Nieuws / Security

Home pijltje Alle Artikelen pijltje Nieuws pijltje Security

‘TCP/IP-lek’ zit in besturingssysteem

06-10-2008 16:09 | Door Jolein de Rooij | Lees meer artikelen over: TCP/IP | Er zijn 4 reacties op dit artikel | Permalink

Zweedse onderzoekers zeggen een ‘ontwerpfout in TCP/IP’ ontdekt te hebben waarmee kwaadwillenden elke op internet aangesloten server onbereikbaar kunnen maken. Het probleem zit echter niet in het protocol zelf, maar in implementatie ervan in besturingsystemen.

Twee Zweedse onderzoekers van het internationale beveiligingsbedrijf Outpost24 zeggen op internet aangesloten servers te kunnen platleggen. Dat doen ze door een TCP/IP-sessie op een dusdanige manier te openen dat die nooit wordt afgesloten. Kwaadwillenden kunnen hiermee een Denial of Service-aanval (DoS) uitvoeren op servers, die dan via internet onbereikbaar worden.

Jack Louis en Robert Lee geven meer details op de T2-beveiligingsconferentie, die plaatsvindt op 16 en 17 oktober in Helsinki. Het Finse Computer Emergency Response Team (CERT) is inmiddels al begonnen met de coördinatie van het patchproces.

Netwerkstack

TCP/IP-expert Iljitsch van Beijnum: "Het gaat niet om een fout in TCP/IP, maar in de manier waarop TCP/IP is geïmplementeerd in de netwerkstack van besturingssystemen." Dat biedt volgens van Beijnum mogelijkheden iets aan het probleem te doen: "Je kunt de netwerkstack bijvoorbeeld zo aanpassen dat de sessie wordt afgebroken bij een bepaalde volgorde van ip-pakketjes."

De Zweedse onderzoekers zeggen vijf tot dertig aanvalsmethoden te hebben ontwikkeld op basis van de rammelende implementatie van TCP/IP binnen besturingssystemen. Van Beijnum: "Het gaat om een combinatie van aanvalsmethoden. Zo verlengden de Zweedse onderzoekers de periode waarin een TCP/IP-apparaat een haperende verbinding openhoudt. Daarnaast vergrootten ze het aantal aanvalspakketjes. Daardoor hadden ze de capaciteit om zoveel sessies te starten en aan de praat te houden, dat servers uiteindelijk overbelast raakten en onbereikbaar werden voor ander verkeer."

Van Beijnum: "Niet elke computer of apparaat dat op het internet is aangesloten is hiervoor vatbaar. Alleen applicaties, zoals webservers of mailservers, die continu staan te wachten op binnenkomende berichten, kunnen misbruikt worden."

Tien pakketjes

De DoS-aanval is extra krachtig omdat de onderzoekers maar weinig bandbreedte nodig hebben voor hun aanval. Van Beijnum: "Zo'n tien pakketjes zijn voldoende om één sessie lam te leggen." Hoeveel sessies op deze manier moeten worden overgenomen voordat een server onbereikbaar wordt, verschilt per besturingssysteem. Maar volgens de TCP/IP-expert ligt het aantal benodigde sessies in de orde van "enkele duizenden".

Oerversie

Volgens Lee en Louis doet hun lek zich niet alleen voor in één besturingssysteem. Van Beijnum: "Dat is niet zo vreemd, want alle netwerkstacks zijn gebaseerd op dezelfde oerversie, die eind jaren tachtig is ontwikkeld aan de Berkeley-universiteit."

Lee en Louis ontdekten de kwetsbaarheid van netwerkstacks al in 2005, maar vonden vrijwel geen gehoor bij leveranciers. Van Beijnum: "De reden daarvoor is waarschijnlijk dat dit beveiligingsprobleem zich voordoet binnen een vakgebied waar beveiligingsdeskundigen zich meestal niet op richten."

Dat het zo lang heeft geduurd voordat dit probleem aan het licht kwam, is opmerkelijk. Van Beijnum: "Maar het valt niet uit te sluiten dat internetcriminelen er al jaren misbruik van maken."

Plaats dit artikel op LinkedIn
Plaats dit artikel op Twitter
Reacties op dit artikel
Geen ratingMatthieu , 07-10-2008 13:22
Vaag artikel, welke besturingssystemen: Windows, Linux, Unix, Solaris, ...? Welke webservers: apache, IIS, Tomcat, ... ?
 
