Cisco IOS e rootkit

Tutto quello che ha a che fare con le infrastrutture (non le configurazioni)

Moderatore: Federico.Lagni

Rispondi
rsandro
n00b
Messaggi: 21
Iscritto il: gio 01 set , 2011 10:53 pm

Buongiorno ragazzi,
smanettando con GNS3 e varie versioni di IOS prese quà e là dalla rete (chiaramente per uso didattico) mi è capitato di leggere, anche su questo forum, che spesso tali sistemi sono pieni di rootkit e backdoor.
Facendo delle ricerche ho letto anche l'articolo di Sebastian Muñiz "Killing the myth of Cisco IOS rootkits" in cui descrive addirittura la ricetta, anche se molto complessa, per scrivere con successo un rootkit per Cisco IOS.

A questo punto vi chiedo se secondo voi, disponendo del checksum MD5 dello IOS originale Cisco e calcolando quello dello IOS scaricato, nel caso i due coincidano, si può stare tranquilli che lo IOS non sia stato alterato.
Nell'articolo di Muñiz, da quanto ho capito, il checksum dello IOS alterato viene ricalcolato e riscritto all'interno del file .bin, per evitare un errore in fase di boot del router. Quindi direi che necessariamente debba essere differente da quello originale.

Voi che ne dite?
Grazie.
Sandro.
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

A me sembra abbastanza attendibile come prova, non ho mai provato ma per le caratteristiche intrinseche dell'hash MD5 sicuramente ogni minima alterazione del file dovrebbe generare un hash diverso perciò.....

My 2 cent
Rizio
Si vis pacem para bellum
rsandro
n00b
Messaggi: 21
Iscritto il: gio 01 set , 2011 10:53 pm

Grazie Rizio,
inoltre coincide anche la grandezza in bytes e credo sia molto difficile (forse impossibile) alterare il codice macchina facendo tornare il checksum e non variando le dimensioni del file.
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Yes, non sono un "programmista" (come il figlio di 7 anni ha definito il lavoro di suo padre,un mio amico, a scuola) ma credo anch'io :)

Rizio
Si vis pacem para bellum
Rispondi