WASHINGTON, D.C – Black Hat DC 1010, vào ngày hôm nay, một nhà nghiên cứu của IBM ISS đã phát hiện 1 lỗ hổng bảo mật trong kiến trúc nghe lén ít được biết đến của mạng IP được tạo bởi Cisco Systems cho việc thực thi pháp luật. Điểm yếu này có thể cho phép kẻ tấn công cản trở quyền giám sát hợp lệ hoặc thực hiện 1 số việc giám sát trái phép theo chủ ý riêng.

Giám đốc đội nghiên cứu X-Force của IBM ISS, Tom Cross, nói rằng lần đầu tiên ông  phát hiện ra kiến trúc của Cisco trong việc ngăn chặn hợp pháp đối với IP Networks, đã được công bố trong IETF RFC bốn năm về trước, 2004. Tài liệu này, biết đến như là IETF RFC 3924, dựa trên kiến trúc ngăn chặn hợp pháp được sử dụng bởi Viện Tiêu chuẩn Viễn thông Châu Âu, ứng dụng trong thiết bị router, switch của Cisco, dòng 7600, 10000, 12000 và AS5000. Cross nói rằng các nhà cung cấp khác cũng đã triển khai kiến trúc này trong các thiết bị mạng của họ.

Cross nói rằng kẻ bị tình nghi là tội phạm có thể phát hiện được việc mình đang bị theo dõi bởi cơ quan thực thi pháp luật bằng cách sử dụng kiến trúc này, cho phép anh ta thao tác hoặc phá hoại các thông tin được thu thập, hoặc dùng các thông tin theo dõi này cho mục đích bất chính

Trước đây Cisco đã từng vá lỗ hổng SNMPv3 trong các dòng router dùng trong kiến trúc nghe lén, tuy nhiên Cross cho rằng chính kiến trúc này cũng cần sửa chữa, gồm nhiều điểm yếu có thể bị khai thác bởi kẻ tấn công – những điều mà ông đã bàn giao cho Cisco từ tháng 12/2008.

Giám đốc truyền thông của Cisco, Jennifer Greeson, có mặt tại buổi thuyết trình, nói rằng Cisco đang xem xét những lời đề nghị từ Cross, và cả cách kết hợp chúng

 “Chúng tôi tự tin vào framework của mình, đó là lý do chúng tôi công bố nó: Chúng tôi thấy rằng vấn đề bảo mật là rất quan trọng” trong kiến trúc này, Greeson cho biết.

Hôm nay là lần đầu tiên Cross, người đã âm thầm nỗ lực cho đến thời gian gần đây bởi các cam kết khác – đã công bố những nghiên cứu của mình về điểm yếu trong công nghệ nghe lén. Framework theo dõi hợp lệ của Cisco đã định nghĩa kiến trúc từ các thiết bị trung gian ở xa thu thập tin tức với danh nghĩa cơ quan thực thi pháp luật trên các đối tượng bị theo dõi (một ai đó đang bị cơ quan pháp luật điều tra). Các nhà cung cấp như Digivox, NICE Systems, Verint, và Utimaco tạo ra hệ thống này. “Các thiết bị trung gian là trái tim của công nghệ”, Cross cho biết, “Nó được sử dụng bởi nhà quản trị để cung ứng việc giám sát và gửi hướng dẫn đến các thiết bị để thực hiện việc theo dõi thực tế. Sau đó thông tin được định dạng lại và gửi trực tiếp đến cơ quan thực thi pháp luật.”

Cross liệt kê 6 điểm yếu trong kiến trúc của Cisco có thể dẫn đến vi phạm an ninh trong việc theo dõi:phát hiện định danh bằng brute-force trong SNMPv3, lỗ hổng bảo mật trong SNMPv3, thiếu việc kiểm định, tính linh hoạt của dòng xuất ra, điểm yếu về giả mạo gói tin trong các card mạng, và RFC không yêu cầu về mã hóa.

Trong khi Cisco đã vá lỗ hổng xác thực trong SNMPv3 (CVE-2008-0960), chưa có nghĩa là tất cả các khách hàng đã triển khai các bản vá này, ông cảnh báo. Vá lỗi router là 1 quá trình đặc biệt do e ngại làm gián đoạn hoạt động.

Dù vậy, Cross nói rằng vấn đề lớn nhất là kiến trúc này cần được sửa bởi Cisco và IETF. “Những vấn đề khó này đòi hỏi nhiều suy nghĩ.”

 “Mối quan ngại lớn nhất của tôi là sự yếu kém của các vết kiểm toán”, ông cho biết. Kẻ tấn công có thể “tắt” các vết kiểm toán này mà cơ quan theo dõi không hề biết được các hành vi đang xảy ra. Tấn công vào routers chưa vá lỗi xách thực SNMPv3 có thể dễ dàng bị theo vết bởi các “bẫy” theo dõi loại tấn công này.

Cross nói rằng hướng dẫn cấu hình Cisco cho kiến trúc này khuyến nghị các nhà quản trị mạng nên bật chức năng “SNMP trap notification” để phát hiện các nguy cơ tiềm ẩn trong xác thực SNMPv3, “ngụ ý” rằng các bẫy này sẽ được gửi cho các packet có khóa xác thực không đúng hoặc các gói tin khác ko nằm trong danh sách truy cập

 “Tôi đã thử, và không hề có 1 cái bẫy xác thực nào, nên đã chuyển cho Cisco và nói  rằng nó không hoạt động,” Cross nói “Cisco đáp lại rằng việc hiện thực là đúng, nhưng tài liệu là sai [và viết lại tài liệu]. Nên giờ ko nói là bẫy đã được tạo.

 “Nhưng 1 nhà quản trị mạng muốn biết liệu mạng của mình có đang bị tấn công”

Khuyến nghị của Cross tới Cisco và IETF gồm sử dụng 1 port khác để theo dõi, như SNMP qua TCP, sẽ ít bị giả mạo, hạn chế số địa chỉ của luồng xuất, chuyển các thông báo điều khiển vào cấu hình của router để nhà quản trị mạng không có khả năng theo dõi việc giám sát hoặc can thiệp nó

Việc triển khai của các nhà cung cấp Internet để giám sát việc thực thi pháp luật không nên chỉ là vá lỗi SNMPv3, mà còn cần sử dụng mã hóa – cụ thể là mã hóa IPSec, Cross cho biết. Chỉ định các danh sách người dùng – nhóm kiểm soát truy cập IP có thể giúp người dùng có thẩm quyền thực hiện các hành động can thiệp hợp pháp đến các thiết bị trung gian, “Cũng như vậy, nên xây dựng việc quản lý mạng out-of-band”, ông cho biết