Het begon allemaal met een Nederlandse podcast over een Denial of Service lek in het TCP IP-protocol, waardoor aanvallers eenvoudig systemen permanent kunnen laten crashen. Jack Louis en Robert Lee van het Zweedse beveiligingsbedrijf Outpost24, zouden met één computer en slechts tien pakketten een complete website uit de lucht kunnen halen. Het probleem treft niet alleen websites, ook mail en fileservers zijn kwetsbaar, ongeacht het besturingssysteem. Daarnaast zouden ook routers en andere internet appliances risico lopen. Dit artikel bespreekt in het kort wat de aanval voor effect op een getroffen machine had. Vanwege de ernst wilden de twee onderzoekers de details van hun bevindingen nog niet bekend maken. Dat doen ze vrijdag 17 oktober om 15:00 tijdens een presentatie in Finland.

Oorspronkelijk kwamen de onderzoekers al in 2005 achter het probleem, maar twijfelden toen om het publiek in te lichten, aangezien er nog geen informatie beschikbaar was om het probleem op te lossen. Door nu de media op te zoeken en de presentatie te geven, hoopt men dat het publiek bewust wordt en slimmere mensen opstaan die met het probleem willen verhelpen. Het feit dat Jack Louis en Robert Lee geen oplossing kunnen vinden, wil niet zeggen dat die er niet is. Ook vanwege de komst van IPv6 maken de twee zich zorgen. "Dit zal het probleem zeker verdrievoudigen. En er zijn zoveel nieuwe features die worden toegevoegd en niemand maakt zich zorgen over wat de gevolgen zijn. Aanvallen zullen alleen maar erger worden." Daarom besloten de onderzoekers nu aan de "noodrem" te trekken en iedereen te waarschuwen. "Als we over vijf jaar complexere stacks gebruiken en iemand ontdekt dit, dan zijn we echt de sigaar."

Het probleem
Op het internet wordt het TCP/IP protocol gebruikt om gegevens uit te wisselen. Om een verbinding tussen bijvoorbeeld een client en server op te zetten, gebruikt TCP een "three-way handshake". Voordat een client met de server verbinding kan maken, moet die eerst aangeven dat hij bereid is data te ontvangen. Dat gebeurt door een poort voor de verbinding open te zetten, dit heet passive open. Als de passive open is opgezet, kan de client een 'active open' beginnen. Om de verbinding op te zetten vindt de three-way handshake plaats.

1. De active open wordt uitgevoerd door een SYN naar de server te sturen.
2. De server antwoordt door een SYN-ACK te sturen.
3. Als laatste stuurt de client een ACK (meestal SYN-ACK-ACK genoemd) terug naar de server.

Zie ook de onderstaande uitleg en afbeelding:

Host A stuurt een TCP SYNchronize pakket naar Host B Host B ontvangt de SYN van A Host B stuurt een SYNchronize-ACKnowledgement Host A ontvangt de SYN-ACK van B Host A stuurt een ACKnowledge Host B ontvangt de ACK en de TCP verbinding is opgezet.

TCP gaat ervan uit dat als de 3-way handshake heeft plaatsgevonden, je geen kwaad in de zin hebt. Daarna is het mogelijk om allerlei resources te gebruiken. Het probleem is nu dat je helemaal geen garantie hebt dat na de voltooiing van de verbinding, de andere kant geen aanvaller is. De aanvallen van Outpost maken gebruik van deze relatie en belasten de machine zo zwaar dat die het uiteindelijk begeeft. In tegenstelling tot veel aanvallen is in dit geval wel het IP-adres van de aanvaller bekend, maar dan is het vaak al te laat en zal hij ongetwijfeld hiervoor een geïnfecteerde machine van iemand anders gebruiken.

Indianenverhalen
Wat het laatste jaar meer dan duidelijk is geworden, is dat een grote groep van beveiligers moeilijk om kan gaan met "geheimen". Of het nu het DNS-lek van Dan Kaminsky, Clickjacking of TCP/IP DoS betreft, in alle gevallen werden de details achterwege gehouden om later te onthullen. In het geval van Kaminsky deelde hij de informatie met een selecte groep andere beveiligingsonderzoekers, met als gevolg dat anderen zich buitengesloten voelden en zelf de kwetsbaarheid probeerden te ontdekken. Lee heeft de details alleen met een aantal vendors gedeeld, hij wil echter niet zeggen wie.

De scepsis bij veel onderzoekers is begrijpelijk, in het verleden hebben tal van bedrijven en onderzoekers "grote ontdekkingen" aangekondigd en bleek het vaak om niet meer dan een PR-stunt of loze ontdekking te gaan. Ook in dit geval overheerst een sentiment van "eerst zien en dan geloven". Nmap bedenker Fyodor Vaskovich kwam zelfs met de stelling dat het om een oud probleem gaat dat al zeker acht jaar bekend is.

Lee reageerde door te zeggen dat Fyodor het bij het verkeerde eind had, maar die is niet geheel overtuigd. Hij hekelt in ieder geval de werkwijze van de Zweden. "Het grootste probleem dat ik heb is niet met het onderzoek, maar met de manier waarop ze de kwetsbaarheid via interviews met de pers proberen te hypen, zonder details prijs te geven. Ik geloof niet dat het delen van details het internet in gevaar brengt, aangezien er al tal van effectieve DoS-aanvallen tegen TCP services zijn."

Vanwege alle vragen en onzekerheid rondom dit soort ontdekkingen, is Dan Kaminsky van plan om een "hackerraad" op te richten die onder strenge voorwaarden de claims van onderzoekers gaat controleren en zo kan bevestigen dat het inderdaad om een serieus probleem gaat.

Hoe verder?
Aanstaande vrijdag weten we meer en zullen de onderzoekers ook hun Sockstress tool, waarmee de aanval is uit te voeren, demonstreren. Inmiddels is wel de vorige presentatie over het onderwerp online verschenen. Vast staat dat de ideale oplossing, het opnieuw ontwerpen van TCP is uitgesloten. "We gebruiken nog steeds SMTP om e-mail te versturen en de meeste e-mail is spam. Maar doen we SMTP weg omdat het een fout ontwerp was? Als het een perfecte wereld was, zouden we misschien overwegen om TCP opnieuw te doen. Het is een kwaadaardige omgeving, en kwaadaardiger dan veel van de mensen die deze protocollen ontworpen konden denken," aldus Lee, die denkt dat een oplossing die de impact beperkt realistischer is.