TCP, nuovo buco nel buco

L'anziano protocollo di Internet, il TCP, rivela un grave baco che potrebbe consentire attacchi anche molto sofisticati e irriconoscibili per gli attuali sistemi di sicurezza. Una vulnerabilità per molti aspetti già nota da anni

Waltham (USA) - Nemmeno il buon vecchio TCP, uno dei protocolli cardine della rete Internet, è esente da debolezze e bachi. L'ultimo scoperto, che non ha mancato di sollevare un po ' di allarmismo, è stato annunciato in questi giorni da Guardent, un'azienda americana che si occupa di sicurezza.

La crepa sembra molto simile a quella annunciata da Cisco qualche settimana fa per il suo software IOS, e sfrutterebbe, ancora una volta, una ben conosciuta debolezza del TCP legata alla generazione del famigerato ISN (Initial Sequence Numbers): questo è un valore casuale conosciuto soltanto da host ricevente e host trasmittente per tenere informazioni sulla sessione in corso ed identificare i pacchetti legittimi.

L'ISN dovrebbe prevenire che il flusso originario dei dati possa venire dirottato (con una tecnica nota come hijacking) o mischiato con pacchetti fasulli da un eventuale malintenzionato "in ascolto". Ma che succederebbe se la generazione di questo numerino in realtà non fosse del tutto casuale e si potesse in qualche modo predire? Che l'hijacking diverrebbe una cosa fattibile, come del resto lo è sempre stata, a patto di possedere cognizioni e abilità tecniche fuori dal comune.
Quello che Guardent avrebbe dunque scoperto non è del tutto nuovo agli esperti di sicurezza; rimane il fatto che questa nuova debolezza dell'ISN colpirebbe ancora numerose piattaforme e renderebbe possibile prevedere il numero di sequenza dei pacchetti con una precisione definita "allarmante".
22 Commenti alla Notizia TCP, nuovo buco nel buco
Ordina
  • MA CHI LI SCRIVE QUESTI ARTICOLI ?

    In merito all'articolo vorrei segnalare che :

    La generazione dell'ISN e' una questione di
    "implementazione" del protocollo non del
    protocollo in se.

    Non conosco queste nuove versioni del protocollo
    IP. Ne del protocollo TCP.
    Quali campi sono stati cambiati ?
    Sono stati introdotti nuovi campi ?
    L'header IP non e' piu' quella sequenza di 20 byte
    che conoscevo io una volta ?

    Forse e' stata modificata qualche sequenza di handshake ?
    Oppure ci si riferisce ancora al tuning delle
    "implementazioni" del protocollo.

    Scusate ma se scrivete una libreria in C,
    e questa contiene degli errori o dei bachi,
    voi pensate di avere trovato :
    Nuovi bachi nel "linguaggio C", ecco le prove
    non+autenticato
  • in effetti sono un po'infastidito dal fatto che P.I. dia risalto a queste operazioni puramente speculative, il titolo "TCP, nuovo buco nel buco" sarebbe degnoo di qualunque quotidiani medio italiano, ma non di un riferimento come P.I.
    IMHO
    Speriamo che almeno ci abbia guadagnato bene.
    non+autenticato
  • Anche a me un po' mi dispiace che si rivolgano queste insinuazioni ad un quotidiano che non ti fa pagare nulla per leggerlo e che non ti annoia con 200 banner... Senza contare che se aveste letto la notizia, invece di fermarvi al titolo, avreste trovato le vostre risposte.
    Ave PI...

    Felix

    - Scritto da: Sdaz
    > in effetti sono un po'infastidito dal fatto
    > che P.I. dia risalto a queste operazioni
    > puramente speculative, il titolo "TCP, nuovo
    > buco nel buco" sarebbe degnoo di qualunque
    > quotidiani medio italiano, ma non di un
    > riferimento come P.I.
    > IMHO
    > Speriamo che almeno ci abbia guadagnato bene.
    non+autenticato
  • > Anche a me un po' mi dispiace che si
    > rivolgano queste insinuazioni ad un
    > quotidiano che non ti fa pagare nulla per
    > leggerlo e che non ti annoia con 200
    > banner... Senza contare che se aveste letto
    > la notizia, invece di fermarvi al titolo,
    > avreste trovato le vostre risposte.

