image

Ruzie over ernst TCP/IP DoS-lek duurt voort

dinsdag 21 oktober 2008, 14:58 door Redactie, 8 reacties

De strijd tussen twee beveiligingsonderzoekers over de ernst van het denial of service lek in het TCP protocol duurt voort. Afgelopen vrijdag gaven onderzoekers Robert Lee en Jack Louis hun presentatie, met een korte demonstratie van de Sockstress tool. Sockstress maakt het mogelijk om met een tiental pakketten vanaf één computer een complete webserver uit de lucht te halen. Sinds de bekendmaking van de problemen met TCP/IP was Nmap-auteur Fyodor zeer kritisch over de werkwijze van Lee en Louis en de impact van het lek. Hij maakte er zelfs een aparte pagina voor.

De negatieve houding van Fyodor is Lee in het verkeerde keelgat geschoten die op zijn eigen blog van zich afbijt. Zo bestrijdt hij de bewering van de Nmap-auteur dat ze hun uitspraken niet waar konden maken en dat het geen poging is geweest om meer aandacht voor hun presentatie te krijgen. In eerste instantie riep Lee Fyodor op om zich constructief te gedragen, hoewel die tekst er nu niet meer staat. Vanwege Fyodor hebben Lee en Louis besloten om niet meer de media te benaderen totdat er een oplossing is. Daardoor mag ook de audio opname die IT-journalist Brenno de Winter voor de podcast van De Beveiligingsupdate maakte, niet worden uitgezonden.

Onderzoeker Ivan Krsti? was ook bij de conferentie aanwezig en maakte een kort verslag van de demonstratie. "Het lijkt erop dat ze verkeerd worden begrepen. Dit is niet het zoveelste Connection Flood of SYN cookie probleem. De demo wist een volledig gepatchte Windows XP machine binnen drie tot vier minuten te laten vastlopen, met slechts 30 tot 40 kwaadaardige connecties per seconde en de netwerkbelasting bij het slachtoffer rond de 0,1% van 100Mbit/s."

Reacties (8)
21-10-2008, 16:02 door Anoniem
Stelletjes mutsen.....laat ze de krachten bundelen om zo tot een oplossing te komen ipv modder te gooien.
21-10-2008, 18:25 door RichieB
Als de gelinkte pagina's leest zie je dat Fyodor alleen ageert tegen het feit dat er geen details bekend zijn gemaakt. Verder toont hij aan dat Robert Lee zichzelf meerdere malen heeft tegengesproken. Er zijn ook nog geen andere gerespecteerde security researchers die de bevindingen heeft kunnen (mogen?) bevestigen. Dit was bij het DNS probleem wel anders. Daar probeerde men de onzekerheid weg te nemen door een aantal vooraanstaande DNS experts het probleem te laten zien en publiekelijk te laten bevestigen. Verder zijn er afgelopen vrijdag geen details vrij gegeven (zoals eerder beloofd). Het blijft dus allemaal erg vaag, en er is geen zicht op verbetering.

Ik ben het eens met het punt dat Fyodor maakt: als het allemaal zo erg en geheim is, waarom hangt men het dan toch aan de grote klok met interviews en presentaties? Wacht dan gewoon tot het is opgelost of in ieder geval totdat de tijd rijp is om alle details vrij te geven.
21-10-2008, 19:59 door [Account Verwijderd]
[Verwijderd]
21-10-2008, 21:27 door prikkebeen
Door Jos VisserWaarom lopen die twee prutsers alleen maar rond te roepen hoe erg het is in plaats van actief aan een oplossing te werken? Ze mogen me altijd mailen (josv at osp dot nl) om hulp...

Zouden ze op de hoogste bieder wachten of totdat iemand het nagemaakt heeft? Of zijn ze gewoon publiciteitsgeil?
Ik begin er een vieze smaak van in mijn mond te krijgen zolangzamerhand.
21-10-2008, 22:06 door Anoniem
Door Jos VisserWaarom lopen die twee prutsers alleen maar rond te roepen hoe erg het is in plaats van actief aan een oplossing te werken? Ze mogen me altijd mailen (josv at osp dot nl) om hulp...

Dit was in de eerste posting al geschreven Jos!

Nu maar hopen voor je dat ze dit artikel ook lezen, dan kunnen ze je in ieder geval mailen en vragen om jouw hulp.

Ps: Beide zijn zeker GEEN prutsers!
22-10-2008, 09:13 door d.lemckert
Een paar highlights uit het stuk, met de mening van een wannabeh techneut (ik dus, voor wat het waard is...)


