UberGeek

Prima interfață de 100GE vine de la Juniper ( ).

“The upcoming Version 4.0 of Cisco CCIE® Routing and Switching certification will test hands-on troubleshooting, Multiprotocol Label Switching (MPLS), and VPN networking.”

Textul complet al anunțului îl găsiți aici. Modificările au fost anunțate astăzi, iar noile examene vor fi folosite începând cu data de 18 octombrie 2009.

Am dat peste un articol care spune:

“The bottom line is that before, all IOS exploits had to know the exact IOS image running on the target to get code execution. This is approximately a 1 to 100,000 chance, [and] a professional attacker doesn’t risk his 0-day exploit when the odds are stacked against him like that,” Linder says. “I [demonstrated] that at least on one group of Cisco routers, there is a way to execute code without knowing the IOS image version [they are] running.”

Din păcate, articolul (link aici) este foarte vag, și nu spune mai nimic despre vulnerabilitatea folosită (faptul că „putem ataca un router dacă există o vulnerabilitate IOS” mi se pare destul de LMC* ). În schimb, PDF-ul cu prezentarea (link aici ) explică mai multe – se pare că atacul se bazează pe versiunea de ROMMON, și nu pe versiunea de IOS. Iar dacă versiunea de IOS variază foarte mult de la router la router, versiunile de ROMMON sunt mult mai puține (și de multe ori nu se poate face update de ROMMON pe un router). În plus, se adaugă câteva „tricks” menite să facă atacul portabil pe mai multe versiuni de IOS.

Soluții? Well… just the basics:

• filtrare agresivă a traficului care are ca destinație router-ul
• update de IOS, pentru a elimina eventualele vulnerabilități descoperite. Din nou, pare LMC*, dar… dacă PC-ul de acasă îmi permit să îl rebootez de 10 ori în 2 zile din cauza update-urilor (vezi post-ul anterior ), nu același lucru îl pot spune despre router-ul care îmi ține 1000 de clienți în spate. Și care de multe ori are uptime de ani de zile.

*La Mintea Cocoșului, in case you were wondering

Nu mai devreme de ieri scriam un lucru pe care îl spun de mult timp:

Și eu (ca și mulți alții) consider că soluția cea mai bună ar fi organizarea unei competiții de tipul celei organizate pentru algoritmii de criptare în 1997 (competiție în urma căreia a apărut AES-ul).

Ei bine, iată că se întâmplă! Se pare că eram în urmă cu știrile – deja există așa ceva!

Concursul este deja deschis, și s-au primit 64 de propuneri. Cel mai probabil vom avea un standard undeva prin 2012. Not a moment too soon, aș putea spune

Detalii aici (wired.com), aici (schneier.com), sau aici (cio.com).

Urmăresc de ceva vreme progresul făcut în direcția „spargerii” algoritmului MD5. Și nu o dată m-am contrazis cu oamenii care susțineau că a fost deja spart. De ce? Pentru că „posibilitatea găsirii unor coliziuni random” nu echivalează cu „posibilitatea găsirii unor coliziuni pentru un text dat”, sau (și mai important) cu „posibilitatea realizării unui atac pe baza acestor coliziuni”.

Ei bine, iată că a fost făcut și acest ultim pas. Astăzi a fost anunțat ceea ce este (din câte știu eu) primul atac „real-world” bazat pe vulnerabilitățile MD5. Un grup de cercetători au reușit să obțină un certificat „fals”, care apare în browsere ca fiind emis de un CA comercial. Ca urmare, certificatul este recunoscut și acceptat ca valid de către browser-ele web.

Mai mult – certificatul emis este un certificat de CA intermediar. Ca urmare, toate certificatele semnate ulterior folosind acest certificat vor fi recunoscute și acceptate ca valide de către browsere!

Da, cercetarea nu s-a bazat numai pe vulnerabilitățile MD5-ului. S-a bazat și pe anumite vulnerabilități din implementarea CA-ului (numere de secvență liniare, moment predictibil al emiterii certificatului, path length lipsă în CA-ul root, etc). Totuși, faptul că atacul a reușit (timpul necesar pentru calcul fiind de numai câteva zile!!) înseamnă că într-adevăr perioada de utilitate a MD5-ului s-a terminat.

Aș spune că este momentul să ne căutăm alți algoritmi de hashing, dar…. nu prea avem alternative. SHA-1 este mai secure, dar și el are o serie de vulnerabilități (nu de aceeași anvergură, dar vulnerabilități nevertheless). Ca urmare, și el va trebui înlocuit până în 2010 (recomandare NIST).

Cu ce? Încă nu știm. Și eu (ca și mulți alții) consider că soluția cea mai bună ar fi organizarea unei competiții de tipul celei organizate pentru algoritmii de criptare în 1997 (competiție în urma căreia a apărut AES-ul).

Detaliile despre atac le găsiți aici. Credits go to LifeTester, care se pare că în loc să se gândească la anul nou stă și citește despre MD5 pe ‘Net.

A început CiscoExpo 2008… Eveniment important, măcar prin faptul că îți permite să afli ce mai e nou prin domeniul în care te învârți (sau, în cazul meu, să revezi oameni cu care nu te-ai mai întâlnit de un an )

Au fost câteva mici probleme – faptul că s-a scumpit (din fericire au avut inspirația să trimită niște coduri gratuite pe la unii – probabil cei care au fost prezenți și prin anii trecuți ), sau faptul că voluntarii de la academia Cisco prezenți acolo anul acesta nu au avut viață tocmai ușoară.

