Eksperci ostrzegają: groźna dziura w protokole TCP

Specjaliści z brytyjskiego centrum NISCC (National Infrastructure Security Co-Ordination Centre) ostrzegają o poważnej luce w protokole komunikacyjnym TCP (Transmission Control Protocol), wykorzystywanym powszechnie w większości sieci komputerowych na całym świecie. "Wiadomo, że błąd może posłużyć przede wszystkim do przerywania sesji długotrwałych, np. wykorzystywanych w protokole BGP. Podobnie zakłócane mogą być inne systemy produkcyjne, w których używa się stałych połączeń TCP, między innymi niektóre serwisy transakcyjne" - twierdzi Przemysław Jaroszewski z CERT Polska.

Potencjalny hacker, który wykorzysta lukę może spowodować przedwczesne przerwanie sesji TCP (tworząc tzw. Reset Attack), a także zakłócić transmisję pomiędzy routerami w Internecie. Jest to możliwe poprzez przerwanie sesji protokołu BGP (Border Gateway Protocol), które wykorzystują TCP. Jak podkreślają eksperci z NISCC, luka istnieje we wszystkich implementacjach TCP zgodnych ze specyfikacją Internet Engineering Task Force TCP Specification. Ostrzeżenie o dziurze potwierdziło także amerykańskie centrum CERT, które notabene ostrzegało o tym niebezpieczeństwie już 3 lata temu ( http://www.cert.org/advisories/CA-2001-09.html ).

"Przede wszystkim trzeba podkreślić, że błąd ten jest już znany od dawna - opublikowanie dopiero teraz informacji o zagrożeniach z nim związanych, spowodowane jest przez to, że dopiero niedawno ów problem 'rozpracowano' i zidentyfikowano większość powodowanych przez błąd w TCP zagrożeń" - powiedział nam Przemysław Jaroszewski z CERT Polska. "Wiadomo, że błąd może posłużyć przede wszystkim do przerywania sesji długotrwałych, np. wykorzystywanych w protokole BGP. Podobnie zakłócane mogą być inne systemy produkcyjne, w których używa się stałych połączeń TCP, między innymi niektóre serwisy transakcyjne." - tłumaczy przedstawiciel CERT Polska.

Obie organizacje opublikowały ostrzeżenia po dokładnym opisaniu problemu przez niezależnego eksperta zajmującego się bezpieczeństwem sieci - Paula Watsona. Wszystkie informacje na ten temat znajdują się w dokumencie pt. 'Slipping in the Window: TCP Reset Attacks', który zostanie oficjalnie zaprezentowany w tym tygodniu podczas kanadyjskiej konferencji CanSecWest 2004.

Watson odkrył, iż obecna implementacja TCP umożliwia potencjalnemu hackerowi łatwe odgadnięcie unikalnego, 32 bitowego numeru, który jest wymagany, aby przerwać ustanowione aktualnie połączenie. Dzieje się tak, ponieważ standard umożliwia akceptowanie sekwencyjnych numerów kolejnych pakietów z pewnego zakresu, zamiast dokładnej liczby. Poprzez spoofing źródłowego adresu IP oraz numeru portu TCP, hacker może spowodować zamknięcie aktywnej sesji, doprowadzając do przerwania połączenia.

Najbardziej narażone na atak są sesje protokołu BGP (Border Gateway Protocol), które wykorzystują TCP. Jak mówi Dan Ingevaldson, kierownik centrum badawczego Internet Security Systems: "Protokół BGP jest w tej chwili najpowszechniej wykorzystywanym zewnętrznym protokołem routingu w Sieci. Sesje BGP są zdecydowanie dłuższe i bardziej przewidywalne, niż większość połączeń pomiędzy dwoma urządzeniami z publicznymi adresami IP".

Szereg producentów urządzeń sieciowych, w tym firmy Cisco Systems oraz Jupiter Networks, jeszcze w tym tygodniu roześlą do swoich klientów ostrzeżenia z opisem produktów, które mogą być narażone na atak. Zaoferowane zostaną również specjalne aktualizacje oprogramowania dla tych urządzeń.

Pomimo, iż luka wygląda na dość niebezpieczną i stanowić może duże zagrożenie, Dan Ingevaldson jest przekonany, iż nie wywoła ona lawinowego wzrostu ataków: "To bardzo poważna sprawa, ze względu chociażby na swój ogólnoświatowy zasięg. Jednak wydaje mi się, iż nie pociągnie ona za sobą zakrojonego na tak szeroką skalę ataku.

Większość producentów sprzętu sieciowego konsultowała się z organizacjami NISCC oraz CERT, jeszcze na długo przed opublikowaniem informacji o zagrożeniu. Dało to im trochę czasu na przygotowanie odpowiednich aktualizacji. Dodatkowym czynnikiem zabezpieczającym jest fakt, iż BGP zostało zaprojektowane tak, aby oprzeć się spoofingowi. Protokół ten posiada obsługę cyfrowego podpisu przy wykorzystaniu algorytmu szyfrowania MD5" – podkreśla szef zespołu badawczego Internet Security Systems.

Więcej informacji:

NISCC - http://www.niscc.gov.uk

ISS - http://www.iss.net

CERT Polska - http://www.cert.pl


Zobacz również