A alguns dias atrás recebi um email falando sobre alguns rumores que estão aparecendo sobre a criação de RootKits para os dispositivos Cisco. Ou seja, o que teoricamente já seria possível já teve mais uma prova de conceito, ao que parece.
Na teoria os Rootkits são passíveis de serem criados para qualquer device que possua um sistema operacional. O termo RootKit no fim das contas, simplesmente, designa um "pool" de ferramentas que fornecem a possibilidade de intrusão ( pós-invasão ) sem a necessidade de ferramentas adicionais.
De acordo com o que já foi divulgado um pesquisador da Core Security Technologies, que desenvolveu o Rootkit, ele será apresentado ( demonstrado, não irá divulgar o código ) durante a conferência EuSecWest, em Londres.
O conceito é o padrão. O IOS é um sistema operacional. Assim, como qualquer sistema operacional, contém um kernel e outras ferramentas nele inseridas para fornecer possibilidades de funcionamento.
O que acontece é que o pesquisador, possivelmente ( sim, ainda não há grandes "informações" na internet ) conseguiu subverter funções internas do S.O. para tornar o bichinho literalmente escravo.
No caso do IOS, não iremos mexer em funções como captura de telas e afins, mas sim, em camadas mais baixas. Imagine a possibilidade de subverter todo seu tráfego de rede e captura de dados importante, em uma camada de acaba ficando acima dos nossos firewalls e IDSs ?
É um conceito tão novo, já que nunca foi usado, que vai causar um nó na cabeça de muito analista de segurança. Ou seja, como captar um tráfego que no fim, ainda não chegou a minha rede. E, pior, imagine subverter diversos roteadores de uma operadora ( backbone por exemplo ), onde se captaria todo o tráfego de diversas empresas com dados críticos.
Apesar de ser um rumor, é um rumor muito preocupante, já que o próprio criador, Sebastian Muniz, disse que seu filhotinho ( o RootKit ) é capaz de fazer tudo que outro RootKit faria em sistemas operacionais "comuns".
Vale lembrar que, ao contrário de outras "ameaças" a roteadores Cisco, de acordo com Muniz, o seu RootKit roda em diversas versões do IOS.
A coisa agora, é realmente esperar para ver como vai ser a apresentação do RootKit na conferência e esperar os dados oficiais ( até porque, em geral, estas grandes companhias, como a Cisco, tem o hábito de embargar este tipo de apresentação, logicamente, por medinho de seu grande nome ser queimado ).
No fim, cabe a quem é SysAdmin/Analista de Segurança se preparar para uma nova era, em que nem nossos roteadores estarão a salvo de RootKits ...