Legale aftap biedt hacker kansen
access granted
De aftappunten die leveranciers op bevel van de autoriteiten inbouwen in hardware en software geven hackers onvermoede kansen. Dat meent directeur Tom Cross van IBM’s beveiligingsdivisie X-Force na analyse van het aftapprotocol in Cisco’s routers.
Veel internetbedrijven en fabrikanten van netwerkapparatuur en –software hebben achterdeurtjes in hun producten ingebouwd om te kunnen voldoen aan de stroom bevelen om informatie en/of afluistertaps van politie en justitie. Cisco is de enige fabrikant die details van de daarbij gebruikte protocollen heeft vrijgegeven.
Aan het verzoek om informatie wordt bij de meeste Cisco-apparatuur invulling gegeven door een opdracht te versturen naar het ingebouwde onderscheppingspunt. Dat gebeurt via het Simple Network Management Protocol, een veelgebruikte methode voor het beheren van aan een netwerk verbonden apparatuur. Door te vertrouwen op SNMP wordt het eerste probleem gecreëerd dat Cross identificeerde. SNMP retourneert namelijk vrij veel informatie wanneer het een opdracht te verwerken krijgt die niet uit te voeren is. Dat geeft een hacker aanknopingspunten om de naam en het wachtwoord te raden die nodig zijn om het doelsysteem binnen te komen. Dat probleem wordt nog verergerd doordat in SNMP een fout zit die het mogelijk maakt om naam en wachtwoord binnen 256 pogingen te reconstrueren. Voor die fout bestaat wel een patch, maar veel internetserviceproviders hebben die nog niet aangebracht omdat ze de tijd niet kunnen vinden om hun routers uit te schakelen, aldus Cross.
Daar komt bij dat in de systeembeschrijving die Cross inzag, geen maatregelen zijn genomen om het aftasten van het onderscheppingspunt te signaleren. Er is niet voorzien in een functie die een beheerder waarschuwt wanneer herhaaldelijk geprobeerd wordt toegang te krijgen door iemand die kennelijk niet over de juiste combinatie gebruikersnaam/wachtwoord beschikt. Ook verplicht de setup niet tot het gebruik van versleuteling, hoewel Cisco dat wel adviseert. Cross vindt het ook geen gelukkige ontwerpbeslissing, dat verzoeken tot afluisteren niet via een apart kanaal, maar gewoon tussen reguiliere netwerkbeheeropdrachten worden verzonden. Ook het ontbreken van controle op de plek waar een opdracht tot afluisteren vandaan komt en waar de informatie vervolgens naartoe wordt gestuurd, vindt Cross een zwakte.
Cisco meldt dat veel van de zwaktes die Cross constateert, inmiddels al verholpen zijn. Het uitlokken van kritiek zoals die van Cross was voor Cisco juist de reden om zijn protocol te publiceren. Cross vreest echter dat veel andere leveranciers met achterdeurtjes in hun producten een even weinig solide oplossing hebben gekozen als Cisco aanvankelijk gepubliceerd heeft. Beveiligingsexperts zijn sowieso sceptisch over het inbouwen van achterdeurtjes voor opsporingsdiensten, omdat het hoe dan ook betekent dat er – doelbewust - een kwetsbare plek extra ingebouwd wordt.
Zie ook:
Reacties
Plaats een reactie op dit artikel
A. Noniem
| 4 februari 2010 | 22:36
Voor zover mij bekend zou dit niet van toepassing mogen zijn in NL daar de wet verbiedt om IRI (verkeer dat de verdachte identificeert, bijv. IP adres, username, etc) en payload (de daadwerkelijke data, bijvoorbeeld een gesprek, chatsessie of foto) over dezelfde link te versturen, laat staan ongescheiden over een link te versturen waar productieverkeer over verstuurd wordt. Dit is bij GSM, GPRS en UMTS in ieder geval zo. Kan me niet voorstellen dat men losser omgaat met IP interceptie.