De strijd tussen twee beveiligingsonderzoekers over de ernst van het denial of service lek in het TCP protocol duurt voort.
Welke 'strijd'? Ik zie alleen een gezond meningsverschil, gebaseerd op 1 partij met een overtuiging en een (hele rits) andere partijen, Fyodor voorop, die de potentiele impact van het probleem dermate serieus neemt en er dus heel sceptisch mee omgaat. Het is geen kattenpis wat ze claimen, dus daar moet goed naar gekeken worden.
Scepsis betekent automatisch dat iemand niet onmiddelijk gelijk krijgt. Da's slecht voor het ego en in mijn optiek het begin van deze ellende.


Sockstress maakt het mogelijk om met een tiental pakketten vanaf één computer een complete webserver uit de lucht te halen.
Dat kon 5 jaar geleden al, met nog wel minder packets... Iemand die zich de 'Ping of Death' nog herinnert?
Bovendien is deze uitspraak nogal stemmingmakend .... 'Een complete webserver'.. Tja.. Ernstig hoor.. Niet zomaar een deel van de webserver, niet zomaar een groot deel van de webserver maar de COMPLETE WEBSERVER, IN ZIJN TOTALITEIT!!!1!oneeleven.
Het gaat hier toch om een kwetsbaarheid in TCP/IP? Zo ja, dan is het niet zo verwonderlijk.. Immers: het opblazen van een IP-stack resulteert meestal in het totaal offline halen.


Sinds de bekendmaking van de problemen met TCP/IP was Nmap-auteur Fyodor zeer kritisch over de werkwijze van Lee en Louis en de impact van het lek. Hij maakte er zelfs een aparte pagina voor.
Terecht. Er is nogal wat gelegenheid tot scepsis en de discussie breidde zich ook uit tot de website van Fyodor zelf. Ik denk dat de beheerder van een site volledig gerechtigd is om ongezouten (binnen de kaders van de wet en de redelijke omgang uiteraard) zijn mening te verkondigen op iets dat op zijn eigen site gepubliceerd wordt.


De negatieve houding van Fyodor is Lee in het verkeerde keelgat geschoten die op zijn eigen blog van zich afbijt. Zo bestrijdt hij de bewering van de Nmap-auteur dat ze hun uitspraken niet waar konden maken en dat het geen poging is geweest om meer aandacht voor hun presentatie te krijgen.
Ik heb zowel de aankondigingen gelezen als de reactie van Fyodor.. Ik kan me niet aan de indruk onttrekken dat Fyodor de spijker op de kop heeft geslagen met stellen dat het om aandacht voor de presentatie ging en niet om het beveiligingsprobleem zelf. Plus daarbij vind ik de geleverde info erg mager en ben ook van mening dat ze niet waargemaakt hebben wat ze beweren.


Vanwege Fyodor hebben Lee en Louis besloten om niet meer de media te benaderen totdat er een oplossing is.
Bijzonder laf gedrag en hiermee spelen ze iedereen in de kaart. Ze hebben toch gelijk, claimen ze zelf? Als dat inderdaad zo is, moeten hun uitspraken de druk van peer-review kunnen doorstaan. Stampvoetend in je eigen kamertje janken dat de wereld slecht is omdat ze je geen gelijk geven verandert daar niets aan. Gelijk is gelijk.


Daardoor mag ook de audio opname die IT-journalist Brenno de Winter voor de podcast van De Beveiligingsupdate maakte, niet worden uitgezonden.
Whiskey-Tango-Foxtrot????
Iemand aan de andere kant van de wereld gaat eventjes bepalen wat een journalist in een compleet ander land wel en niet mag publiceren?

EPIC FAIL

Toegegeven: ik vond het stuk ook niet echt veel toevoegen, maar dat doet niet terzake. Wij hebben in ieder geval allemaal vrijelijk kennis kunnen nemen.


Onderzoeker Ivan Krsti? was ook bij de conferentie aanwezig en maakte een kort verslag van de demonstratie. "Het lijkt erop dat ze verkeerd worden begrepen.
Dat mag je wel zeggen ja. Hoewel ikzelf denk dat ze daar zelf debet aan zijn: Meervoudige, elkaar tegensprekende uitspraken, niet leveren wat gevraagd wordt etc.


Dit is niet het zoveelste Connection Flood of SYN cookie probleem.
Laat zien dan! Als het zo'n probleem is, kom met info zodat we er wat aan kunnen doen! Hou op met Karma-whoring!


