Sebastian Muniz, onderzoeker bij Core Security Technologies, zal de software op 22 mei demonstreren op de EuSecWest-bijeenkomst in Londen.

IOS

Rootkits zijn programma's die hun eigen sporen uitwissen, zodat ze lastig zijn te achterhalen. Meestal laten hackers deze software los op Windows besturingssystemen, maar nu blijken ze dus ook toepasbaar op het Internetwork Operating System (IOS), waarop Cisco's routers draaien. "Zo'n IOS rootkit kan hetzelfde aanrichten als rootkits op besturingsystemen van gewone desktops", meent Muniz.

Met de software kan niet in een Cisco router worden ingebroken. Daartoe zullen hackers aparte software of een wachtwoord moeten hebben. Eenmaal binnen kunnen zij de rootkit installeren in het flash-geheugen en de router overnemen.

Kraken

De nieuwe rootkit is extra gevaarlijk, aangezien Cisco-routers zeer veel gebruikt worden. Cisco heeft een marktaandeel van bijna tweederde in de routermarkt in handen, becijferde onderzoeksbureau IDC. Eerdere veiligheidsonderzoekers waren al wel in staat om via 'IOS patching shellcode' een enkele Cisco router te kraken, maar die programma's werkten slechts met één specifieke versie van het IOS. De roofkit van Muniz werkt op verschillende IOS-versies.

Rechtszaak

Muniz zegt geen plannen te hebben de broncode van de rootkit te gaan verspreiden. Hij wil slechts aantonen dat Cisco-routers kwetsbaar kunnen zijn voor zulke malware. Drie jaar leidde de hack van veiligheidsonderzoeker Mike Lynn in een Cisco router tot een rechtszaak. Cisco klaagde Lynn aan omdat hij bedrijfsgeheimen zou hebben onthuld, in strijd met zijn Cisco-gebruikersovereenkomst. De zaak was snel geschikt, maar de vrees zit er wel in bij Muniz. Hij zal daarom vóór de presentatie nog contact opnemen met Cisco.