I mai i fjor ble det kjent at kildekode til Ciscos operativsystem IOS var blitt lagt ut på Internett. I september foretok Scotland Yard en arrestasjon og to beslag i datautystr, uten at det førte til en siktelse i saken.
Les også:
- [06.05.2009] Svenske siktet for hack mot Cisco og NASA
- [28.07.2005] Ruterkapring truer alle nettverk
- [20.09.2004] Cisco-tyven skal være arrestert
- [18.05.2004] Cisco kildekode lagt ut på Internett
I dag skriver New York Times at Cisco-saken var et av svært mange tilfeller av avanserte datainnbrudd som også rammet NASA, IT-leverandører til det militære, samt universiteter og forskningsinstitusjoner. USAs føderale politi FBI antar at alt kan tilbakeføres til en liten bande i Europa, eller kanskje til og med til én person.
En 16-åring i Uppsala var anholdt i mars og fikk sitt datautstyr beslaglagt, men er siden løslatt uten siktelse. Svensk politi bekrefter samarbeid med FBI i denne saken. Det foregår etterforskning i Storbritannia og andre land, også dem samordnet med FBI. Angrepene ser ut til å ha stanset, heter det i en erklæring fra FBI som New York Times siterer.
Datainnbruddene som etterforskes samlet, er utført etter samme mønster som det mot Cisco. Det første skal ha funnet sted i april i fjor. Etter å ha søkt seg fram til systemer med utnyttbare sårbarheter har de skyldige erstattet systemenes SSH-program med en utgave de selv har manipulert. SSH brukes til krypterte brukerpålogginger i Windows, Unix og Linux-miljøer. Den manipulerte utgaven gjorde det mulig for dataranerne å sanke brukernavn og passord. For å dekke over sine spor, ble disse sendt gjennom en kjede av kompromitterte systemer gjennom opptil sju forskjellige land.
I flere tilfeller ble dataranernes virksomhet oppdaget av IT-personalet, uten at disse hadde muligheter for å hindre tappingen av brukernavn og passord.
Dataranerne utnyttet brukernavnene og passordene til å få normal tilgang til datasystemene, og det lyktes dem i mange tilfeller å oppgradere sine brukerprivilegier for å få rottilgang til servere, og deretter tappe systemene for enda flere opplysninger, blant annet kildekoden til Cisco.
I ett tilfelle skal dataranerne ha kommunisert med sine ofre under dekknavnet «Stakkato», skrytt av sine innbrudd mot andre systemer, og slettet e-post.
Ellers er det ikke bekreftet at dataranernes virksomhet har ført til påviselig skade. Cisco sier for eksempel at det ikke er oppdaget noen tilfeller der kunder er blitt skadelidende som følge av sikkerhetsbrist som kan føres tilbake til kildekodetyveriet.
Sårbarhetene som er utnyttet i saken, skal nå være tettet, og det skal være gjort endringer i SSH for å avverge mulighetene for å erstatte et legitimt program med et som er manipulert av utenforstående.