Nagy vita kis csomagok felett

A fenti címmel jelent meg egy érdekes cikk a napokban a SecurityFocus oldalán. A cikkben arról olvashatunk, hogy valamikor az év folyamán Fernando Gont - egy argentin kutató - felhívta az internetes és hálózati biztonsággal foglalkozó szakemberek figyelmét néhány olyan támadási formára, amely Internet Control Message Protocol-t (ICMP) felhasználva képes a hálózati forgalmak megszakítására. A kutató egyben felvázolt négy olyan lehetséges változtatási lehetőséget a hálózati-adat kezelésben, amely megszűntetné az ilyen típusú támadások rizikóit.

Érdekes, hogy ahelyett, hogy párbeszéd alakult volna ki a kutatók között a hiba javításának érdekében, Gont bejelentése hónapokon át tartó vitát szült, amely arról szólt, hogy a hiba valóban olyan súlyos-e, hogy azt javítani kellene. Míg egyes kutatók a saját kutatási eredményeiket harsogták, addig biztonsággal foglalkozó közösség más tagjai a munkát kritizálták. Több cég - akikkel Gont kapcsolatba lépett - nem működött együtt a hiba javításának érdekében, és csak néhány operációs rendszer szállító és hálózati szoftver gyártó készített javítást a problémára.

Ezen a héten Gont frissítette az Internet Engineering Task Force-hoz (IETF) benyújtott javaslatát. Gont szerint néhány ember azt állítja, hogy ez a sebezhetőség régi téma. Szerinte ezzel az a baj, hogy annak ellenére, hogy a sebezhetőség sok ember előtt sok év óta ismert, mégsem született soha semmilyen javaslat arra nézve, hogy hogyan kellene ezeket kezelni.

A probléma gyökere abban keresendő, hogy az internetes szabványokból hiányzik az ICMP csomagokban található problémás adatokra vonatkozó ellenőrzés szükségessége. Emiatt, ha egy sérülékeny szervernek megfelelően nagy számú, speciálisan formázott ICMP csomagokat küldünk, akkor a támadással leállíthatjuk annak hálózati forgalmát, csökkenthetjük annak sávszélességét, vagy éppen arra szoríthatjuk a szervert, hogy eméssze fel saját processzoridejét.Gont szerint a hiba nagy számú hálózati eszközt és operációs rendszert érint. Néhány nagyobb gyártó - köztük a Cisco Systems, a Juniper Networks, a Microsoft és a Sun Microsystems - megerősítette, hogy termékeik érintettek a sebezhetőséggel kapcsolatban. A Cisco még áprilisban frissítette termékeinek széles skáláját. A Cisco megerősítette a támadások lehetségességét, de nem beszélt azok súlyosságáról.

Gont szerint a hiba súlyos, mások szerint a kihasználhatósága annyira komplikált, és a támadással a támadó olyan keveset nyer, hogy a javítással nem érdemes foglalkozni.

Gont három olyan támadási formát fedezett fel, amellyel problémákat lehet okozni egy az Interneten levő host és kliense között. Az első támadási forma lehetővé teszi, hogy a támadó reset-eljen egy tetszőleges TCP kapcsolatot. A második segítségével a támadó csökkentheti a a TCP kapcsolat áteresztőképességet. A harmadik pedig alkalmas arra, hogy a támadó csökkentse a kapcsolat áteresztőképességét és egyben a növelje a támadott gépen a terhelést. Az összes felsorolt támadás az ún. ``blind attack'' kategóriába tartozik, azaz a támadónak nem kell sniffelnie a támadott gép hálózatát.

Gont szerint ezzel a technikával például sikeresen lehet támadni az olyan útválasztókat, amelyek Border Gateway Protocol-t (BGP) használnak. Ez azt jelenti a kutató szerint, hogy az Internet működését is veszélyeztetni lehet ily módon.

Néhányan a kockázatot súlyosnak ítélték. Ilyen például az OpenBSD csapat. Theo de Raadt szerint az OpenBSD fejlesztők a Gont által javasolt összes változtatást elvégezték. Theo szerint nagyon frusztráló az, hogy Gont egy nagyon jó dokumentumot írt a sebezhetőségről és a lehetséges javítási módokról, és nyilvánvalóan nem olvasta el senki.

Júliusban Gont három olyan eszközt is publikált weboldalán, amellyel ki lehetne használni az ICMP hibákat. Annak ellenére, hogy az eszközök publikusak lassan két hónapja, még nem történt semmilyen komolyabb támadás az Internet infrastruktúrája ellen.

A teljes cikk itt.