Alfonso Maruccia

Il bug di Linux mette a rischio le comunicazioni TCP

I ricercatori hanno identificato una vulnerabilitÓ introdotta nelle specifiche (relativamente) recenti del protocollo TCP. Un baco di quelli sistemici, pericoloso e che consiglia l'aggiornamento immediato del kernel del Pinguino

Roma - Una specifica introdotta da qualche anno nello standard TCP ha reso il protocollo vulnerabile a un attacco di tipo side-channel, una minaccia resa ancora più pericolosa dal fatto che non ci vuole granché per metterla in atto. Basta sostanzialmente instaurare una comunicazione in rete per candidarsi a diventare una potenziale vittima dei cyber-criminali.

Presentata in occasione del 25esimo Simposio USENIX di Austin, in Texas, la vulnerabilità CVE-2016-5696 coinvolge un gran numero di dispositivi che fanno uso di un sistema operativo basato sulla versione 3.6 del kernel di Linux (introdotta nel 2012) e release successive.

Un malintenzionato potrebbe sfruttare il baco per identificare la numerazione dei pacchetti di dati trasferiti tramite protocollo TCP, avendo cura di essersi procurato il paio di indirizzi IP (di client e server) necessari a condurre l'attacco.
L'identificazione della sequenza nel trasferimento dei pacchetti TCP può poi essere utile per tenere traccia delle abitudini di navigazione dell'utente, terminare le connessioni già stabilite, compromettere le suddette connessioni con dati fasulli o malevoli, terminare le comunicazioni cifrate (su HTTPS) e persino compromettere l'anonimato della rete Tor con la redirezione del traffico attraverso relay specifici.

Un attacco capace di prevedere la sequenza dei pacchetti TCP è una minaccia estremamente seria, avvertono gli esperti, un problema che era molto comune soprattutto in passato (negli anni '90) e che minaccia ogni genere di dispositivo connesso alla rete vista la pervasività del kernel del Pinguino.

Fortunatamente per gli utenti, ma anche per i servizi e i siti telematici, la community di Linux è stata avvertita per tempo dell'esistenza della falla e una patch è stata introdotta a partire della prossima versione del kernel.

Alfonso Maruccia
Notizie collegate
  • SicurezzaGoogle, una pezza per il kernel LinuxMountain View distribuisce una patch fuori programma per una vulnerabilitÓ giÓ attivamente sfruttata da una app disponibile su Play Store che permetteva il rooting dei dispositivi Nexus. Milioni i terminali a rischio
143 Commenti alla Notizia Il bug di Linux mette a rischio le comunicazioni TCP
Ordina
  • Nei repo di openSUSe sugli aggiornamenti di sicurezza (sempre disponibili con grande tempestività), non si fa cenno di alcun aggiornamento per il kernel, anche perché, non c'è nessuna falla!
    Si tratta in realtà di un parametro (challenge ack limit) settato ad un valore troppo basso; il workaround consiste nell'impostare quel parametro ad un valore arbitrariamente alto in modo che chi prova ad attaccare il sistema muoia di vecchiaia prima di riuscirci.

    Siccome si tratta di concetti un po' tecnici, potete documentarvi meglio, ad esempio, sul sito:

    https://blogs.akamai.com/2016/08/vulnerability-in-...

    Rimane da ribadire il fatto che non c'è alcuna vulnerabilità intrinseca, tale da richiedere una riscrittura del codice; si tratta solo di modificare un parametro.
    non+autenticato
  • - Scritto da: Alvaro Vitali
    > Nei repo di openSUSe sugli aggiornamenti di
    > sicurezza (sempre disponibili con grande
    > tempestività), non si fa cenno di alcun
    > aggiornamento per il kernel, anche perché, non
    > c'è nessuna
    > falla!
    > Si tratta in realtà di un parametro (challenge
    > ack limit) settato ad un valore troppo basso; il
    > workaround consiste nell'impostare quel parametro
    > ad un valore arbitrariamente alto in modo che chi
    > prova ad attaccare il sistema muoia di vecchiaia
    > prima di
    > riuscirci.
    >
    > Siccome si tratta di concetti un po' tecnici,
    > potete documentarvi meglio, ad esempio, sul sito:
    >
    >
    > https://blogs.akamai.com/2016/08/vulnerability-in-
    >
    > Rimane da ribadire il fatto che non c'è alcuna
    > vulnerabilità intrinseca, tale da richiedere una
    > riscrittura del codice; si tratta solo di
    > modificare un
    > parametro.
    YAWN....... a leggerli x intero gli articoli....

    The sysctl workaround sets the global challenge ACK counter sufficiently large such that the attacker could not reasonably come up against it and thus cannot infer any additional data about the client-server connection.

    Permanent fix

    For a permanent fix , the 4.7 upstream Linux kernel hardens against this exploit by both randomizing the maximum number challenge acks sent per second, as well as enforcing the per-socket challenge ACK limits in all cases.
    non+autenticato
  • Si, nel senso che i più pigri possono aspettare un eventuale aggiornamento del kernel che conterrà quel parametro già modificato.
    non+autenticato
  • - Scritto da: Alvaro Vitali
    > Si, nel senso che i più pigri possono aspettare
    > un eventuale aggiornamento del kernel che
    > conterrà quel parametro già
    > modificato.
    forse cosi' https://lkml.org/lkml/2016/8/14/815 ti e' piu' chiaro... o forse no.. in fondo chissenefregaSorride
    non+autenticato
  • - Scritto da: bubba
    >
    > forse cosi' https://lkml.org/lkml/2016/8/14/815
    > ti e' piu' chiaro... o forse no.. in fondo
    > chissenefrega
    >Sorride

