Alfonso Maruccia

BlackNurse ammazza i firewall con un ping

Un nuovo attacco telematico prende di mira gli apparati di rete, con l'obiettivo di renderli inservibili impiegando solo una modesta quantità di traffico non desiderato. Traffico che potrebbe risultare difficile da filtrare

Roma - La nuova idea in fatto di cyber-attacchi a bassa intensità si chiama BlackNurse, e secondo i ricercatori che l'hanno analizzata rappresenta un rischio niente affatto ipotetico per gli apparati di rete commercializzati da alcuni dei più importanti produttori mondiali.

BlackNurse prende infatti di mira i firewall hardware marchiati Cisco, Zyxel e Palo Alto. SonicWall, ricevuta e analizzata la segnalazione dei ricercatori, ha invece verificato che i propri apparati sono sicuri. L'attacco consiste nell'invio di un flusso di pacchetti di dati spediti tramite il protocollo ICMP. Lo standard rappresenta un protocollo di "supporto" ai tradizionali TCP e UDP, e generalmente non viene utilizzato per trasmettere dati ma solo informazioni operative e messaggi di errore scambiati tra i dispositivi di rete come router e appunto firewall.

Il protocollo ICMP è utilizzato anche dalle utility per la diagnostica di rete come ping e traceroute, e nel caso di BlackNurse viene usato per trasmettere messaggi di errore di Tipo 3, Codice 3 - messaggi che stanno a indicare una destinazione e una porta irraggiungibili.
Secondo quanto sostengono i ricercatori, basta un volume di traffico a dir poco moderato (15-18 Mbps, circa 40.000 pacchetti di dati al secondo) per mandare in crisi le CPU dei succitati firewall hardware, con il risultato finale di inibire la capacità di processare le informazioni e spingere l'intera rete offline.

Gli esperti si sono detti sorpresi dell'efficacia del nuovo attacco, che può risultare funzionante indipendentemente da data rate del link Internet ed è dotato di caratteristiche difficili da fronteggiare: il blocco totale del traffico ICMP potrebbe risultare impossibile sui dispositivi di rete presi di mira da BlackNurse, e avere comunque effetti negativi sulla gestione del traffico su sessioni IPSec o PPTP.

Alfonso Maruccia
Notizie collegate
10 Commenti alla Notizia BlackNurse ammazza i firewall con un ping
Ordina
  • che usava solo firewall cisco?

    non ricordo come si chiama... massì mannò mabò!

    bhe volevo dirgli: bravo, così si fa.
    non+autenticato
  • Non mi sembra solo un problema Cisco. Tutti i firewall hardware hanno CPU con poca potenza di calcolo perché in teoria dovrebbero solo inoltrare il traffico.
    non+autenticato
  • a parte la distizione tra firewall hardware e software NON ESISTE è pura invenzione dell'ignoranza! Comunque facciamo finta di essere tra informatici che hanno un minimo di conoscenza.
    I Cisco con capacità di firewall non hanno CPU limitate anzi.
    I juniper per esempio hanno delle schede dedicate con FPGA Verilog (circa 6000€ solo il chip) per processare i pacchetti.
    non+autenticato
  • - Scritto da: nessuno
    > a parte la distizione tra firewall hardware e
    > software NON ESISTE è pura invenzione
    > dell'ignoranza!

    JunOS che il sistema operativo di juniper ed è un copia/incolla di FreeBSD, è qualcosa che fa parte dell'hardware o del software secondo te?
    non+autenticato
  • - Scritto da: lollo
    > JunOS che il sistema operativo di juniper ed è un
    > copia/incolla di FreeBSD, è qualcosa che fa parte
    > dell'hardware o del software secondo
    > te?
    Checkpoint (firewall software quasi per eccellenza) messo su un pc o su un server (hardware) fa parte dell'hardware o del software secondo te?
    Voi commerciale siete la ROVINA DELL'INFORMATICA!
    E' per colpa di gente come voi che ho lasciato!