De demo wist een volledig gepatchte Windows XP machine binnen drie tot vier minuten te laten vastlopen, met slechts 30 tot 40 kwaadaardige connecties per seconde en de netwerkbelasting bij het slachtoffer rond de 0,1% van 100Mbit/s."
Prachtig voorbeeld van de tegenstrijdige info.
Lees nog eens de derde zin van het stuk: mogelijk om met een tiental pakketten vanaf één computer staat recht tegenover wat hierboven staat: 30 tot 40 per seconde drie tot vier minuten

Al met al ben ik dus van mening dat deze jokers niet helemaal goed weten waar ze mee bezig zijn. Of: ze weten het wel, maar is het geen beveiliging maar ego-trippen.

Of je blijft onder non-disclosure en werkt met de leverancier samen om het probleem op te lossen. Tot die tijd hou je je kop!

Of je gaat voor full-disclosure en gooit alles op straat wat je weet om ervoor te zorgen dat niemand met verborgen kennis een voordeel haalt.
22-10-2008, 14:23 door Anoniem
Door RichieBAls de gelinkte pagina's leest zie je dat Fyodor alleen ageert tegen het feit dat er geen details bekend zijn gemaakt. Verder toont hij aan dat Robert Lee zichzelf meerdere malen heeft tegengesproken. Er zijn ook nog geen andere gerespecteerde security researchers die de bevindingen heeft kunnen (mogen?) bevestigen. Dit was bij het DNS probleem wel anders. Daar probeerde men de onzekerheid weg te nemen door een aantal vooraanstaande DNS experts het probleem te laten zien en publiekelijk te laten bevestigen. Verder zijn er afgelopen vrijdag geen details vrij gegeven (zoals eerder beloofd). Het blijft dus allemaal erg vaag, en er is geen zicht op verbetering.

Ik ben het eens met het punt dat Fyodor maakt: als het allemaal zo erg en geheim is, waarom hangt men het dan toch aan de grote klok met interviews en presentaties? Wacht dan gewoon tot het is opgelost of in ieder geval totdat de tijd rijp is om alle details vrij te geven.

Inderdaad. Kaminsky kwam ook pas naar buiten nadat de partijen die bij de microsoft-meeting waren hun voorlopige patch klaar hadden. En toen alleen maar om mensen ervan te overtuigen dat je de patch ook daadwerkelijk moet installeren. Naar mijn mening is het allemaal niet optimaal gegaan, maar het is zeker anders dan wat hier nu gebeurt.
23-10-2008, 09:23 door SharkWare
Door d.lemckert
Een paar highlights uit het stuk, met de mening van een wannabeh techneut (ik dus, voor wat het waard is...)

Of je blijft onder non-disclosure en werkt met de leverancier samen om het probleem op te lossen. Tot die tijd hou je je kop!

Of je gaat voor full-disclosure en gooit alles op straat wat je weet om ervoor te zorgen dat niemand met verborgen kennis een voordeel haalt.


Men heeft het eerst onder non-disclosure geprobeerd. Echter is er toen geen respons op gekomen door de vendors. De "responsible"-disclosure van nu is de reactie daarop. Men heeft het orginele probleem in 2005 (als ik het me goed herinner) al aangedragen bij vendors.


Door d.lemckert
Prachtig voorbeeld van de tegenstrijdige info.
Lees nog eens de derde zin van het stuk: mogelijk om met een tiental pakketten vanaf één computer staat recht tegenover wat hierboven staat: 30 tot 40 per seconde drie tot vier minuten

Er zijn verschillende aanvals methodes. Elke aanval methode heeft een andere impact. Dus dit is geen tegenstrijdige info maar zijn twee verschillende stukken informatie.


Door d.lemckert
Whiskey-Tango-Foxtrot????
Iemand aan de andere kant van de wereld gaat eventjes bepalen wat een journalist in een compleet ander land wel en niet mag publiceren?

EPIC FAIL

Toegegeven: ik vond het stuk ook niet echt veel toevoegen, maar dat doet niet terzake. Wij hebben in ieder geval allemaal vrijelijk kennis kunnen nemen.

Brenno is naar de presentatie geweest (vorige week vrijdag). Hierover mag hij geen informatie prijsgeven. Dit was de prijs voor het feit dat hij überhaupt aanwezig mocht zijn op de presentatie, aangezien ze normaal geen pers toelaten. Lijkt me een fair deal.

------------

PS: Dit staat volledig los van mijn mening over de manier waarop de "disclosure" geschied.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.