'Súlyos hibák a TCP-ben; az egész internet veszélyben van'

Internet, Közösségi média

A Yahoo egyik cikke tartalmaz olyan kijelentéseket, amelyek a címben olvashatóak. Biztonsági szakemberek fedeztek fel olyan súlyos hibát a Internetes technológia alapjaiban, amelyet kihasználva a támadók a számítógépeket offline állapotba hozhatják, és/vagy széles körű sikeres támadást intézhetnek az adatokat továbbító routerek ellen.

A hiba valóban komolynak nevezhető, hiszen olyan prominens személyek is megszólaltak az ügyben, mint Paul Vixie (cron daemon és számos más alap Unix program fejlesztője) az Internet Systems Consortium Inc.-től.

``Ez egy jelentős hiba'' - mondta Vixie. ``... tényleg nagyon fontos, hogy megtaláljuk a javítást azelőtt, mielőtt a rossz fiúk nekiállnak kihasználni a hibát mulatság és elismerés miatt.'' - mondta a szakember. A hiba a Transmission Control Protocol-t (TCP) érinti. A sebezhetőséget Milwaukee-i szakemberek fedezték fel a múlt év végén. A megszólaló szakemberek szerint ismert olyan eljárás, amellyel távolról becsaphatók úgy a személyi számítógépek és a routerek, hogy azok felfüggesztik az kommunikációt és teljesen reset-elődnek.

Az egyik legnagyobb router gyártó, a Cisco elismerte, hogy a routerei sebezhetőek, és megkezdte a javítások terjesztését a termékeihez. A Microsoft szerint a hiba nem olyan súlyos a Windows felhasználókra nézve, ezért nem tesznek azonnali lépéseket a kijavítására.

A Yahoo cikke itt.



További infók (anr küldte be):


``[2004.04.19] CAN-2004-0230

Az angol "National Infrastructure Security Co-Ordination Centre" hibát talált a TCP protokolban. A hibát kihasználva egy támadó képes DoS támadásokat intézni TCP adatfolyamok ellen, és a kapcsolatok idő előtti bontását előidézni.

Veszélyben vannak azok a routerek, amik BGP-t használnak, valamint a DNS, és a SSL szolgáltatás.

A hiba részletes leírása itt.

Az IETF kiadott egy rövid leírást a hiba megoldási lehetőségeiről megtalálod itt.''

ehe.

" Experts previously said such attacks could take between four years and 142 years to succeed because they require guessing a rotating number from roughly 4 billion possible combinations. Watson said he can guess the proper number with as few as four attempts, which can be accomplished within seconds."

Benne. De attol meg, megallhat az Internet, hogy Theo biztonsagban erzi magat :-) Ebbol a szempontbol nem igazan helytallo a kijelentese, hogy oket nem erinti a problema.

>For what they discuss, OpenBSD handles this extremely well.

Az OpenBSD lehet, hogy jol lekezeli a problemat, de ha nem lesz csomag ami eljusson az OBSD szerverekig, akkor nincs mit jol lekezelni. Igy oket is erinti, mint ahogy erinti a az osszes olyan embert, aki TCP-t hasznal. Sot kozvetve azokat is, akik nem hasznaljak, mert ha megbenul az internet akkor sokminden meg fog allni (bankok, repuloterek, stb.). Tehat a problema lenyege, hogy alacsonyabb szinten van mint az operacios rendszerek.

De igazad van, megnyugtato, hogy az OBSD lekezeli a problemat.

:-)

( Gabucino | 2004. 04. 21., sze – 10:39 )

"a szamitogepeket offline allapotba hozhatjak"

ROTFL!

