Core Internet Technology Vulnerable to Hackers

[idle0]

http://news.google.com/news?hl=en&editi ... &scoring=d

(04-20) 09:58 PDT WASHINGTON (AP) --

Researchers found a serious security flaw that left core Internet technology vulnerable to hackers, prompting a secretive effort by international governments and industry experts in recent weeks to prevent global disruptions of Web surfing, e-mails and instant messages.

Experts said the flaw, disclosed Tuesday by the British government, affects the underlying technology for nearly all Internet traffic. Left unaddressed, they said, it could allow hackers to knock computers offline and broadly disrupt vital traffic-directing devices, called routers, that coordinate the flow of data among distant groups of computers.

"Exploitation of this vulnerability could have affected the glue that holds the Internet together," said Roger Cumming, director for England's National Infrastructure Security Coordination Centre.

The flaw affecting the Internet's "tranmission control protocol," or TCP, was discovered late last year by a computer researcher in Milwaukee, Paul "Tony" Watson, 36, who said he identified a method to reliably trick personal computers and routers into shutting down electronic conversations by resetting the machines remotely.

Routers continually exchange important updates about the most efficient traffic routes between large networks. Continued successful attacks against routers can cause them to go into a stand-by mode, known as "dampening," that can persist for hours.

Experts previously maintained such attacks could take between four years and 142 years to succeed because they require guessing a rotating number from roughly 4 billion possible combinations. Watson said he can guess the proper number with as few as four attempts, which can be accomplished within seconds.

"The biggest concern is (the effect on routers) because of the risk of bringing down the Internet or severely disrupting traffic on the Internet," Watson said.

Already in recent weeks, some U.S. government agencies and companies operating the most important digital pipelines have quietly fortified their own vulnerable systems because of early warnings communicated by some security organizations. The White House has expressed concerns especially about risks to crucial Internet routers, since attacks against them could profoundly disrupt online traffic.

"Any flaw to a fundamental protocol would raise significant concern and require significant attention by the folks who run the major infrastructures of the Internet," said Amit Yoran, the U.S. government's cybersecurity chief. The new flaw has dominated discussions since last week among experts in close-knit security circles.

The public announcement coincides with a presentation Watson expects to make Thursday at a popular Internet security conference in Vancouver, where Watson said he will reveal full details of his research.

Watson, who runs the www.terrorist.net Web site, predicted that hackers will understand how to begin launching attacks "within five minutes of walking out of that meeting."

"It's fairly easy to implement," Watson said. "Someone walking out of the conference would immediately understand. No matter how vague I am, people will figure it out."

[Michael Popov]

Doomed, doomed, we're all doomed
Здесь технические детали
http://www.uniras.gov.uk/vuls/2004/236929/index.htm

Интересно, а какая все-таки вероятность угадать sequence number. Я поискал "размер окна" у себя на PC, но не нашел. Кто-то может подсказать, какой стандартный размер TCP window ?

[Aka]

Doomed, doomed, we're all doomed
Здесь технические детали
http://www.uniras.gov.uk/vuls/2004/236929/index.htm

Интересно, а какая все-таки вероятность угадать sequence number. Я поискал "размер окна" у себя на PC, но не нашел. Кто-то может подсказать, какой стандартный размер TCP window ?

Этой core технологии больше 20 лет, неудивительно что там все в "дырках".
Но сответственно за последние годы понапридумывали как это позакрывать..
ИМХО в MSwindows tcp/ip стеке по умолчанию размер 1460.
меняется гдето ключом в реестре

Размер сиквенс номера 32 бита, соответственно вероятность угадать 1/ 2**32.
Вероятность предсказать намного выше..
Но если ты можешь(смог) предсказать - нафига посылать ресет

[Felis Chaus]

Ботва все это. Дня два уже, как провозгласили. Единственное место, где этот эксплойт более-менее имеет смысл, это BGP, где сессии длятся годами. Однако, все лечится правильным конфигурянием, а у правильных пацанов типа тиер 1 провайдов, все и так давно сконфигурено.

[A. Fig Lee]

Интересно, а какая все-таки вероятность угадать sequence number. Я поискал "размер окна" у себя на PC, но не нашел. Кто-то может подсказать, какой стандартный размер TCP window ?

AFAIR, 1500 ili 1468.
Иногда надо менять принудительно(уменьшать) в Виндовс регистри, иначе некоторые вебсайты будут недоступны изза "black hole" - при использовании PPP или PPPoE спецы могут подсказать.
Меняется размер здесь:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{ID_OF_NETWORK_INTERFACE}\MTU

[Felis Chaus]

Интересно, а какая все-таки вероятность угадать sequence number. Я поискал "размер окна" у себя на PC, но не нашел. Кто-то может подсказать, какой стандартный размер TCP window ?

AFAIR, 1500 ili 1468.
Иногда надо менять принудительно(уменьшать) в Виндовс регистри, иначе некоторые вебсайты будут недоступны изза "black hole" - при использовании PPP или PPPoE спецы могут подсказать.
Меняется размер здесь:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{ID_OF_NETWORK_INTERFACE}\MTU

Это MTU, а не TCP window. TCP window size - величина непостоянная, сумлеваюсь, что его можно где-то поменять руками, разве что начальное значение, и он будет находиться в пределах от 1 до 8.

[PavelM]

Согласен но добавлю также что хотя "TCP window" по умолчанию динамическое и позволяет протоколу адаптироваться к разным условиям, его можно зафиксировать, напр. как (MTU-40)x4 или (MTU-40)x8. Тогда потеряем на скорости и надежности соединений.

[slozovsk]

Не все так плохо.

If the TCP MD5 Signature Option and anti-spoofing measures are used then the impact will be low as these measures will successfully mitigate the vulnerability.

Как тут отмечалось - у серьезных пацанов все это, вероятнее всего стоит.

А если core providers сетапят anti-spoofing measures, то не получится to fake IP source address. Т.е. и юзеры получается защищены. anti-spoofing был в CISCO routers миллион лет назад. Может сейчас и еще чего добавили.

[Aka]

Не все так плохо.

If the TCP MD5 Signature Option and anti-spoofing measures are used then the impact will be low as these measures will successfully mitigate the vulnerability.

Как тут отмечалось - у серьезных пацанов все это, вероятнее всего стоит.

А если core providers сетапят anti-spoofing measures, то не получится to fake IP source address. Т.е. и юзеры получается защищены. anti-spoofing был в CISCO routers миллион лет назад. Может сейчас и еще чего добавили.

И еще замечу, что несмотря на присутствие всяких фич в настройке для пацанов, в основном народ здесь пользует "by default", думаю процентов 70-80.