Londra – Il National Infrastructure Security Co-ordination Centre ( NISCC ) inglese sta in questi giorni lanciando l’allarme su di una vulnerabilità potenzialmente grave che affligge uno dei protocolli di comunicazione su cui poggia l’infrastruttura di Internet: il Transmission Control Protocol (TCP).
Secondo l’ advisory pubblicato dal NISCC, basato su di un rapporto redatto dal ricercatore di sicurezza Paul Watson, l’impatto della falla dipende sostanzialmente dall’implementazione del TCP e dall’applicazione che ne fa uso: in alcuni contesti il livello di pericolosità andrebbe considerato “critico”.
“Se sfruttata, la vulnerabilità potrebbe consentire ad un aggressore – si legge nel bollettino del NISCC – di generare una condizione di denial of service contro le connessioni TCP esistenti, con la conseguenza di una prematura fine della sessione”.
L’ente inglese ha affermato che il problema interessa “ogni servizio di rete o applicazione che si basa su di una connessione TCP”, tuttavia i dispositivi maggiormente a rischio sono i router che utilizzano il Border Gateway Protocol (BGP), un protocollo utilizzato sui backbone Internet per far comunicare fra loro i router appartenenti a differenti domini e rendere così possibile l’instradamento dei pacchetti tra varie reti.
Il protocollo BGP è particolarmente vulnerabile al problema perché prevede che i vari peer, costituiti dai border router, comunichino fra loro attraverso connessioni TCP permanenti: un attacco di ampia scala che sfruttasse la vulnerabilità descritta dal NISCC potrebbe portare al black-out di ampie porzioni del Net.
Che il TCP soffra di una tale debolezza non è tuttavia cosa nuova. La vulnerabilità, su cui Watson dovrebbe fornire maggiori dettagli proprio in queste ore, in occasione della conferenza CanSecWest 2004 di Vancouver, è già nota da tempo, ma fino ad oggi gli esperti ritenevano che riuscire a sfruttarla equivalesse a indovinare un numero su una combinazione di 4,3 miliardi: praticamente impossibile. Ciò che Watson ha scoperto è che, in realtà, qualsiasi numero compreso in una certa finestra di valori può permettere l’identificazione, all’interno di una sequenza, del prossimo pacchetto TCP: questa tecnica, secondo l’esperto, rende di fatto possibile indovinare la giusta sequenza di numeri in pochi secondi .
Dopo questa scoperta, che Watson ha divulgato alle autorità di sicurezza già da qualche settimana, diversi fra i maggiori produttori di apparati di rete sono corsi ai ripari aggiornando i propri dispositivi. Il CERT americano ha tuttavia avvertito che una buona fetta del traffico di Internet passa ancora attraverso reti e router potenzialmente a rischio.
La falla può essere risolta in vari modi, tra i quali c’è l’adozione del protocollo IP Security per la cifratura del traffico di rete e la riduzione della finestra TCP. Secondo quanto riportato da eWeek , nelle scorse settimane tutti i maggiori provider di Internet avrebbero collaborato fra loro per adottare, fra i propri border router, connessioni sicure che “utilizzano l’algoritmo hash MD5 (Message Digest 5) per proteggere ciascuna sessione”. Questo, secondo alcuni esperti, dovrebbe già essere più che sufficiente per minimizzare l’impatto della falla e sventare pericolosi attacchi alle dorsali di Internet.