https://www.opennet.me/openforum/vsluhforumID3/41795.html Себастьян Муниз (Sebastian Muniz), исследователь из компании Core Security Technologies, разработал (http://www.networkworld.com/news/2008/051408-hacker-writes-rootkit-for-ciscos.html) работающую реализацию rootkit (http://ru.wikipedia.org/wiki/Rootkit) для маршрутизаторов Cisco. Работа будет представлена на конференции EUSecWest (http://eusecwest.com/), которая пройдет 22 мая в Лондоне.<br><br><br>Разработанный руткит не чем не отличается по возможностям от своих собратьев для персональных компьютеров и позволяет полностью контролировать устройство и скрыто управлять им. В отличии от концептуальных разработок в прошлом, которые позволяли инфицировать Cisco через загрузку shell-кода в определенные версии IOS, разработка Себастьяна поддерживает значительно более широкий спектр версий IOS. Для установки руткита атакующий должен получить административный доступ к маршрутизатору, подсмотрев пароль или используя определенную уязвимость. При этом, руткит устанавливается во Flash память и автоматич...<br><br>URL: http://blogs.z https://www.opennet.me/openforum/vsluhforumID3/41795.html#21 Mon, 08 Sep 2008 08:52:43 GMT Это очень опасное оружие, если копнуть глубже.. Не нужно ломать сам роутер! Надо просто пропатчить прошивку до заливки оной в железку! Тут можно пофантазировать - запатчить при удачном ownin'ге админской тачки или же файлсервера где лежит прошивка, или сыграть patch-on-the-fly под man-in-the-middle, например, поиметь прокси если он между админом и железкой, напоить админа, итд.. И это вполне выполнимая задача, при правильном подходе и навыках в области. А вот последствия могут быть катастрофические - в руткит можно добавить код для слежения за соседними роутерами и срисовать их админские пароли, даже можно дождаться момента ИХ прошивки и пропатчить на лету (или втихаря слить "правильный" образ нужной версии IOS), про скрытие присутствия руткита в роутере вообще молчу - вариантов куча, самый дерзкий - суметь "выжить" при попытки апгрейда firmware. Короче, определить наличие этого дела будет недёшево и подозрения возникнут не сразу (если вообще), а в это время админское хозяйство будет втихаря работать на два ф https://www.opennet.me/openforum/vsluhforumID3/41795.html#20 Mon, 19 May 2008 08:10:43 GMT &gt;Если возможно то добавьте к новости упоминание о том что это не <br>&gt;первый "Руткит" под циску, http://blog.ioshints.info/2008/03/tcl-based-ios-backdoor.html <br>&gt;точно также из под рута запускается. <br><br>Не поверите, но именно эту ссылку только хотел запостить. :)<br><br>Разница между ними - в том, что по ссылке - бекдор, а новость про "руткит".<br> https://www.opennet.me/openforum/vsluhforumID3/41795.html#19 Mon, 19 May 2008 04:28:21 GMT Если возможно то добавьте к новости упоминание о том что это не первый "Руткит" под циску, http://blog.ioshints.info/2008/03/tcl-based-ios-backdoor.html<br>точно также из под рута запускается.<br> https://www.opennet.me/openforum/vsluhforumID3/41795.html#18 Sun, 18 May 2008 23:54:55 GMT &gt;В случае с циско "известно как" не было. Даже с правами администратора. Теперь надеюсь понятно?<br><br>Хех, об этом народ писал в x25zine еще в бородатом 2003<br> <br> https://www.opennet.me/openforum/vsluhforumID3/41795.html#17 Sun, 18 May 2008 20:08:56 GMT &gt;да циска как железо действительно не супер, если надо быстрый свич то <br>&gt;есть nortel <br><br>Тем более, что у циски уже были проблемы в Японии (переполнение), а nortel выдержали<br> https://www.opennet.me/openforum/vsluhforumID3/41795.html#15 Sun, 18 May 2008 11:55:23 GMT да циска как железо действительно не супер, если надо быстрый свич то есть nortel<br>надо fiberchannel есть brocade <br><br>хоть тако то можно юзать как файрволл...<br> https://www.opennet.me/openforum/vsluhforumID3/41795.html#14 Sun, 18 May 2008 10:31:40 GMT Дело в том, что раньше оборудование Cisco считали горазда более защищённым, чем платформу винтел. Поскольку чтобы писать вредоносный код для Cisco, надо иметь маршрутизатор под рукой и на нём практиковаться. Что не каждый может себе позволить. Конечно, новость об уязвимости вызвала у хакеров интерес. И теперь люди целенаправленно изучают системный софт в маршрутизаторе. Что приведёт к лавинообразному открытию уязвимостей и созданию червей.<br> https://www.opennet.me/openforum/vsluhforumID3/41795.html#13 Sun, 18 May 2008 10:08:09 GMT Детский сад ей богу. <br><br>В случае с линукс не всегда просто но известно как.<br><br>В случае с циско "известно как" не было. Даже с правами администратора. Теперь надеюсь понятно?<br> https://www.opennet.me/openforum/vsluhforumID3/41795.html#11 Sun, 18 May 2008 08:58:01 GMT &gt;To IIIHyP. Это не просто руткит, это руткит под IOS...<br><br>Мне пофиг на руткиты которые запускаются от прав админа, для этого нужно удаленно взломать Циско, вот еслебы был доклад как это сделать... А если ты осилил взломать циско, то и руткит ты сам сделаешь.<br><br>&gt; Написать его, а тем более впиздюхать его в железку под управлением IOS не два пальца обоссать, это довольно сложно.<br><br>Для Линукса, БСД руткиты просто делаются? Может теперь тоже на конференциях рассказывать? Как недавняя новость что выпустили вирус, для "не пропатченных Дебианов, определенной версии пакета ssl" ?<br><br><br><br>