21 de Abril, 2004

La tecnología de internet vulnerable a hackers

Con este titular tan suculento e inexacto (Internet Technology Vulnerable to Hackers, el original) nos acerca carnaza Yahoo! News. ¿Picaremos? :D

El gobierno británico informa de ello (anuncio del NISCC), y parece que asusta :o.

¿Qué ha pasado aquí? En Slashdot comentan la jugada, y yo diría que la novedad no es la vulnerabilidad, sino cómo se está publicitando. Mejor me explico un poco :P.

Hay una "nueva" posibilidad de ataque en el protocolo TCP, bautizada como TCP Reset Spoofing. Resulta que en las implementaciones de pilas TCP de numerosos fabricantes se puede dar el caso de que un paquete RESET se falsifique por un tercero para conseguir cerrar una conexión legítima entre dos máquinas. Esto siempre se ha creído que era posible (por eso es nueva entre comillas), pero en una implementación conservadora de la pila resulta más fácil de lo que se pensaba (aunque no es trivial en absoluto).

No es más que una denegación de servicio, a sumar a la lista de denegaciones posibles en TCP (si alguien ha sufrido alguna vez un SYN flood, sabe lo fiable que es TCP :D). Además requiere de una conexión TCP en un puerto conocido, que se mantenga establecida mucho tiempo, ... y otras condiciones varias.

Aunque no es del todo cierto que sea una denegación de servicio más. Resulta que los Internet Service Provider (ISP), que son los que realmente crean internet mediante el enrutamiento de paquetes, basan su funcionamiento en el protocolo BGP, que requiere de una conexión TCP constante para trabajar y que convierte a los enrutadores en candidatos para el ataque. Un ataque calculado a esos enrutadores podría dejar gran cantidad de rutas innacesibles, y parte de lo que conocemos como internet fuera de nuestro alcance. ¿Cuanto? Dependería del ISP, del ataque y del enrutador afectado.

Comentan en Slashdot que Cisco ya propuso una extensión a BGP por el año 1998, y hay un Request For Comments, en la que se proponía el uso de MD5 para solucionar lo que el citado RFC menciona como '... the introduction of spoofed TCP segments into the connection stream. Of particular concern are TCP resets'. No estoy puesto en el tema de BGP, pero parece que es una práctica aconsejable usar claves MD5.

Ya no se si entrar en la viabilidad del ataque coordinado contra enrutadores con BGP, porque aparentemente hay una forma de evitar el problema (con MD5). Si hay un peligro real, solo se me ocurre que sea porque alguien no haya hecho sus deberes.

Por lo demás los protocolos sobre TCP con conexiones con tiempos de vida cortos son mucho más complicados de atacar, y además recordemos que es una denegación de servicio: solo nos cerrarían una conexión.

Es buena señal que ya se están tomando cartas en el asunto por parte de los fabricantes. Juniper Networks parece que ya se ha puesto las pilas, y Theo de Raadt dice que OpenBSD maneja el asunto bastante bien (explica algo más), aunque el problema está realmente en lo ya mencionado de los enrutadores.

Ya veremos como acaba este tema, parece tan interesante como complejo. Igual nos encontramos ante un buen momento de hacer campaña de IPv6 (y su TCP6, que problemas tendrá :D).

Anotación por Juan J. Martínez.

Hay 1 comentario

Gravatar

Vía netcraft:

Secret Repairs Preceded TCP Flaw Release
http://news.netcraft.com/archives/2004/04/21/secret_repairs_preceded_tcp_flaw_release.html

Se sigue pensando que no era para tanto, que ha habído mucha exageración en todo este asunto.

por Juanjo, en 2004-04-23 22:49:43

Los comentarios están cerrados: los comentarios se cierran automáticamente una vez pasados 30 días. Si quieres comentar algo acerca de la anotación, puedes hacerlo por e-mail.