondde de FBI het onderzoek naar neppe Cisco-componenten af. Hieruit bleek dat onder meer routers, netwerkkaarten en switches onder vals merk werden verkocht aan de Amerikaanse marine, luchtmacht en zelfs de FBI.
3 uur geleden
Expert bijdrage
