Alfonso Maruccia

BlackNurse ammazza i firewall con un ping

Un nuovo attacco telematico prende di mira gli apparati di rete, con l'obiettivo di renderli inservibili impiegando solo una modesta quantità di traffico non desiderato. Traffico che potrebbe risultare difficile da filtrare

Roma - La nuova idea in fatto di cyber-attacchi a bassa intensità si chiama BlackNurse, e secondo i ricercatori che l'hanno analizzata rappresenta un rischio niente affatto ipotetico per gli apparati di rete commercializzati da alcuni dei più importanti produttori mondiali.

BlackNurse prende infatti di mira i firewall hardware marchiati Cisco, Zyxel e Palo Alto. SonicWall, ricevuta e analizzata la segnalazione dei ricercatori, ha invece verificato che i propri apparati sono sicuri. L'attacco consiste nell'invio di un flusso di pacchetti di dati spediti tramite il protocollo ICMP. Lo standard rappresenta un protocollo di "supporto" ai tradizionali TCP e UDP, e generalmente non viene utilizzato per trasmettere dati ma solo informazioni operative e messaggi di errore scambiati tra i dispositivi di rete come router e appunto firewall.

Il protocollo ICMP è utilizzato anche dalle utility per la diagnostica di rete come ping e traceroute, e nel caso di BlackNurse viene usato per trasmettere messaggi di errore di Tipo 3, Codice 3 - messaggi che stanno a indicare una destinazione e una porta irraggiungibili.
Secondo quanto sostengono i ricercatori, basta un volume di traffico a dir poco moderato (15-18 Mbps, circa 40.000 pacchetti di dati al secondo) per mandare in crisi le CPU dei succitati firewall hardware, con il risultato finale di inibire la capacità di processare le informazioni e spingere l'intera rete offline.

Gli esperti si sono detti sorpresi dell'efficacia del nuovo attacco, che può risultare funzionante indipendentemente da data rate del link Internet ed è dotato di caratteristiche difficili da fronteggiare: il blocco totale del traffico ICMP potrebbe risultare impossibile sui dispositivi di rete presi di mira da BlackNurse, e avere comunque effetti negativi sulla gestione del traffico su sessioni IPSec o PPTP.

Alfonso Maruccia
Notizie collegate
16 Commenti alla Notizia BlackNurse ammazza i firewall con un ping
Ordina
  • che usava solo firewall cisco?

    non ricordo come si chiama... massì mannò mabò!

    bhe volevo dirgli: bravo, così si fa.
    non+autenticato
  • Non mi sembra solo un problema Cisco. Tutti i firewall hardware hanno CPU con poca potenza di calcolo perché in teoria dovrebbero solo inoltrare il traffico.
    non+autenticato
  • a parte la distizione tra firewall hardware e software NON ESISTE è pura invenzione dell'ignoranza! Comunque facciamo finta di essere tra informatici che hanno un minimo di conoscenza.
    I Cisco con capacità di firewall non hanno CPU limitate anzi.
    I juniper per esempio hanno delle schede dedicate con FPGA Verilog (circa 6000€ solo il chip) per processare i pacchetti.
    non+autenticato
  • - Scritto da: nessuno
    > a parte la distizione tra firewall hardware e
    > software NON ESISTE è pura invenzione
    > dell'ignoranza!

    JunOS che il sistema operativo di juniper ed è un copia/incolla di FreeBSD, è qualcosa che fa parte dell'hardware o del software secondo te?
    non+autenticato
  • Il firewall è un software PUNTO. Gli unici firewall hardware sono fatti di mattoni e servono ad arginare gli incendi, tutto il resto sono palle markettare per vendere un prodotto a dieci volte il prezzo lock-in inclusi.
    non+autenticato
  • E l'apparecchio come lo chiami?
    Un router con numero di porte ridotto?
    I produttori comunque li vendono come firewalls.
    non+autenticato
  • I produttori, quelli come te, li prendono per il culo.
    non+autenticato
  • Amara veritá!
    non+autenticato
  • - Scritto da: ...
    > I produttori, quelli come te, li prendono per il
    > culo.

    Complimenti. Con questa bella discussione sul sesso degli angeli sei riuscito a spostare la conversazione il più lontano possibile dal problema.
    non+autenticato
  • - Scritto da: caio
    > E l'apparecchio come lo chiami?
    > Un router con numero di porte ridotto?
    > I produttori comunque li vendono come firewalls.

    Lo chiama "il coso coi buchetti per i cavi di rete" (perchè il firewall è software) ... poi si lamenta dei commerciali quando lo cacciano via dall'azienda dicendogli di andare a vendere frutta.
    non+autenticato
  • - Scritto da: lollo
    > JunOS che il sistema operativo di juniper ed è un
    > copia/incolla di FreeBSD, è qualcosa che fa parte
    > dell'hardware o del software secondo
    > te?
    Checkpoint (firewall software quasi per eccellenza) messo su un pc o su un server (hardware) fa parte dell'hardware o del software secondo te?
    Voi commerciale siete la ROVINA DELL'INFORMATICA!
    E' per colpa di gente come voi che ho lasciato!

    Anche su un firewall Cisco ci gira un software (firmware) che elabora i pacchetti e decide se farli passare o no e su interfaccia farla uscire.
    Ma è sempre un software che decide non un hardware.
    Anche dentro un FPGA (emulatore di hardware per ecccellenza) ci viene messo un software per emualare un hardware.
    Hardware è solo l'ammasso di chip, resistenze, condensatori, induttanze e quant'altro che pongono quello che vedi il resto è SOFTWARE ed è quello che decide cosa fare.
    Dicesi software programma tradotto da linguaggio di programmazione a linguaggio macchina, che può essere per x86, arm, powerpc (cisco) e altre architetture.
    non+autenticato