Il noto ricercatore di IBM Tom Cross ha sostenuto che nonostante le capacità di monitoraggio del traffico che si trovano nei dispositivi commercializzati da Cisco siano spesso dettati dalla semplice formalizzazione di standard acquisiti, nondimeno quelle capacità prestano il fianco a rischi e vulnerabilità che permangono nel corso del tempo.
Gli standard incriminati, che in definitiva tendono a influenzare anche l’hardware prodotto dalle altre aziende del settore, sono quelli che si affidano al protocollo SNMP versione 3, aprendo le porte a diversi vettori potenziali di attacco da parte di malintenzionati. SNMP era ad esempio inizialmente vulnerabile agli attacchi “brute-force” sul sistema di autenticazione, un problema che nella ricostruzione di Tom Cross Cisco ha provato a mitigare con il rilascio di una patch, ma che persiste in tutte le macchine su cui tale patch non è stata installata per scelta volontaria (e magari dettata da particolari esigenze) degli amministratori.
L’SNMP è basato sul protocollo UDP invece che sul TCP, e questo, spiega Cross, peggiora la situazione perché è relativamente facile camuffare gli indirizzi IP di origine. Non è prevista poi la cifratura delle comunicazioni, e gli hacker potrebbero teoricamente mettere in piedi un’operazione di sorveglianza senza lasciare traccia per gli amministratori.
La soluzione offerta dal ricercatore di IBM al problema: la revisione degli standard implementati sui dispositivi, ferma restando la consapevolezza che la questione non potrà mai essere risolta del tutto per via della presenza di macchine non aggiornate per problemi di costi, tempi, competenze.