Download whitepapers, case studies
en onderzoeken over ICT-onderwerpen
Computable IT Knowledge Base
   Dagelijks het laatste
ICT-nieuws in je inbox?
Computable e-mail nieuwsbrief

Home pijltje ICT Topics pijltje Security pijltje Nieuws

security / Nieuws

06-10-2008 16:09 | Door Jolein de Rooij | Tags: Internet, TCP/IP, Beveiliging | Er zijn 4 reacties op dit artikel | Permalink

‘TCP/IP-lek’ zit in besturingssysteem

Zweedse onderzoekers zeggen een ‘ontwerpfout in TCP/IP’ ontdekt te hebben waarmee kwaadwillenden elke op internet aangesloten server onbereikbaar kunnen maken. Het probleem zit echter niet in het protocol zelf, maar in implementatie ervan in besturingsystemen.

Twee Zweedse onderzoekers van het internationale beveiligingsbedrijf Outpost24 zeggen op internet aangesloten servers te kunnen platleggen. Dat doen ze door een TCP/IP-sessie op een dusdanige manier te openen dat die nooit wordt afgesloten. Kwaadwillenden kunnen hiermee een Denial of Service-aanval (DoS) uitvoeren op servers, die dan via internet onbereikbaar worden.

Jack Louis en Robert Lee geven meer details op de T2-beveiligingsconferentie, die plaatsvindt op 16 en 17 oktober in Helsinki. Het Finse Computer Emergency Response Team (CERT) is inmiddels al begonnen met de coördinatie van het patchproces.

Netwerkstack

TCP/IP-expert Iljitsch van Beijnum: "Het gaat niet om een fout in TCP/IP, maar in de manier waarop TCP/IP is geïmplementeerd in de netwerkstack van besturingssystemen." Dat biedt volgens van Beijnum mogelijkheden iets aan het probleem te doen: "Je kunt de netwerkstack bijvoorbeeld zo aanpassen dat de sessie wordt afgebroken bij een bepaalde volgorde van ip-pakketjes."

De Zweedse onderzoekers zeggen vijf tot dertig aanvalsmethoden te hebben ontwikkeld op basis van de rammelende implementatie van TCP/IP binnen besturingssystemen. Van Beijnum: "Het gaat om een combinatie van aanvalsmethoden. Zo verlengden de Zweedse onderzoekers de periode waarin een TCP/IP-apparaat een haperende verbinding openhoudt. Daarnaast vergrootten ze het aantal aanvalspakketjes. Daardoor hadden ze de capaciteit om zoveel sessies te starten en aan de praat te houden, dat servers uiteindelijk overbelast raakten en onbereikbaar werden voor ander verkeer."

Van Beijnum: "Niet elke computer of apparaat dat op het internet is aangesloten is hiervoor vatbaar. Alleen applicaties, zoals webservers of mailservers, die continu staan te wachten op binnenkomende berichten, kunnen misbruikt worden."

Tien pakketjes

De DoS-aanval is extra krachtig omdat de onderzoekers maar weinig bandbreedte nodig hebben voor hun aanval. Van Beijnum: "Zo'n tien pakketjes zijn voldoende om één sessie lam te leggen." Hoeveel sessies op deze manier moeten worden overgenomen voordat een server onbereikbaar wordt, verschilt per besturingssysteem. Maar volgens de TCP/IP-expert ligt het aantal benodigde sessies in de orde van "enkele duizenden".

Oerversie

Volgens Lee en Louis doet hun lek zich niet alleen voor in één besturingssysteem. Van Beijnum: "Dat is niet zo vreemd, want alle netwerkstacks zijn gebaseerd op dezelfde oerversie, die eind jaren tachtig is ontwikkeld aan de Berkeley-universiteit."

Lee en Louis ontdekten de kwetsbaarheid van netwerkstacks al in 2005, maar vonden vrijwel geen gehoor bij leveranciers. Van Beijnum: "De reden daarvoor is waarschijnlijk dat dit beveiligingsprobleem zich voordoet binnen een vakgebied waar beveiligingsdeskundigen zich meestal niet op richten."

Dat het zo lang heeft geduurd voordat dit probleem aan het licht kwam, is opmerkelijk. Van Beijnum: "Maar het valt niet uit te sluiten dat internetcriminelen er al jaren misbruik van maken."

bekijk reacties (4) print stuur door
Gerelateerde artikelen
Reacties op dit artikel
Matthieu , 07-10-2008 13:22
Vaag artikel, welke besturingssystemen: Windows, Linux, Unix, Solaris, ...? Welke webservers: apache, IIS, Tomcat, ... ?
 