Geen ratingKlaus Spithost, 07-10-2008 14:39
Ik vermoed dat het voor de meeste OS'en geldt en in de meeste applicaties, die daar geen rekening mee houden, tot problemen kan leiden.
Doe maar eens een paar honderd legale requests naar een willekeurige webserver waarbij de aanvraag naar een document gestart wordt maar niet afgemaakt.
De meeste webservers zijn heel geduldig en wachten tot een minuut of 5 of er misschien nog wat binnenkomt om de aanvraag compleet te maken.
Net zoveel aanvragen starten als dat er concurrent requests mogelijk zijn en je webserver is 5 minuten "afgesloten" van de buitenwereld.
Een relatief klein botnetje kan dan je server vrij effektief onbereikbaar houden.
Een dergelijke aanval is welliswaar redelijk eenvoudig te voorkomen of herstellen door timeouts strakker te zetten of flexibel te maken afhankelijk van de belasting maar ik kan me voorstellen dat er "blokkades" te fabriceren zijn die minder gemakkelijk "af te vangen" zijn.
Geen ratingMP, 08-10-2008 16:09
@Matthieu: Vaag Artikel -> Vage opmerking!
Hoezo besturing systeem?
Wie heeft het over een OS?
Het gaat om een protocol van een datacommunicatie verbinding tussen verschillende systemen: dat is veel erger; alles valt daar onder!
Geen ratingTed Kraan, 13-10-2008 13:09
Ehm.. OS staat voor Operating System. Het Nederlands daarvoor is Besturingssysteem. Dit staat in de titel.
 
Het klinkt een beetje als de FreeBSD Netwerk stack trouwens. Die vind je in veel systemen terug.
Meer Nieuws
Volg het Computable ICT-nieuws via TwitterVoeg het Computable ICT-nieuws toe aan je iGoogle-paginaAbonneer je op de Computable ICT-nieuws RSS-feed

10-02   Infor helpt Ferrari met bouwen F1-auto's

10-02   Tester Four Oaks in Israëlische handen

10-02   IS Online en Tres zijn klaar voor Elfstedentocht

10-02   SecureLink migreert Microsoft-diensten Atradius

Aantal reacties
13

10-02   Nieuwe software brengt Vitens in problemen

10-02   Ex-Misys-topman moet CSC uit penarie helpen

10-02   Veenman en 20/20 vision adviseren samen klant

10-02   Cisco maakt 2,2 miljard dollar kwartaalwinst

10-02   Misys en Temenos willen fuseren

10-02   Raet stelt Schrijnemaekers als nieuwe CFO aan

Meer Security
rss

10-02  SecureLink migreert Microsoft-diensten Atradius

09-02  Vodafone: Wij spelen klantinformatie niet door

Aantal reacties
1

09-02  Lang leve de hackers!

Aantal reacties
2

09-02  'Ook met cookiewet is gebruiker niet anoniem'

Aantal reacties
1

09-02  'KPN koppelt ID aan internetverkeer'

Aantal reacties
4

08-02  'Nieuwe cookiewet is eenvoudig te omzeilen'

Aantal reacties
3

07-02  Eigen werknemer kan ook een vijand zijn

Aantal reacties
9

03-02  'Overheid vreest voor veiligheid in de cloud'

01-02  F5 beschermt openbare websites

31-01  Publieksvoorlichting is belangrijke taak voor NCSC
Gerelateerde artikelen
Aantal reacties
2

18-09-08  EU wil richtlijnen voor veiliger internet

Aantal reacties
6

18-08-08  Internetbankieren onveilig ondanks 3x kloppen

13-08-08  DNS-lek ondermijnt vertrouwen in internet

Aantal reacties
4

18-04-07  DNS-lek in Windows Server groot risico

20-12-06  Vista helpt bij netwerkbeheer

16-02-05  TCP/IP-uitvinders krijgen Turing-prijs

Security whitepapers

Best Practices om laptop-data te beschermen

In een tijd waarin steeds meer werknemers mobiel hun werk doen en de hoeveelheid data exponentieel toeneemt, is......

Top 10 Reagerende members
  Aantal reacties
met 3+ sterren		Gemiddelde
waardering
Klik voor meer info1 154 6.4
Klik voor meer info2 120 6.7
Klik voor meer info3 109 6.4
Klik voor meer info4 79 6.6
Klik voor meer info5 53 6.1
Klik voor meer info6 49 6.3
Klik voor meer info7 47 6.5
Klik voor meer info8 43 6.1
Klik voor meer info9 43 6.0
Klik voor meer info10 40 6.3
VNU Media Computable.nl is onderdeel van VNU Media, uitgever van o.a.:
NationaleVacaturebank.nl | Intermediair | IntermediairPW | Carrièregids.nl | CompanyRating | NationaleStagebank.nl | Banen.nl | HRbase.nl | HRdirectory.nl | Financebase.nl | InIct.nl | InInterim.nl | InOverheid.nl | Overheidscircuit.nl | Computable | CRN | IT Knowledge Base | Tweakers.net | Recruitmentbloggers

Sitemap | Abonneren | Adverteren | Algemene voorwaarden | Disclaimer | Privacy | Alle rechten voorbehouden © 1995-2012 VNU Media