Cisco kildekode lagt ut på Internett

Et tyveri av kildekode til Ciscos operativsystem skal ikke utgjøre noen stor sikkerhetsrisiko.

Torsdag varslet et russisk IT-sikkerhetsfirma, SecurityLab, at 800 MB av kildekoden til Cisco-operativsystemet IOS versjon 12.3 var blitt stjålet. IOS er systemet som Cisco har utviklet til alt sitt nettverksutstyr, og som det har samme holdning til som Microsoft har til Windows.

For å understreke at tyveriet var ekte, la SecurityLab ut to rutiner fra kildekoden, henholdsvis «ipv6_discovery_test.c -- Neighbor Discovery unit tests» og «ipv6_tcp.c -- IP version 6 support functions for TCP».

I en offisiell erklæring fra Cisco heter det at proprietær informasjon er kompromittert og at det undersøker hva som kan ha skjedd. Hvor mye kode det dreier seg om og hvordan tyveriet er utført, vil ikke Cisco si noe om.

I et innlegg på diskusjonsforumet til North American Network Operators' Group (Nanog) sier tidligere ledende ingeniør i Cisco, Tony Li, at kodeeksemplene lagt ut av SecurityLab virker ekte.

De fleste IT-sikkerhetsekspertene som uttaler seg til amerikanske fagpublikasjoner mener tyveriet egentlig ikke utgjør noen større risiko. På den andre siden viser det mangler i Ciscos egen sikkerhet på et tidspunkt der selskapet kjører en markedskampanje der høyt sikkerhetsnivå er en viktig budskap.

Vilkåret for at tyveriet skal innebære en sikkerhetsrisiko for Ciscos kunder, er at hackerne er i stand til å avdekke og utnytte eventuelle sårbarheter i koden. Eventuelle sårbarheter vil antakelig ikke kunne benyttes til å bryte seg gjennom sikkerhetssperringer, men kanskje til å gjennomføre tjenestenektangrep.

I et intervju med eWeek forklarer den uavhengige eksperten Bill Woodcock fra Packet Clearing House i California at angrep mot rutere og svitsjer er svært vanskelige å gjennomføre, og at de følgelig er svært sjeldne. Pakkene må adresseres direkte til ruterens prosessor. I de fleste tilfellene er ikke ruterne tilgjengelig utenfra. Deres prosessorer vil bare godta datapakker fra innsiden av nettet. Det er med andre ord ikke nok å vite hvordan man skal utnytte en eventuell sårbarhet, man må også ha inngående kjennskap til det konkrete nettverket man akter å angripe.

Erklæringen fra Cisco gjenspeiler at selskapet selv er mer opptatt av at forretningshemmeligheter er på avveie enn av at kunders sikkerhet kan bli kompromittert. På diskusjonsforumet til Nanog er det ulike synspunkter på dette. Noen mener at Ciscos konkurrenter vil kunne bruke koden til å forbedre sine egne bokser. Andre mener at Cisco for lengst burde ha gjort IOS til åpen kildekode, ut fra det synspunktet at Cisco tjener sine penger på boksene, og at IOS kunne tjent på bidrag fra flere enn selskapets egne utviklere, blant annet med tanke på sikkerhet.

I et intervju med eWeek støtter åpen kildekodeguru Eric Steven Raymond denne tanken, og legger til at all sikkerhetsprogramvare må forutsette at fienden har kildekoden.

Til toppen