    Io veramente la notizia l'ho letta tutta e l'ho trovata alquanto contraddittoria. Visto anche che:
    1) PI è redatto da tecnici.
    2) Più volte PI ha stigmatizzato gli strafalcioni buttati fuori dagli altri organi di informazione (ANSA in primis)

    mi sembra piuttosto strano che PI abbia pubblicato un annuncio così inconsistente. Con questo non dubito della sua buona fede, né mi passa per la testa che PI ci abbia 'guadagnato' qualcosa dalla pubblicazione.
    non+autenticato
  • > mi sembra piuttosto strano che PI abbia
    > pubblicato un annuncio così inconsistente.
    > Con questo non dubito della sua buona fede,
    > né mi passa per la testa che PI ci abbia
    > 'guadagnato' qualcosa dalla pubblicazione.

    Neanche io dubito della competenza di chi scrive P.I. ed infatti il testo era equilibrato anche se comunque si continuava a parlare del protocollo piuttosto che delle sue implementazioni, ma allora perche' un titolo cosi' strillato ?
    non+autenticato
  • Caspiterina che notizia, questo scoinvolge
    completamente le mie certezze. Mi vedro'
    costretto a modificare il mio flusso di
    sicurezza, non posso piu' permettermi di
    utilizzare il telnet per collegarmi al
    RAS della mia azienda. Poi' potrebbero
    indovinare la sequenza dei pacchetti quando
    mi collego al mio sito internet con quella
    pagina web comoda comoda che contiene
    tutte le password dei server che gestisco..
    me tapino. Come faro a ricordarmi delle
    password difficili come "pippo", "pluto" e
    "paperino"... soprattutto associate con
    il rispettivo IP address (195.210.91.1,
    195.210.91.2 e 195.210.91.3). Saro' costretto
    ad annotarmelo in un foglietto di carta da
    appiccicare sotto la scrivania... E si
    questa storia del numero che identifica la
    sequenza dei pacchetti mi cambia proprio
    la vita. Approposito, ma cos'e' un pacchetto?


    <nota quasi seria>
    Complimenti alla societa' di sicurezza,
    quasi quasi li chiamo per implementare
    la sicurezza delle mie macchine..Con la lingua fuorippPPrr..
    </nota quasi seria>
    non+autenticato
  • all tha net 'll be hijackaah... no free faith.. only pain for j00...
    fear in y2k+1

    the matrix has you
    non+autenticato
  • Ecco un altro segaiolo che gioca a matrix....
    Tutte braccia rubate all'agricoltura....

    - Scritto da: hijacker
    > all tha net 'll be hijackaah... no free
    > faith.. only pain for j00...
    > fear in y2k+1
    > the matrix has you
    non+autenticato
  • .. ma sapessi quanti pseudo pirati ho conosciuto .. in realta' la loro spavalderia e' esclusivamente ignoranza ..

    - Scritto da: hijacker
    > all tha net 'll be hijackaah... no free
    > faith.. only pain for j00...
    > fear in y2k+1
    >
    > the matrix has you
    non+autenticato

  • Smetti di fumare la cicoria, che ti fa male

    > all tha net 'll be hijackaah... no free
    > faith.. only pain for j00...
    > fear in y2k+1
    > the matrix has you
    non+autenticato


  • - Scritto da: hijacker
    > all tha net 'll be hijackaah... no free
    > faith.. only pain for j00...
    > fear in y2k+1
    >
    > the matrix has you

    patetico.
    non+autenticato


  • - Scritto da: hijacker
    > all tha net 'll be hijackaah... no free
    > faith.. only pain for j00...
    > fear in y2k+1
    >
    > the matrix has you

    OIII si comincia a dare segni di demenza senile:
    non+autenticato


  • - Scritto da: hijacker
    > all tha net 'll be hijackaah... no free
    > faith.. only pain for j00...
    > fear in y2k+1
    >
    > the matrix has you

    la sera mangia qualcosa di + leggereo se no poi fai sogni strani...
    non+autenticato


  • - Scritto da: hijacker
    > all tha net 'll be hijackaah... no free
    > faith.. only pain for j00...
    > fear in y2k+1
    >
    > the matrix has you

    "no free faith" nessuna libera fede? che senso ha? .
    hai usato world.altavista.com per tradurre italiano -> inglese ?
    non+autenticato
  • Innanzitutto non si tratta di un 'buco' del protocollo TCP, ma casomai di alcune sue implementazioni. Se si tratta di un problema che affligge alcune macchine e non altre, significa che non siamo di fronte a un problema strutturale,
    non serve rilasciare versioni nuove dei protocolli TCP/IP (Ove per nuove si intende 'con funzionalità aggiunte'), ma semplicemente correggere quelle esistenti in modo che la generazione dell'ISN sia veramente casuale.
    A questo punto non si capisce il motivo dell'annuncio dato da Guardent: un annuncio del genere non è fatto per i profani ma appunto per chi deve curare la sicurezza dei propri sistemi, quindi si suppone sia un addetto ai lavori. Un addetto ai lavori dovrebbe già sapere di questa possibilità, e sapere che è una 'possibilità', non un problema strutturale come sembrerebbe dai titoli. Dovrebbe sapere anche che exploit che tentano di predire l'ISN per disturbare la connessione ed eventualmente interromperla esistono da anni, cosa che evidentemente chi ha emesso l'annuncio non sapeva.
    A chi serve un annuncio del genere? Solo a chi l'ha emesso, è tutta pubblicità.

