Aanklacht Cisco wegens presentatie over IOS lekken *update*
In Nederland hebben we What The Hack in Liempde, aan de andere kant van de oceaan heeft men de Black Hat 2005 conferentie in Las Vegas. De conferentie begon met een zeer omstreden presentatie over het remote uitvoeren van code in Cisco's Internetwork Operating System (IOS), oftewel het overnemen van het netwerk. IOS is het besturingssysteem dat in de belangrijkste netwerken ter wereld wordt gebruikt.
Naast het feit dat de afbeeldingen uit de handouts en slides waren geknipt, ging de presentatie bijna niet door. Spreker Michael Lynn, onderzoeker bij de X-Force afdeling van Internet Security Systems, nam zelfs ontslag bij zijn werkgever om de presentatie te kunnen houden, die volgens F-Secure erg interessant was. In tegenstelling tot veel andere presentaties kan die van Lynn niet op de multimedia pagina van de conferentie gedownload worden.
Update 11:15
Cisco en ISS zijn allesbehalve blij met de presentatie en hebben nu een aanklacht ingediend tegen Michael Lynn en de organisatie. Beide bedrijven hadden geprobeerd zoveel mogelijk van de presentatie te verwijderen, maar toch ging deze door. Daarom wil men nu dat de rechter een "restraining order" uitspreekt, zodat de lekken en kwetsbaarheden in IOS niet verder besproken worden. Volgens Cisco gaat het hier om het beschermen van haar eigen intellectueel eigendom.
Beide partijen hadden al drie weken intens overleg gepleegd over de presentatie, waarbij Cisco de afgelopen dagen acht uur bezig is geweest met het uitscheuren van de pagina's uit het conferentie boek. ISS wilde dat de presentatie helemaal niet werd gegeven, waarna Lynn ontslag nam. Security Focus heeft het volledige verhaal.
wordt meerdere keren per jaar wereldwijd gehouden en is ook
geregeld in Nederland voor het Europese deel.
Door Cisco wordt opgehouden dat de heksenjacht onderdeel is
van het beschermen van hun intelectuele eigendommen, nmm is
dat flauwekul van de grootste orde. We horen cisco nergens
klagen als er leerzame informatie over en met voorbeelden
van hun producten wordt gepubliceerd of uitgelegd bij
conferenties. Het zit ze waarschijnlijk gewoon niet lekker
dat ze hier voor schut staan omdat ze IOS al jaren
presenteren als zeer veilig.
ISS is ook bang voor hun reputatie: niet leuk als een
werknemer negatief bericht over een van je beste partners
die het je wel eens juridisch zeer lastig kan gaan maken.
zou willen doen t..o.v. security tooling. Om het niet aan de grote klok te
hangen krijgen bedrijve, overheden en consumenten het gevoel dat er niks
aan de hand is en kunnen blackhat hackers of andere minder ethische
individuen misbruik maken van of zelfs stukken van het netwerk c.q.
Internet platleggen in dit geval. Door 1 individue te sueen pakken ze niet de
root van het probleem aan en ze bereiken er absoluut niets mee behalve
dat misschien het ondergronds blijft en er daadwerkelijk schade ontstaat
of erger. Het is de zaak van bedrijven (monopolisten) zoals Microsoft,
Oracle en Cisco om niet een ubermensch houding aan te nemen en te
wachten tot er iets gebeurt. Het is wel gebleken dat dat niet werkt.
Probleem is dat de er vaak meer kennis m.b.t. de veiligheid van producten
buiten de hekken van de vendor aanwezig is dan binnen. Willens en
wetens of onbewust. Ik ondersteun daarom ook het disclosen van deze
informtie op de Blackhat. R3tr0
je tenminste nog een bedankje krijgen na het melden van vulnerabilities!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.