Бэкдоры, которые Cisco и другие компании, занимающиеся сетевым оборудованием, оставляют для полиции и спецслужб (для осуществления мероприятий СОРМ или lawful interception) в своих маршрутизаторах и коммутаторах, в очередной раз стали темой обсуждения на конференции по компьютерной безопасности Positive Hack Days.
На этот раз эксперт IBM Престон Трипп рассказал собравшимся, что такие бэкдоры все еще могут выдавать информацию о пользователях посторонним лицам или нарушителям и помогать им отслеживать криптовалютную или банковскую активность определённого человека. Согласно американским законам, наличие “черных ходов”, которыми могут воспользоваться полицейские при наблюдении за подозреваемыми, является обязательным требованием при производстве сетевых устройств и их продаже поставщикам услуг Интернета.
Престон продемонстрировал, насколько легко “законные” бэкдоры в Cisco IOS могут быть использованы финансовыми воротилами на рынке криптовалют. По словам эксперта, при получении доступа к маршрутизатору попытки входа не блокируются даже после многократных неудач, а администратор сети не получает о них никакой информации. Получив доступ к устройству таким образом можно также управлять всеми текущими BGP-сессиями этого устройства, а также настроить устройство на использование GRE-сниффинга.
Любые сведения, собранные с помощью такого бэкдора, могут быть отосланы куда угодно при помощи технологии GRE sniffing, а не только авторизованным пользователям из силовых ведомств.
Что еще хуже, у интернет-провайдеров попросту нет возможности проводить мониторинг того, кто именно получил доступ к маршрутизатору через такой бэкдор. Это сделано специально, чтобы сетевые инженеры компаний не могли определить факт перехвата трафика и установить личность человека, находящегося под наблюдением. При этом любой авторизованный сотрудник фирмы-оператора может воспользоваться бэкдором для несанкционированного слежения за конечными пользователями, а факт такой слежки впоследствии нельзя будет установить.
В ответ на выступление Престона компания Cisco заявила о том, что она в курсе его исследований и принимает описанные экспертом возможности во внимание. К чести Cisco, эта фирма на данный момент является единственным производителем сетевого оборудования, который не скрывает от общественности принципов работы системы “полицейских бэкдоров” в своих устройствах.
Более подробно обсудить со мной вопрос практического применения описанных инструментов lawful interception или gre sniffing можно в личных сообщениях. Контактные данные указаны в соответствующем разделе этого сайта.