    Quasi quasi domani mi invento la 'ItalyGuard: Security expert' e mando un comunicato stampa alle varie agenzie (Tanto l'ANSA lo passa subito, basta che 'faccia notizia', non serve che sia credibile):
    "Scoperta pericolosa debolezza nel protocollo HTTP: i server IIS basati su NT 4, se non correttamente aggiornati alle ultime versioni, presentano varie debolezze che consentono ad un Hacker qualsiasi di penetrare, accedere ai file e modificarli." Vediamo se dopo lo riprende anche PI Sorride
    non+autenticato


  • - Scritto da: DPY
    Non posso che essere d'accordo, il problema e' che oggi le notizie sensazionali servono, e l'incompetenza dilaga.

    non+autenticato
  • D'accordo al 100%

    - Scritto da: DPY
    > Innanzitutto non si tratta di un 'buco' del
    > protocollo TCP, ma casomai di alcune sue
    > implementazioni. Se si tratta di un problema
    > che affligge alcune macchine e non altre,
    > significa che non siamo di fronte a un
    > problema strutturale,
    > non serve rilasciare versioni nuove dei
    > protocolli TCP/IP (Ove per nuove si intende
    > 'con funzionalità aggiunte'), ma
    > semplicemente correggere quelle esistenti in
    > modo che la generazione dell'ISN sia
    > veramente casuale.
    > A questo punto non si capisce il motivo
    > dell'annuncio dato da Guardent: un annuncio
    > del genere non è fatto per i profani ma
    > appunto per chi deve curare la sicurezza dei
    > propri sistemi, quindi si suppone sia un
    > addetto ai lavori. Un addetto ai lavori
    > dovrebbe già sapere di questa possibilità, e
    > sapere che è una 'possibilità', non un
    > problema strutturale come sembrerebbe dai
    > titoli. Dovrebbe sapere anche che exploit
    > che tentano di predire l'ISN per disturbare
    > la connessione ed eventualmente
    > interromperla esistono da anni, cosa che
    > evidentemente chi ha emesso l'annuncio non
    > sapeva.
    > A chi serve un annuncio del genere? Solo a
    > chi l'ha emesso, è tutta pubblicità.
    >
    > Quasi quasi domani mi invento la
    > 'ItalyGuard: Security expert' e mando un
    > comunicato stampa alle varie agenzie (Tanto
    > l'ANSA lo passa subito, basta che 'faccia
    > notizia', non serve che sia credibile):
    > "Scoperta pericolosa debolezza nel
    > protocollo HTTP: i server IIS basati su NT
    > 4, se non correttamente aggiornati alle
    > ultime versioni, presentano varie debolezze
    > che consentono ad un Hacker qualsiasi di
    > penetrare, accedere ai file e modificarli."
    > Vediamo se dopo lo riprende anche PI Sorride
    non+autenticato
  • Ma che è un partito che quoti tutto e dici che sei d'accordo?
    Impariamo a quotare plz.


    non+autenticato
  • giusto, impariamo a quotare!
    d'accordo al 100% su questo..Occhiolino

    - Scritto da: plzplz
    > Ma che è un partito che quoti tutto e dici
    > che sei d'accordo?
    > Impariamo a quotare plz.
    >
    >
    non+autenticato

  • roba vecchia: minchia, ogni tanto una di ste agenzie americane per la sicurezza tirano fuori una puttanata per vedere scritto il proprio nome da qualche parte e incrementare il proprio volume di affari.

    pezzenti.
    non+autenticato
  • Concordo pienamente con tutto cio' che hai detto...

    Linux ad esempio ha una generazione randomica del suddetto numero... proprio perchè il problema era maggiormente presente in windows e in versioni precedenti del kernel di linux dove la generazione del numero era sequenziale...

    Ciao
    non+autenticato

  • DPY, mi puoi mandare un email ?

    Grazie,

    Jan
    non+autenticato