    Anche su un firewall Cisco ci gira un software (firmware) che elabora i pacchetti e decide se farli passare o no e su interfaccia farla uscire.
    Ma è sempre un software che decide non un hardware.
    Anche dentro un FPGA (emulatore di hardware per ecccellenza) ci viene messo un software per emualare un hardware.
    Hardware è solo l'ammasso di chip, resistenze, condensatori, induttanze e quant'altro che pongono quello che vedi il resto è SOFTWARE ed è quello che decide cosa fare.
    Dicesi software programma tradotto da linguaggio di programmazione a linguaggio macchina, che può essere per x86, arm, powerpc (cisco) e altre architetture.
    non+autenticato
  • > Anche su un firewall Cisco ci gira un software
    > (firmware) che elabora i pacchetti e decide se

    Perché lo chiami firmware se è un software?

    > Ma è sempre un software che decide non un
    > hardware.

    Eh? Che dici se il software chiede all'hardware di un server di fare due giri su se stesso vediamo il server saltare?

    > Anche dentro un FPGA (emulatore di hardware per
    > ecccellenza) ci viene messo un software per

    Eh? Cosa sarebbe l'FPGA?

    > emualare un
    > hardware.

    Eh?

    > Hardware è solo l'ammasso di chip, resistenze,
    > condensatori, induttanze e quant'altro che

    Quindi l'FPGA cosa sarebbe?

    > pongono quello che vedi il resto è SOFTWARE ed è
    > quello che decide cosa
    > fare.

    Cosa far fare all'hardwarde forse è meglio dire.

    > Dicesi software programma tradotto da linguaggio
    > di programmazione a linguaggio macchina, che può
    > essere per x86, arm, powerpc (cisco) e altre
    > architetture.

    Eh? Dopo questa raffica di boiate ti direi che se i commerciali ti hanno convinto a lasciare hanno fatto bene.
    non+autenticato
  • - Scritto da: lollo
    > JunOS che il sistema operativo di juniper ed è un
    > copia/incolla di FreeBSD, è qualcosa che fa parte
    > dell'hardware o del software secondo
    > te?
    materializzami un software visto che ci riesci!
    non+autenticato
  • - Scritto da: nessuno
    > - Scritto da: lollo
    > > JunOS che il sistema operativo di juniper ed è
    > un
    > > copia/incolla di FreeBSD, è qualcosa che fa
    > parte
    > > dell'hardware o del software secondo
    > > te?
    > materializzami un software visto che ci riesci!
    https://en.wikipedia.org/wiki/Mask_ROM
    più o menoOcchiolino
    non+autenticato
  • - Scritto da: Hop
    > - Scritto da: nessuno
    > > - Scritto da: lollo
    > > > JunOS che il sistema operativo di
    > juniper ed
    > è
    > > un
    > > > copia/incolla di FreeBSD, è qualcosa
    > che
    > fa
    > > parte
    > > > dell'hardware o del software secondo
    > > > te?
    > > materializzami un software visto che ci
    > riesci!
    > https://en.wikipedia.org/wiki/Mask_ROM
    > più o menoOcchiolino

    Più meno che più. Resta pur sempre una ROM, alla pari di qualsiasi altra ROM non riscrivibile.
  • - Scritto da: nessuno
    > a parte la distizione tra firewall hardware e
    > software NON ESISTE è pura invenzione
    > dell'ignoranza! Comunque facciamo finta di essere
    > tra informatici che hanno un minimo di
    > conoscenza.
    > I Cisco con capacità di firewall non hanno CPU
    > limitate anzi.
    >
    > I juniper per esempio hanno delle schede dedicate
    > con FPGA Verilog (circa 6000€ solo il chip) per
    > processare i
    > pacchetti.

    Per assurdo a questo particolare attacco sembra reggere meglio il mio routerino da un centinaio di euro (EdgeRouter Lite con OS derivato da Vyatta) di alcuni Cisco pompati.
    Teo_
    2656