IOS-Flaw: Cisco will handeln

Der Sicherheits-Forscher, der auf der ‘Black Hat’-Konferenz einen Fehler in Ciscos System-Routern präsentierte, hat unter dem Druck einer einstweiligen Verfügung zugestimmt, das Leck nicht weiter öffentlich zu diskutieren. Doch will Cisco den Fehler offenbar nicht totschweigen, sondern hat für die nächsten Tagen ein Advisory für das Problem angekündigt.

Der Netzwerkausrüster hatte zusammen mit Internet Security Systems (ISS) die Verfügung gegen Michael Lynn bei einem Gericht in San Francisco erwirkt. ISS hatte die ursprünglich geplante Präsentation mit dem Titel ‘Der Heilige Gral: Cisco IOS Shellcode und Remote Execution’ mit einer anderen Veranstaltung ersetzt und auch die entsprechenden Unterlagen aus dem Veranstaltungskatalog entfernt. Der ISS-Mitarbeiter hat daraufhin seinen Job quittiert.

In einer Mitteilung erklärte Cisco, man habe die Verfügung beantragt, “um die unverantwortliche öffentliche Darstellung von illegal erlangten gesetzlich geschützten Informationen zu unterbinden”. Der Hersteller zielt damit auf die Tatsache ab, dass Lynn die Informationen teilweise über so genanntes Reverse Engineering erschlossen habe. Daher stoße man sich nicht an der Entdeckung des Fehlers selbst, sondern an der Art und Weise, die der Sicherheitsexperte gewählt habe, auf das Problem aufmerksam zu machen. Die sei nicht “im besten Sinne für den Schutz des Internets” gewesen, heißt es von Cisco.

Dennoch ist Lynn überzeugt, das Richtige getan zu haben. “Ich wollte damit sagen, dass es Potential für ein wirklich großes Problem gibt. Es ist noch nicht zu spät den Fehler zu beheben, aber man sollte es ernst nehmen”, kontert Lynn. Viele Konferenzteilnehmer stehen hinter Lynn und sind der Ansicht, dass vor allem ISS in diesem Fall der Verlierer sei. Das Unternehmen habe einen guten Mann verloren und sich nicht für den Mitarbeiter eingesetzt.