Klaus Spithost, 07-10-2008 14:39
Ik vermoed dat het voor de meeste OS'en geldt en in de meeste applicaties, die daar geen rekening mee houden, tot problemen kan leiden.
Doe maar eens een paar honderd legale requests naar een willekeurige webserver waarbij de aanvraag naar een document gestart wordt maar niet afgemaakt.
De meeste webservers zijn heel geduldig en wachten tot een minuut of 5 of er misschien nog wat binnenkomt om de aanvraag compleet te maken.
Net zoveel aanvragen starten als dat er concurrent requests mogelijk zijn en je webserver is 5 minuten "afgesloten" van de buitenwereld.
Een relatief klein botnetje kan dan je server vrij effektief onbereikbaar houden.
Een dergelijke aanval is welliswaar redelijk eenvoudig te voorkomen of herstellen door timeouts strakker te zetten of flexibel te maken afhankelijk van de belasting maar ik kan me voorstellen dat er "blokkades" te fabriceren zijn die minder gemakkelijk "af te vangen" zijn.
MP, 08-10-2008 16:09
@Matthieu: Vaag Artikel -> Vage opmerking!
Hoezo besturing systeem?
Wie heeft het over een OS?
Het gaat om een protocol van een datacommunicatie verbinding tussen verschillende systemen: dat is veel erger; alles valt daar onder!
Ted Kraan, 13-10-2008 13:09
Ehm.. OS staat voor Operating System. Het Nederlands daarvoor is Besturingssysteem. Dit staat in de titel.
 
Het klinkt een beetje als de FreeBSD Netwerk stack trouwens. Die vind je in veel systemen terug.
Nieuws
Voeg het Computable ICT-nieuws toe aan uw iGoogle-paginarss
Meer nieuws
rssMeer Security
Security Whitepapers

Security 3.0: de nieuwste generatie beveiligingsoplossingen (klad)

Het gebeurt nog te veel dat ondernemingen zich slechts beveiligen tegen problemen die zich reeds hebben voorgedaan, waardoor er een onbetrouwbaar systeem van controls ontstaat. Deze whitepaper licht ontwikkelingen in beveiligingsoplossingen toe en gaat daarbij met name in op de nieuwste generatie...... Download nu

Security èn toegevoegde waarde met een goede secure desktop solution

De toegenomen mobiliteit van medewerkers en de bijbehorende wens om overal te kunnen communiceren, maar ook overheidsmaatregelen voor informatiemanagement compliceren de rol van IT-afdelingen. Deze whitepaper belicht geïntegreerde security-oplossingen die niet alleen hun primaire taak goed...... Download nu

Meer Security whitepapers

Computable Events Security

event

Computable organiseert in 2008 weer verschillende events met praktijkgerichte informatie over actuele onderwerpen in de ICT:

Security Producten

SonicWALL beveiliging voor EBS en SBS

28-11 12:07   SonicWALL, specialist in de beveiliging van netwerkinfrastructuur, kondigt Email Security en Network Security Appliance voor Windows Small Business Server (SBS) en Essential...

Meer security producten
Security Praktijk

Transparante systeemtoegang voor 17.000 UWV-medewerkers

16-07 11:15   Het moet de nachtmerrie zijn van elke informatiebeveiliger: de toegang regelen van 17.000 medewerkers tot de systemen van een organisatie waarin ruim 22 miljard euro per jaar...

Meer security praktijk
Security Achtergrond

Lege stoelen bij Pinewood

13-11 09:48   Netwerk- en databeveiliger Pinewood groeit. Binnenkort betrekt het bedrijf een tweede etage in een kantoortoren aan de rand van Delft. Daar bevindt zich het zenuwcentrum van...

Meer security achtergrond
Security Opinie

ECM onmisbaar in het 'nieuwe werken'

02-12 12:42   Het nieuwe werken wordt in steeds meer bedrijven toegepast. Mondiale intergratie, opkomst van de digitale revolutie, toenemende vergrijzing, continue connectiviteit en overheids-...

Meer security opinie
IT Directory

Bekijk de leveranciers op het gebied van Security.

VNU Media Bluedome Computable.nl is onderdeel van VNU Media, uitgever van o.a.:
NationaleVacaturebank.nl / Intermediair / Intermediair voor Starters / IntermediairPW / HRbase.nl / Overheidscircuit.nl / InInterim.nl / InOverheid.nl / InIct.nl / InFinancieel.nl / IT Directory.nl / Marketingdirectory.nl / Computable / Emerce / CRN / Vnunet.nl / Tweakers.net / Koopinfo / Management Team / Sprout

Abonneren / Adverteren / Disclaimer / Privacy / Alle rechten voorbehouden © VNU Media