Jojo, ertem en mit akarsz mondani. Csak azt nem allhattam meg szo nelkul, ami miatt Theo-t annyian szeretik :-)

Minket nem erint, bla, bla, kernehiba? dehogy csak reliability fix, stb. :-)

Tegnap este pont ezen nevettunk (spander fele obsd plakat). Mindenki elismeri, hogy az OpenBSD biztonsagos, meg minden, nem is ezzel van a gond. Csak az arcbol kene neha visszabb venni :-)

Azert gondolj bele, hogy Amerikaban, ahol egesz komoly uzleti folyamatok (supply chain management, kulonbozo EbXML es EDI alapu kommunikacio, stb) folyik az egyes uzleti szereplok kozott az Interneten keresztul mekkora karokat okozhat ha akar egyetlen napra leall mindenfajta kommunikacio az Interneten emiatt a hiba miatt... Persze ez a cegek belso halozatait nem erinti, de az AS-ek kozotti forgalmat effektive le tudja blokkolni. Abbol pedig nagyon nagy gaz lehet...

Theot lehet szeretni, nem szeretni... Alapvetően szerintem az igazi vezetőknek ki kell mondaniuk azt amit gondolnak és úgy kell cselekedni ahogy az a projectnek/cégnek/akárminek a legjobb. Theonak ami a szívén az a száján, még ha ezzel meg is bánt egyes embereket, vagy éppen elesik egy jókora támogatástól.

Persze én is jókat röhögtem amikor kinn volt topicban, hogy:

MS-DOS: twenty years without a remote hole in the default install! ;-)

Sajnos ez az interface mixeli a kulonbozo levlistakat, de a tobbi meg nem frissult:

http://marc.theaimsgroup.com/?t=108248327400001&r=1&w=2

( ez a level [marc.theaimsgroup.com] tipikus TdR, tetszeni fog ;-)

Ez a problema, illetve egy ilyen jellegu hibanak a lehetosege tenyleg elojott mar 2001-2001 korul, gondolom akkor csinaltak azt a nehany modositast, amirol szo van, es ehhez jottek hozza a mostani javitasok.

Az mar a problema leirasabol is jol latszik, hogy erre nincs olyan jellegu megoldas, mint pl egy egyszeru programozoi hibara, amit itt lehet tenni (tisztan a tcpvel) az a kockazatok csokkentese.


netchan

Nem olvastam el a CERT jelentést, sőt a cikket is csak átfutottam, de nem értem, hogy ha a BGP sessionhöz nem tudsz hozzáférni, mert egy alacsonyabb szinten (csomagszűrő, routeren pld access lista) korlátozod, hogy kit engedjen be, akkor hol itt a probléma?

Jó, ott, ahol hozzá lehet férni, de egyébként?

( rooney | 2004. 04. 21., sze – 09:25 )

> A Microsoft szerint a hiba nem olyan súlyos a Windows

>felhasználókra nézve, ezért nem tesznek azonnali lépéseket a

>kijavítására.

hat mar hogy lenne sulyos, van eleg sechole... plusz-minusz egy nem sokat zavar.

nameg a tcp stackhez se sok kozuk van ;-)

--

dp

( Hunger | 2004. 04. 21., sze – 09:29 )

Heh, 8 évvel ezelőtt poénkodtam azzal, hogy ismerős rendszergazdákat rémisztgettem ilyen szöveggel: "felfedeztem a TCP implementációban egy olyan hibát amelyet kihasználva bármilyen rendszerbe belehet jutni". Nem gondoltam, hogy 1x tényleg lesz hasonló eset.

( Hunger | 2004. 04. 21., sze – 09:44 )

Szerintem annyira azért nem súlyos az eset...

"the chances of successfully injecting data into a connection are 1 in ((2^^32/RCV.WND * 2)) * (2^^32/SND.WND * 2)))."

( Hunger | 2004. 04. 21., sze – 10:03 )

Date: Tue, 20 Apr 2004 12:57:12 -0600

From: Theo de Raadt

[snip]

In the OpenBSD case, this is something not to worry about. For what

they discuss, OpenBSD handles this extremely well.

We'll explain more in a week or so.