Поделиться
Старые недостатки TCP могут парализовать интернет
Британские ученые из правительственного агентства по изучению вопросов информационной безопасности опубликовали сведения о критической уязвимости, обнаруженной в протоколе TCP. Используя ее, злоумышленники могут отключать от Сети любые компьютеры и препятствовать нормальной работе маршрутизаторов, координирующих движение магистрального трафика. Говоря фигурально, брешь в основном протоколе транспортного и сеансового уровней позволяет разрушит "цемент", соединяющий Сеть в единое целое. Существование уязвимости обусловленно структурой протокола TCP, однако до сих пор считалось, что воспользоваться ею на практике не возможно. Похоже, время внесло свои коррективы. Описываемая уязвимость существует в версиях протокола TCP (Transmission Control Protocol - протокол контроля передачи), соответствующих спецификациям проблемной группы проектирования интернета (IETF) RFC 793 и RFC 1323. И хотя данная уязвимость существовала в TCP с самого момента его создания в 1981 году, оказалось, что TCP-сессии, в которых известны адреса как источника, так и реципиента передаваемой информации, могут быть перехвачены злоумышленниками гораздо более простыми методами, чем считалось раньше. Речь идёт о том, что путём спуфинга (имитации чужого IP-адреса или другого TCP-порта) можно повторно инициализировать установленное TCP-соединение, отправив пакеты, соответствующие параметрам соединения с установленными флагами RST (сброс) или SYN (синхронизация). Критичность уязвимости зависит от типа используемого оборудования, защита от её использования не предусмотрена ни одним вендором.Как сообщается в бюллетене, наиболее подвержен атакам пограничный межсетевой протокол BGP (Border Gateway Protocol), используемый для обмена данными между таблицами интернет-маршрутизации. Маршрутизаторы магистральных сетей используют BGP для постоянного обновления информации о важных изменениях в потоках трафика для выбора наиболее оптимального маршрута. Успешные атаки на маршрутизатор могут привести к его остановке на несколько часов, так называемому "подавлению". Потенциально уязвимость может воздействовать также и на службу доменных имен DNS (Domain Name System), и на протокол защищенных сокетов SSL (Secure Sockets Layer). Теоретически, возможна фальсификация передачи данных.
Департамент государственной безопасности США через несколько часов после опубликования бюллетеня выпустил предупреждение, в котором говорится, что "атаки могут поразить значительный сегмент интернет-сообщества". Хотя по окончании атак возможно восстановление нормального функционирования Сети. "Пользователи интернета оказались в положении человека, бегущего голым по джунглям. Это безопасно до тех пор, пока не появятся тигры, - считает Пол Викси (Paul Vixie), представитель общественной организации Internet Systems Consortium. - Важно ликвидировать возможность использования этой уязвимости до того, как "плохие парни" получат от этого какую-либо выгоду, начав эксплуатировать её просто ради развлечения или из любопытства".
"Любая "дыра" в фундаментальном протоколе вызывает серьезное беспокойство и требует самого пристального внимания лиц, ответственных за функционирование инфраструктуры интернета. Этот конкретный случай уже с прошлой недели стал основной темой разговоров среди специалистов по безопасности", - цитирует издание Аustralian IT News слова Амита Йорана (Amit Yoran), главы департамента кибербезопасности США.
Возможность практического использования изначально заложенной в протокол TCP ошибки была продемонстрирована американским исследователем Полом Уотсоном (Paul Watson) еще в конце прошлого года. Публичное сообщение о возможности использования уязвимости предваряет доклад г-на Уотсона на конференции по информационной безопасности в Ванкувере, который состоится на этой неделе. На конференции будут представлены основные выкладки изысканий в области обеспечения безопасности TCP.
Короткая ссылка
