Beveiligingsexpert: TCP IP DoS-aanval is echt
De aankondiging van twee onderzoekers dat ze een zeer ernstig lek in het TCP/IP protocol hebben gevonden waardoor het platleggen van systemen kinderspel is, werd door velen in de beveiligingsindustrie kritisch ontvangen. Robert Lee en zijn collega Jack Louis zijn wel bekenden, maar veel details gaven ze niet prijs. Daarnaast waren er geen grote vendors die het probleem openlijk bevestigde. In tegenstelling tot Dan Kaminsky die de details van het DNS-lek met een selecte groep experts deelde, zodat die de ernst konden bevestigen, besloten de onderzoekers dit niet te doen. Een ander punt was dat ze het probleem al sinds 2005 kenden, maar er niet in slaagden de media ermee te bereiken. Aangezien de tijd begon te dringen, tenslotte zouden anderen dit probleem ook kunnen vinden, en het feit dat ze zelf geen oplossing konden bedenken, werd de media dit keer succesvoller bereikt.
Volgens de gerespecteerde beveiligingsonderzoeker Robert 'RSnake' Hansen is het probleem echt. "Robert en Jack zijn slimme gasten. Ik ken ze al jaren en ze lopen altijd een stap voor op de rest." Hoewel Hansen de details niet kent acht hij de aanval zeer aannemelijk. In tegenstelling tot de meeste Denial of Service aanvallen komen bij deze aanval machines niet meer terug online als de aanval voorbij is.
'DoS me'
RSnake vroeg aan Lee of hij hem wilde DoSsen, maar dat weigerde de onderzoeker. "Helaas kan het ook andere apparaten tussen hier en daar beïnvloeden, dus is het geen goed idee." Dit zou erop wijzen dat het niet een losse bug betreft, maar dat er zeker vijf en mogelijk zelfs 30 verschillende problemen zijn. "Ze hebben nog niet ver genoeg gegraven om te zien hoe erg het kan worden. Het resultaat verschilt van het uitschakelen van kwetsbare machines tot het 'droppen' van legitiem verkeer."
Hacker Hansen bevestigt dat de twee al verschillende vendors hebben benaderd en dat hij hierbij geholpen heeft. Het probleem treft firewalls, besturingssystemen, webservices en die moeten allemaal gepatcht worden. Een vaste tijdslijn is daarom ook niet uitgestippeld. "IPv6 services lijken kwetsbaarder te zijn door het feit dat ze meer resources vereisen en niet veiliger zijn omdat ze bovenop een onbeveiligde TCP stack zitten." Hansen wilde van de onderzoekers weten of ze sockstress, de tool waarmee de aanvallen zijn uit te voeren, ooit publiekelijk zullen maken. Dat is echter onwaarschijnlijk. "De winter komt eraan en het zou jammer zijn als het elektriciteitsnet met een paar toetsaanslagen is uit te schakelen. Ik heb gehoord dat het hier in Scandinavië erg koud kan worden," aldus Hansen.
http://shlang.com/netkill/netkill.html
This script intends do starve kernel memory/buffers on the target.
Of course if you have access to (a lot of) different source IP addresses, you can work around a connection limitation, but then you can also launch a classic DDOS attack.
Mij dunkt, als je met 40 packets al zo'n aanval kunt opzetten, dan is het zeker geen kwestie van een simpele SYN-flood aanval... Dit moet iets zijn dat een ketting-reactie in het remote systeem teweeg brengt, waardoor het uit zichzelf de resources begint te verbruiken.
http://www.cs.columbia.edu/~smb/papers/ipext.pdf
http://www.linuxsecurity.com/resource_files/documentation/tcpip-security.html
en
http://isis.poly.edu/courses/cs393-s2002/lectures/module-2.pdf.
Betekent dit dat je nooit verder komt met je aanval dan de eerste de beste router?
het heeft iets te maken met dat de sender (aanvaller) verbindingen kan openen (en open houden) zonder dat het zelf resources kost (en kan dus in theorie oneindig veel verbindingen openen), terwijl de ontvanger (slachtoffer) wel de resources (CPU/memory) moet aanhouden voor de verbindingen.
maar waarom dit niet met een limit op een ip-adres te voorkomen is weet ik ook niet....
Dat zeiden veel beheerders ook bij Kaminsky. En die begonnen dus pas met hun software leveranciers te praten toen iedereen op de hoogte was van de problemen.
Peter
And U R going to show us the way to this "brave new world" !?
NOT !? .... thought so.... ;)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.