S-ar mai adăuga faptul că s-au mutat de la Marriott la hotel Radisson SAS. Hotel care arată bine, recunosc, dar… nu este făcut pentru a face față unui număr așa de mare de persoane. Și când de stat jos nu ai unde, de lăsat papornița (citiți: geanta cu hărtii primită de la ei) la garderobă nu ai cum (!!!), iar conversațiile cu diverși oameni le porți înghesuit între 2 standuri și o masă, parcă îți vine să lași naibii tot.

Dar până la urmă, nu asta e cel mai important. Ce contează am spus deja mai sus: prezentările, și oamenii cu care te (re)întâlnești. Vorba lui Meekuu – priceless!

[ Acum sincer - doar nu vă așteptați să pun poze din vreo prezentare, nu? ]

Ce primesc eu astăzi pe mail:

Dear xxxxxxxxxxxxxx

With the Juniper Networks SRX Dynamic Services Gateway, you can scale the mission-critical applications across the whole enterprise and get the competitive edge that you need – without worrying about performance or security issues.

The SRX natively integrates:

* Intrusion Prevention System (IPS)
* Distributed Denial of Service Attack (DDos/DoS)
* Network Address Translation (NAT)
* Dynamic Routing, and
* Quality of Service (QoS).

Cum nu mă pot abține niciodată de la un comentariu răutăcios: vă dați seama? Avem o mașină care integrează rutarea dinamică, QoS, NAT, și DDoS! Vă deranjează concurența? No problem – 2 comenzi pe mașină, și rețeaua competiției va fi flood-ată imediat! Fără să mai fie nevoie să compromiteți zeci de mii de mașini de pe Internet (just think of the cost savings!!). Iar pe viitor, este în plan introducerea unui sistem care să detecteze automat potențialele victime (pe baza unor metrici de tipul „creșterea cotei de piață”), și să lanseze automat atacul! Nu ezitați – cumpărați acum! Fiți atacatorul, nu victima!!!

[ Don't get me wrong - am o părere foarte bună despre produsele Juniper. Și deși eu sunt un „cisco guy”, recunosc că au existat destule ocazii când uitându-mă în curtea Juniper am salivat după anumite features. Chiar și echipamentul prezentat aici (concurent direct pentru ASA, din descriere) sună bine (până la 120Gbps trafic prin firewall? Sună chiar foarte bine!).

Doar că... nu pot să mă abțin de la comentarii răutăcioase. Mai ales când e vorba de departamentul de marketing >:) ]

Got your attention? Good!

Citiți aici despre cum poți să prinzi tot traficul care merge prin Internet către o anumită destinație. Fără nici un fel de exploit sau vulnerabilitate – folosind numai modul normal de funcționare al BGP-ului.

Prezentarea (cu detalii tehnice cu tot) o găsiți aici. Practic, oamenii nu fac altceva decât să anunțe prefixul victimei în BGP. Problema interesantă apare după aceea – cum fac ca după ce au capturat traficul, să îl forward-eze spre destinație? Alte atacuri similare foloseau tuneluri până la destinație, dar… asta ar fi însemnat acces (și) la ISP-ul victimei. Așa că oamenii au găsit o soluție mai elegantă, bazată pe AS-path prepending. Prin care își asigură un „culoar” de comunicație prin câteva AS-uri către destinație. Detalii în prezentare

După cum discutam acum cu Tibi (cel care mi-a trimis link-ul), partea interesantă este alta: faptul că atacul funcționează presupune că ISP-ul respectiv acceptă:

1. Update-uri referitoare la prefixe care nu aparțin clientului respectiv
2. Update-uri cu un AS-PATH care conține alte AS-uri decât cel al clientului

Și totuși, atacul funcționează în 95% din cazuri… Fascinant, nu?

1) Vă aduceţi aminte ce vă spuneam despre iminenta apariţie a CCIE-ului Wireless? Ei bine, it’s official: pe 7 octombrie va începe beta-ul pentru examenul written!

2) O “bârfă” interesantă, care circulă pe listele de discuţii de profil:

“On August 27, Cisco will introduce a pilot for the CCIE Routing and Switching lab exam in Beijing, China. The pilot will add a 10-minute interview that will assess the candidate’s ability to apply expert-level networking skills and knowledge to networking problems that are encountered on the job. After the lab orientation, a panel of three experts will conduct a verbal interview with each candidate, asking a series of expert-level networking questions (questions and answers will be in English). The ability to correctly answer these questions will affect the exam score. After completing the interview, the candidate will have the entire 8 hours to complete the lab portion of the exam. These scores will then be calculated and then combined for a total score which will decide a pass or a fail.
Our goal with this email is to let you know that your day will extend beyond the normal testing day by approximately one hour. The additional hour will be at the end of the day. We hope you find this interview process enlightening and helpful as we continue to strive for the standard the world has come to expect from CCIE.”

Nu există nici un anunţ oficial din partea Cisco, şi ca urmare nu pot să vă spun dacă este sau nu adevărată informaţia. Totuşi, informaţia a apărut din mai multe surse (oameni care au primit e-mail-ul respectiv), şi ca urmare chiar am tendinţa să cred că este adevărat.

Înţeleg oarecum motivul pentru care Cisco face asta. Dar după cum comenta cineva (uşor cinic) – “I guess this means there will be another section on P4S for pre-exam questions”…

Nu este încă nimic oficial, dar… se pare că în curând va apărea un nou track CCIE: Wireless. Beta-ul ar trebui să înceapă din această toamnă, iar testarea efectivă de la începutul lui 2009.

Detalii aici.

[ LE: Și se pare că vor mai apărea o serie de certificări entry-level: CCNA Security, CCNA Wireless, CCNA Voice. 2 dintre ele sunt deja listate „oficial” pe site-ul Cisco, iar a 3-a pare și ea destul de sigură.

Credits go to AlexJ for the tip ]