Translate

lunedì 5 luglio 2010

Tcp/Ip: falla sicurezza su tutti i computer e sistemi operativi nel sistema di collegamento ad Internet. Nessuna patch, pericolo serio


Il protocollo TCP, il più usato per le connessioni attualmente in uso nel mondo, e quindi standard di fatto, in queste ore si trova al centro di moltissime discussioni che riguardano la sua sicurezza.
Alcuni ricercatori avrebbero infatti scoperto alcune falle nello stack, chiamate state table manipulation, che se usate a dovere permetterebbero di effettuare attacchi su larga scala di tipo DoS.
Al momento non esistono workaround o patch correttive per la problematica, che quindi sta guadagnando in queste ore l'attenzione dei news media e della community di sicurezza.
Le vulnerabilità in questione non affliggono specifici vendor o sistemi operativi, sono invece state individuate nel modo in cui router, PC e altri dispositivi gestiscono le richieste di connessione TCP, da macchine remote sconosciute. Attacchi di questo tipo inoltre possono essere condotti sfruttando una banda minima.
Robert E. Lee, chief security officer dell'azienda Outpost24, che ha scoperto e studiato le debolezze del protocollo TCP insieme a Jack C. Louis, VP per Research and Development, commenta: "I vendor con cui abbiamo parlato sembrano star prendendo la minaccia seriamente".
La scoperta, che risale al 2005, deriva dall'utilizzo di un "port scanner" chiamato UnicornScan, realizzato da Louis, e utilizzato per valutare vulnerabilità ed eseguire "penetration testing" presso Outpost24.
Proprio durante un test di penetration su larga scala (che prevedeva lo scan di decine di migliaia di indirizzi IP), e dopo l'analisi del dump dei pacchetti restituito, Louis ha identificato alcune anomalie.
"Abbiano notato che certi sistemi iniziavano a inviare nuovamente certe risposte di pacchetti in maniera continua fino a quando non venivano riavviati. Questa ha acceso la lampadina. Ci siamo detti, esiste qualche tipo di meccanismo di stato che stiamo innescando qui".
I due ricercatori hanno proseguito a studiare la problematica ed hanno creato un framework d'attacco, chiamato Sockstress, che gli ha permesso di testare i vari tipi di attacco a piacimento, completando l'handshake TCP senza dover salvare alcun valore (Sockstress si occupa di computare e conservare i cosiddetti cookie SYN client-side, utilizzati per contrastare gli attacchi DoS SYN flood).
I due ricercatori non hanno per il momento intenzione di rendere pubblico Sockstress o di rilasciare dettagli tecnici sul suo funzionamento. Lee e Louis presenteranno tuttavia la loro scoperta durante la prossima T2 Conference (16-17 Ottobre, Helsinki).
Lee commenta: "Prevediamo di lavorare con i vendor per assicurarci che capiscano le problematiche in toto e abbiamo predisposto soluzioni adeguate prima di condividere dettagli sulle vulnerabilità". In rete è disponibile anche una intervista/podcast ai due ricercatori.
I due ricercatori sono comunque al lavoro con i vendor per mettere a punto delle patch correttive