De maker van een van de populairste hackertools op het internet heeft uitgehaald naar de onderzoekers die beweren een nieuw TCP/IP DoS-lek te hebben ontdekt. De kwetsbaarheid is volgens Fyodor Vaskovich helemaal niet zo nieuw als Robert Lee en Jack Louis doen voorkomen. Het eerste waar de Nmap ontwikkelaar zich aan stoort is het feit dat de twee hun ontdekking met veel bombarie aankondigden, zonder enige details prijs te geven. "Het ruikt naar een PR-campagne. Als je de pers vertelt dat je een lek in het internet protocol hebt ontdekt dat zo ernstig is dat je geen details kunt vrijgeven uit angst dat het hele netwerk crasht, dan gaan ze daar mee aan de haal en verandert het in een media circus."

Fyodor zegt aan de hand van de "vage omschrijving" de aanval te herkennen. In het verleden zou hij een soortgelijke DoS-tool hebben ontwikkeld en hiermee was hij tevens niet de eerste. Het gaat dan ook niet om een nieuw lek of aanval. "Misschien waren Robert en Jack niet bekend met de eerdere referenties naar deze aanval, maar het is niet nieuw. Een uitgebreide beschrijving, met proof-of-concept broncode was in april 2000 door Stanislav Shalunov op Bugtraq geplaatst." Bindview zou in december het probleem met hun 'Naptha onderzoek' verder hebben onderzocht.

Het mag dan niet om een nieuwe kwetsbaarheid gaan, dat maakt de impact volgens Fyodor er niet minder om. "Hoewel ik het geen serieuze bedreiging voor het internet vindt, is het belangrijk genoeg om te verhelpen." Zolang de details niet bekend zijn, geeft de Nmap ontwikkelaar toe dat hij niet zeker weet of het te onthullen DoS-lek in werkelijkheid al acht jaar oud is. Lee beweert op zijn blog dat het om een andere aanval gaat. "Ze hebben waarschijnlijk genoeg variaties en implementatie details toegevoegd waardoor ze hun aanval als origineel en uniek beschouwen. Er zijn veel varianten van deze aanval die voor een effectieve DoS-aanval zorgen."

Oplossing
Zelfs als de details verschijnen, is het de vraag of criminelen hiervan gebruik zullen maken. "Aanvallers die DoS-aanvallen uitvoeren zijn vaak lui en hebben geen kennis. De brute force packet flooding die de meeste aanvallers prefereren heeft ook voordelen over deze meer elegante techniek. Brute force packet floods zijn vaak te vervalsen en daardoor lastiger te traceren. Voor het overbelasten van resources, zoals met deze aanval, hebben de aanvallers een volledige TCP verbinding nodig, en moeten de aanvallers een echt IP-adres gebruiken, wat het achterhalen of blokkeren van de aanvallende machine via de firewall makkelijker maakt."

Het Finse Compter Emergency Response Team liet weten dat het probleem te verhelpen is door 'source address level filtering' toe te passen. Fyodor ziet daarnaast genoeg andere mogelijkheden, zoals het aanpassen van browsers en besturingssystemen als het gaat om het aantal connecties en het gebruik van IDS/IPS om aanvalspatronen te laten herkennen.

Ook beveiligingsexpert Richard Bejtlich twijfelt of het om een nieuwe aanval gaat en ziet zelfs overeenkomsten met het probleem van SYN flooding. Hij adviseert om het lek in perspectief te blijven zien. "Als je kwetsbaar bent en wordt aangevallen, zul je het merken. Zelfs de meest eenvoudige IT-shop kan tegenwoordig de beschikbaarheid monitoren."

Lee laat op zijn eigen blog weten dat Fyodor het niet bij het juiste eind heeft. "Hij noemt een aantal geldige punten; hoewel zijn artikel de werking van sockstress tot op zekere hoogte beschrijft en waarom het efficient is, beschrijft het niet onze aanvallen." Tegenover Steve Gibson betuigen de onderzoekers spijt dat het interview met De Beveiligingsupdate zoveel aandacht heeft gekregen.