 |
|||||||||
|
|||||||||
| SYMBOLIC Antivirus Security Division |
| 20 Aprile 2004 |
| NOME: Vulnerabilità sul protocollo TCP |
Il 20 Aprile 2004 il NISCC (http://www.niscc.gov.uk/), un ente britannico creato per monitorare e cordinare lo svilluppo delle infrastrutture di rete per la difesa contro attacchi elettronici, ha rilasciato un articolo che presenta un attacco contro il protocollo TCP. L'articolo reperibile in: mostra come sia possibile interrompere una connessione TCP utilizzando
meccanismi interni al protocollo stesso. Questa vulnerabilita' puo' essere sfruttata per effettuare il reset delle connessioni TCP, che e' il protocollo usato dalla maggior parte delle applicazioni di Internet, ma i candidati piu' probabili sono le applicazioni che utilizzano una connessione per un lungo periodo di tempo e con porte TCP predicibili. Fra i piu' facili obbiettivi ci sono le connessioni BGP tra i router Internet. Queste connessioni usano porte fisse e sono di lunga durata, le informazioni relative alle connessioni attive sono poi spesso pubblicamente accessibili e facilmente reperibili. Un attacco a queste connessioni comprometterebbe seriamente il funzionamento di Internet su vasta scala, alcune parti di Internet potrebbero subire rallentamenti o diventare irraggiungibili. Ovviamente perche' l'attacco sia possibile ' necessario che i dispositivi utilizzati siano vulnerabili e che le sessioni BGP fra esse non siano autenticate. Queste condizioni potrebbero pero' essere piu' comuni di quanto si pensi. Ad esempio Cisco, uno dei maggiori produttori di dispositivi di networking, e' vulnerabile http://www.cisco.com/warp/public/707/cisco-sa-20040420-tcp-ios.shtml se quindi non sono in atto altre procedure (autenticazione sessioni BGP) l'attacco potrebbe avere successo. Un documento che spiega la vulnerabilita' e' disponibile al seguente
link: http://www.ietf.org/internet-drafts/draft-ietf-tcpm-tcpsecure-00.txt
|