image

Beveiligingsexpert: TCP IP DoS-aanval is echt

donderdag 2 oktober 2008, 10:53 door Redactie, 15 reacties

De aankondiging van twee onderzoekers dat ze een zeer ernstig lek in het TCP/IP protocol hebben gevonden waardoor het platleggen van systemen kinderspel is, werd door velen in de beveiligingsindustrie kritisch ontvangen. Robert Lee en zijn collega Jack Louis zijn wel bekenden, maar veel details gaven ze niet prijs. Daarnaast waren er geen grote vendors die het probleem openlijk bevestigde. In tegenstelling tot Dan Kaminsky die de details van het DNS-lek met een selecte groep experts deelde, zodat die de ernst konden bevestigen, besloten de onderzoekers dit niet te doen. Een ander punt was dat ze het probleem al sinds 2005 kenden, maar er niet in slaagden de media ermee te bereiken. Aangezien de tijd begon te dringen, tenslotte zouden anderen dit probleem ook kunnen vinden, en het feit dat ze zelf geen oplossing konden bedenken, werd de media dit keer succesvoller bereikt.

Volgens de gerespecteerde beveiligingsonderzoeker Robert 'RSnake' Hansen is het probleem echt. "Robert en Jack zijn slimme gasten. Ik ken ze al jaren en ze lopen altijd een stap voor op de rest." Hoewel Hansen de details niet kent acht hij de aanval zeer aannemelijk. In tegenstelling tot de meeste Denial of Service aanvallen komen bij deze aanval machines niet meer terug online als de aanval voorbij is.

'DoS me'
RSnake vroeg aan Lee of hij hem wilde DoSsen, maar dat weigerde de onderzoeker. "Helaas kan het ook andere apparaten tussen hier en daar beïnvloeden, dus is het geen goed idee." Dit zou erop wijzen dat het niet een losse bug betreft, maar dat er zeker vijf en mogelijk zelfs 30 verschillende problemen zijn. "Ze hebben nog niet ver genoeg gegraven om te zien hoe erg het kan worden. Het resultaat verschilt van het uitschakelen van kwetsbare machines tot het 'droppen' van legitiem verkeer."

Hacker Hansen bevestigt dat de twee al verschillende vendors hebben benaderd en dat hij hierbij geholpen heeft. Het probleem treft firewalls, besturingssystemen, webservices en die moeten allemaal gepatcht worden. Een vaste tijdslijn is daarom ook niet uitgestippeld. "IPv6 services lijken kwetsbaarder te zijn door het feit dat ze meer resources vereisen en niet veiliger zijn omdat ze bovenop een onbeveiligde TCP stack zitten." Hansen wilde van de onderzoekers weten of ze sockstress, de tool waarmee de aanvallen zijn uit te voeren, ooit publiekelijk zullen maken. Dat is echter onwaarschijnlijk. "De winter komt eraan en het zou jammer zijn als het elektriciteitsnet met een paar toetsaanslagen is uit te schakelen. Ik heb gehoord dat het hier in Scandinavië erg koud kan worden," aldus Hansen.

Reacties (15)
02-10-2008, 11:25 door Anoniem
This very much smells like rediscovery of an already documented weakness in almost any TCP/IP stack implementation in existance:

http://shlang.com/netkill/netkill.html

This script intends do starve kernel memory/buffers on the target.
02-10-2008, 11:42 door [Account Verwijderd]
[Verwijderd]
02-10-2008, 12:52 door RichieB
If the problem is that a single malicious user can exhaust resources used by the TCP/IP stack, wouldn't limiting the amount of IP connections allowed from a single source IP address solve the problem? Think "limit-resource rate conns" or "iptables -m connlimit" or even mod_limitipconn.

Of course if you have access to (a lot of) different source IP addresses, you can work around a connection limitation, but then you can also launch a classic DDOS attack.
02-10-2008, 14:06 door Anoniem
I doubt it's the netkill problem mentioned by commenter above. These researchers mentioned they needed only about 10 packets to get the system to hang, while with "netkill" you need to bombard the server with packets.
02-10-2008, 14:11 door Anoniem
Just rebuild internet. Correctly this time.
02-10-2008, 14:53 door Eerde
Kom maar op met een testsite ik klik overal op ;)
02-10-2008, 16:23 door rob
Waarom spreekt iedereen ineens engels hier?

Mij dunkt, als je met 40 packets al zo'n aanval kunt opzetten, dan is het zeker geen kwestie van een simpele SYN-flood aanval... Dit moet iets zijn dat een ketting-reactie in het remote systeem teweeg brengt, waardoor het uit zichzelf de resources begint te verbruiken.
02-10-2008, 19:05 door Anoniem
Even voor de goede orde tcp-ip is ontwikkeld door Vinton G. Cerf en Robert E. Kahn in 1974 waarna het in 1978 werd opgesplits in twee brakke delen, ter illustratie:

http://www.cs.columbia.edu/~smb/papers/ipext.pdf
http://www.linuxsecurity.com/resource_files/documentation/tcpip-security.html
en
http://isis.poly.edu/courses/cs393-s2002/lectures/module-2.pdf.
02-10-2008, 21:58 door Anoniem
"Helaas kan het ook andere apparaten tussen hier en daar beïnvloeden, dus is het geen goed idee."

Betekent dit dat je nooit verder komt met je aanval dan de eerste de beste router?
02-10-2008, 23:10 door Anoniem
het schijnt niet te gaan om enkele tientallen losse packets, maar enkele tientallen per seconde.
het heeft iets te maken met dat de sender (aanvaller) verbindingen kan openen (en open houden) zonder dat het zelf resources kost (en kan dus in theorie oneindig veel verbindingen openen), terwijl de ontvanger (slachtoffer) wel de resources (CPU/memory) moet aanhouden voor de verbindingen.
maar waarom dit niet met een limit op een ip-adres te voorkomen is weet ik ook niet....
02-10-2008, 23:48 door Anoniem
Door rookieIk geloof er niks van tot die onderzoekers met details gaan komen.

Dat zeiden veel beheerders ook bij Kaminsky. En die begonnen dus pas met hun software leveranciers te praten toen iedereen op de hoogte was van de problemen.

Peter
03-10-2008, 08:57 door RichieB
Als je naar de podcast luistert, dan hoor je dat het om 40 packets per seconde gaat. Dus wel degelijk een flood, alleen niet zo'n stevige.
03-10-2008, 09:08 door Anoniem
Door AnoniemJust rebuild internet. Correctly this time.

And U R going to show us the way to this "brave new world" !?
NOT !? .... thought so.... ;)
03-10-2008, 11:20 door Anoniem
NETBEUI ftw ;-)

routing is overrated anyway ;-)
03-10-2008, 14:53 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.