    Forse non ti è chiaro a te:

    Since we have the global tcp_challenge_ack_limit, this patch allows for
    tcp_challenge_ack_limit to be set to a large value


    O installi la patch o modifichi tu direttamente quel parametro.
    non+autenticato
  • Quelli del linux una ne pensano e cento ne fanno, la discarica pensa per loro: si prende cura dei milioni dispositivi non piu' supportati povero ambiente
    non+autenticato
  • - Scritto da: Supporto
    > Quelli del linux una ne pensano e cento ne fanno,
    > la discarica pensa per loro: si prende cura dei
    > milioni dispositivi non piu' supportati povero
    > ambiente

    Non supporttati da chi?
    non+autenticato
  • (premettendo che sta roba e' GUSTOSA... come non se ne vedevano da anni)... e' interessante il commento del ricercatore/attacker in merito a WINDOWS



    Yue Cao Wed, 13 Jul 2016 11:57:14 -0700
    (...)

    For Windows case, since Windows is a black box for us, we tested its
    Challenge ACK mechanism with Windows Server 2012 R2 Base and Windows
    Server 2008 R2 from Amazon EC2. The results show that Windows also add
    some strategies to mitigate blind in-window attack problem, but the
    mitigated results are not as same as what mentioned in RFC 5961.

    Please let me know if I said something wrong. Thanks for the fix!
    >

    ehehhe lol..... "eccheneso se/come ha implementato l'rfc5961... quella robba e' una blackbox... fatto qualche prova con i soli w.s.2008 e 2012 r2... e PARE abbia implementato qualche strategia per mitigare i blind in-window attack, ma non ho idea quali e le risultanze non sono come quelle menzionate nel rfc suddetto. Ditemi se ho cannato qualcosa o se ne sapete di piu' di questa blackbox"Con la lingua fuori
    non+autenticato
  • - Scritto da: bubba

    > (premettendo che sta roba e' GUSTOSA... come non
    > Ditemi se ho cannato qualcosa o se ne sapete di
    > piu' di questa blackbox"
    >Con la lingua fuori

    Io ne so di pi˙ ma non te lo dico. pepepepepepe Rotola dal ridere
    non+autenticato
  • come sarebbe che windows per loro e una scatola nera incomprensibile? se sono hacker bravi avranno gia reverse enginirizzato windows e hanno il codice sorgente sotto gli occhi
    non+autenticato
  • > ehehhe lol..... "eccheneso se/come ha
    > implementato l'rfc5961... quella robba e' una
    > blackbox... fatto qualche prova con i soli
    > w.s.2008 e 2012 r2... e PARE abbia implementato
    > qualche strategia per mitigare i blind in-window
    > attack, ma non ho idea quali e le risultanze non
    > sono come quelle menzionate nel rfc suddetto.
    > Ditemi se ho cannato qualcosa o se ne sapete di
    > piu' di questa blackbox"
    >Con la lingua fuori

    In realtà mi sa che il ricercatore sapeva benissimo che l'RFC su windows non era stato implementato , che poi Windows ha il suo sistema di socket che sono le stesse dai tempi di windows 95, patchate di volta in volta.

    Solo che una volta mi è capitato di leggere l'eula e sulla licenza Windows c'è scritto che è vietato il reverse engineering, quindi legalmente non si può rendere pubblico nulla di ciò che riguarda l'implementazione del codice closed, senza un apposito discolser.
    non+autenticato
  • Ben detto AiGor! Sorride
    non+autenticato
  • aggiornare solo windows serve a poco se poi usi un browser la cui versione risale a 8 2 ani fa

    io ho un sito e vedo nelle statistiche di utenti che usano firefox 4 ie6 chrome 2014

    poi non lamentatevi del vostro windows a rischio

    mettetevi al sicuro usando solo l'ultimissima versione del vostro browser
    non+autenticato
  • - Scritto da: dovella
    > aggiornare solo windows serve a poco se poi usi
    > un browser la cui versione risale a 8 2 ani
    > fa
    >
    > io ho un sito e vedo nelle statistiche di utenti
    > che usano firefox 4 ie6 chrome
    > 2014
    >
    > poi non lamentatevi del vostro windows a rischio
    >
    > mettetevi al sicuro usando solo l'ultimissima
    > versione del vostro
    > browser

    usano quello che hanno a disposizione
    non+autenticato
  • - Scritto da: dovella
    > aggiornare solo windows serve a poco se poi usi
    > un browser la cui versione risale a 8 2 ani
    > fa
    >
    > io ho un sito e vedo nelle statistiche di utenti
    > che usano firefox 4 ie6 chrome
    > 2014
    >
    > poi non lamentatevi del vostro windows a rischio
    >
    > mettetevi al sicuro usando solo l'ultimissima
    > versione del vostro
    > browser

    Bel tentativo di passare per Dovella, ma non ce la farai mai, lui è eraAngioletto molto ma molto più scemo di te. Rotola dal ridere
    non+autenticato
  • - Scritto da: Il fuddaro
    > Bel tentativo di passare per Dovella, ma non ce
    > la farai mai, lui è eraAngioletto molto ma molto più
    > scemo di te.
    > Rotola dal ridere
    Meh, non esageriamo.
    Dovella era sicuramente un fanboy ma era decisamente migliore di tutta 'sta massa di disadattati che regna su PI, tipo maxsix e nome e cognome.
    non+autenticato
  • E' uno schifo non se ne puˇ pi˙!
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 10 discussioni)