Hace unos días Robert E. Lee y Jack C. Louis de Outpost24 anunciaron su investigación sobre fallas de diseño en el protocolo TCP que podrían ser explotadas para generar un DoS a un servicio, y en algunos casos a todo el servidor. Los detalles técnicos sobre sus descubrimientos serán publicados la semana que viene durante la conferencia finlandesa T2.
Es interesante como muchos han aprendido las lecciones de Kaminsky, y anuncian grandes descubrimientos que recién serán publicados durante la próxima conferencia de seguridad. Sin dudas esta metodología ha demostrado ser lucrativa, ya que como mínimo tienen a todo el mundo hablando de su empresa por algunas semanas.
Después esta el fenómeno de todos los investigadores que postean en sus blogs especulaciones sobre cual es la vulnerabilidad, intentando ser los primeros en descubrir cual es la falla que será presentada. Sin mencionar, que hoy en día todos los fallos descubiertos van a destruir la Internet, paso con lo del DNS, después lo de BGP, y ahora con TCP.
Respecto a la parte técnica hay poca información, pero en principio el ataque comienza con el atacante estableciendo una conexión TCP al servidor desde userland, por lo que el atacante no tiene que mantener el estado de la conexión, y quien gasta recursos es el servidor. Pero esto no basta para generar un DoS efectivo, razón por la que se cree que el ataque podría venir después del handshake, jugando con varios estados de TCP y con los timers de expiración de conexiones que ya no se encuentran activas.
En cualquier caso, los mayores riesgos parecen encontrarse en stacks y servicios pobremente implementados, y no tendremos otra opción que aguardar hasta la presentación de la semana que viene.
Más Info:
- Podcast con entrevista a Louis y Lee (adelantar hasta el minuto 5 para inglés, o ver transcript).
- Post de FX, Post de Fyodor, Post de breakingpoints, Post en Slashdot.
Es interesante como muchos han aprendido las lecciones de Kaminsky, y anuncian grandes descubrimientos que recién serán publicados durante la próxima conferencia de seguridad. Sin dudas esta metodología ha demostrado ser lucrativa, ya que como mínimo tienen a todo el mundo hablando de su empresa por algunas semanas.
Después esta el fenómeno de todos los investigadores que postean en sus blogs especulaciones sobre cual es la vulnerabilidad, intentando ser los primeros en descubrir cual es la falla que será presentada. Sin mencionar, que hoy en día todos los fallos descubiertos van a destruir la Internet, paso con lo del DNS, después lo de BGP, y ahora con TCP.
Respecto a la parte técnica hay poca información, pero en principio el ataque comienza con el atacante estableciendo una conexión TCP al servidor desde userland, por lo que el atacante no tiene que mantener el estado de la conexión, y quien gasta recursos es el servidor. Pero esto no basta para generar un DoS efectivo, razón por la que se cree que el ataque podría venir después del handshake, jugando con varios estados de TCP y con los timers de expiración de conexiones que ya no se encuentran activas.
En cualquier caso, los mayores riesgos parecen encontrarse en stacks y servicios pobremente implementados, y no tendremos otra opción que aguardar hasta la presentación de la semana que viene.
Más Info:
- Podcast con entrevista a Louis y Lee (adelantar hasta el minuto 5 para inglés, o ver transcript).
- Post de FX, Post de Fyodor, Post de breakingpoints, Post en Slashdot.
1 comentario:
Cualquier día de estos aparece uno anunciando el ping de la muerte... :P
Publicar un comentario