Computerbeveiliging - Hoe je bad guys buiten de deur houdt

[Verwijderd]

11-08-2016, 07:34 door [Account Verwijderd], 5 reacties

Laatst bijgewerkt: 11-08-2016, 07:59

[Verwijderd]

Reacties (5)

11-08-2016, 10:56 door Erik van Straten - Bijgewerkt: 11-08-2016, 11:33

Laatst bijgewerkt: 11-08-2016, 07:59 door Muria: http://news360.com/article/364201678

Computer scientists have discovered a serious Internet vulnerability that allows attackers to terminate connections between virtually any two parties and, if the connections aren't encrypted, inject malicious code or content into the parties' communications.

The vulnerability resides in the design and implementation of RFC 5961, a relatively new Internet standard that's intended to prevent certain classes of hacking attacks.

The problematic RFC 5961 has not yet been fully implemented in Windows or Mac OS X, so those operating systems aren't believed to be vulnerable. By contrast, the Linux operating system kernel, starting with version 3.6 introduced in 2012, has added a largely complete set of functions implementing the standard.

De essentie ontbreekt in deze beschrijving, namelijk off path - d.w.z. het gaat hier niet om een MitM aanval (Man in the Middle, dus met directe toegang tot de verbinding tussen client en server), maar om een internet-connected-device waar dan ook op Internet waarvan de gebruiker weet of vermoedt dat de te kapen verbinding wordt opgezet.

Het originele nieuwsartikel lijkt trouwens geschreven te zijn door Dan Goodin in [1] en refereert naar de publicatie van de onderzoekers [2], Yue Cao, Zhiyun Qian, Zhongjie Wang, Tuan Dao, Srikanth V. Krishnamurthy en Lisa M. Marvel.

Eerdere sheets met uitleg over de achterliggende problematiek en off-path attacks: [3]. Daaruit:

October 28th 2015, door Matthew Luckie, Robert Beverly, Tiange Wu, Mark Allman, kc claffy: [...]
- Paul Watson 2004 advice: strictly validate RST packets, choose ephemeral ports randomly
[...]
- Default behavior of Windows and MacOS is to choose TCP ephemeral ports sequentially
[...]

Aanvulling 11-08-2016, 11:33: uit [4], fix voor Linux:

10 Aug 2016 at 23:23, door Iain Thomson: [...]
As a workaround while patches to fix the problem are prepared and distributed, you can raise the rate limit on your Linux machine or gadget so that it cannot be reached, by appending the following to

/etc/sysctl.conf:

net.ipv4.tcp_challenge_ack_limit = 999999999

And then use sysctl -p to activate the new rule. You need to be root to do this.
[...]

[1] http://arstechnica.com/security/2016/08/linux-bug-leaves-usa-today-other-top-sites-vulnerable-to-serious-hijacking-attacks/
[2] http://www.cs.ucr.edu/~zhiyunq/pub/sec16_TCP_pure_offpath.pdf
[3] https://www.caida.org/~mjl/imc-blind.pdf
[4] http://www.theregister.co.uk/2016/08/10/linux_tor_users_open_corrupted_communications/

11-08-2016, 11:11 door Anoniem

FYI. Gewoon even nagaan in jouw kernel source of je hiervoor vatbaar bent.

http://cve.circl.lu/cve/CVE-2016-5696

11-08-2016, 11:17 door Anoniem

Als aanvulling op post van Erik van Straten. Dit legt het beter uit. http://news.softpedia.com/news/tcp-flaw-in-linux-servers-allows-web-traffic-hijacking-507182.shtml

11-08-2016, 14:07 door Anoniem

Het zou ook al wel helpen als alle providers die geen BCP38 implementeren van het net gekinkeld werden.
Wanneer wordt daar nou eens vaart achter gezet?

11-08-2016, 20:54 door [Account Verwijderd]

[Verwijderd]

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Mijn NAS bevat een backdoor. Is de fabrikant aansprakelijk?

17-04-2024 door Arnoud Engelfriet

Juridische vraag: Ik zit met het volgende. Ik heb dus een D-Link NAS waar een backdoor account in aanwezig is. Nu begrijp ik ...

9 reacties

Lees meer

Vacature

Cyber Security Trainer

"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”

Are you ready for a challenge?

Lees meer

WhatsApp moet open van Europa en dat kan veilig, maar kent ook risico’s

10-04-2024 door Arnoud Engelfriet

Juridische vraag: Diverse media meldden dat WhatsApp van de Europese Unie haar dienst moet openstellen voor andere apps, zoals ...

12 reacties

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

[Verwijderd]

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Wachtwoord Vergeten

Password Reset

Registreren