Gepubliceerd: Dinsdag 30 september 2008
Een nieuwe aanval op het internetprotocol zou computers in een handomdraai kunnen platleggen. Na jarenlang te hebben gewacht, brengen onderzoekers het probleem nu in de openbaarheid.
Toon volledig artikel
De link in het artikel naar de open source portscanner Unicorn verwijst naar IBM (zij hebben een "Unicorn Library Management System").
De juiste link: www.unicornscan.org/
Het artikel mist wel meer zaken, zoals een fatsoenlijke onderbouwing en vermelding van de bronnen. Er staan zaken in zoals "IPv6 en firewalls erger lek", terwijl er daarna niet meer over firewalls wordt gerept.
Kortom, een waardeloos stuk van een artikel dat alleen maar paniek zaait en verder geen enkele vorm van onderbouwing biedt. Goed gedaan.
Iets meer Googlen (jammer dat Webwereld daar niet eens de tijd voor neemt... volgens mij is het hun baan.) levert op:
www.t2.fi/2008/...attack-vectors/
Jack C. Louis and Robert E. Lee from Outpost24 will divulge new technical details about TCP state table manipulation vulnerabilities that affect availability.
Het zal er wellicht iets ermee te maken hebben dat je bij een standaard RFC compliant TCP implementatie door een bepaald patroon van pakketten de TCP stack dusdanig overhoop kunt halen dat het ding geen nieuwe connecties meer toestaat.
Er is een artikel uit 2002 over een tool genaamd "scanrand" wat er overeenkomsten mee heeft:
seclists.org/vu...2/Nov/0039.html
Inhoudelijk misschien niet zo sterk.
Maar als ze inderdaad iets gevonden hebben wat waarmee je met 40 pakketten elke willekeurige netwerk verbonden (lees TCP/IP protocol gebruikende) machine kunt los nippen van het netwerk (de machine zal vast wel doordraaien maar geen netwerk verbinding meer kunnen maken) is dat wel iets wat je niet zo maar aan een zootje script-kiddies wilt geven (of wie dan ook met slechte gedachten).
Welke bronnen ontbreken? Outpost24 is mijn bron, die meld ik. Finse CERT bevestigt dat men er mee bezig is en dat dit speelt. Fox-IT bekeek het, security.nl. Het interview is terug te luisteren in mijn podcast. Sorry maar hoeveel meer openheid had je gehad willen hebben. Duimpje naar beneden.
Als je met dit soort groot nieuws komt is onderbouwing enorm wenselijk. Je doet er niemand een plezier mee (behalve je eigen ego misschien) om paniek te zaaien door een artikel neer te zetten met links die niet kloppen, stukken tekst die niet volledig zijn (ja, het is nu gedeeltelijk aangepast) dat geen enkele technische onderbouwing biedt. Dat is gewoon barslechte journalistiek van het niveau Privé of Story.
Dit lijkt wel een sekte, zoals griebels weggemind wordt en Brenno geprezend.
De kritiek is volkomen terecht. Het artikel was slordig, en mist zoals de meeste Webwereld artikelen over technische kwesties ontbreekt elke (verwijzing naar) inhoudelijke onderbouwing.
Het is dat Webwereld een van de zeer weinige Nederlandse ICT-sites is waar enige journalistiek wordt bedreven (over het algemeen met name door Brenno) waardoor het de moeite waard is om het te blijven volgen, maar Jip en Janneke niveau wordt steeds triester.
Het is steeds meer schreeuwende headlines waar geen enkele inhoud achter blijkt te zitten.
Waarom ben je zo geirriteerd? Je vindt op Google een verwijzing naar een presentatie van de onderzoekers die in dit stuk aan het woord komen. Bepleit je een korte, via Google gevonden beschrijving beter is dan een uitgebreid telefonisch interview?
Het zal er wellicht iets ermee te maken hebben dat je bij een standaard RFC compliant TCP implementatie door een bepaald patroon van pakketten de TCP stack dusdanig overhoop kunt halen dat het ding geen nieuwe connecties meer toestaat.
Wellicht... of wellicht niet? Waarom draag je zelf geen feiten aan, terwijl je de auteur blind beschuldigt van slecht onderzoek?
Uhm...is dat nou niet Brenno z'n vak? Journalistiek? En mag je van een reaguurder niet verwachten dat hij wellicht wat over de schreef gaat met z'n reactie?
Overigens komt het hele verhaal wel bijna als een hoax over. Heel veel opgeklopt met grote namen er bij. Ga niet zeggen dat er niks van klopt, maar het klinkt allemaal wel erg spannend.
Weet het punt is dit: Jullie willen de harde technische details zien. Dat snap ik helemaal. Die irritatie had ik ook bij Dan Kaminsky met zijn DNS-bug. Ik ben niet over 1 nacht ijs gegaan. Ik wist dit al twee weken, maar wilde eerst nadenken of ik dit wilde doen.
Later heb ik meer en meer bewijs gekregen en goed doorgevraagd waarom ze dit wilde. Ik ben doorgegaan. Heb her en der gecheckt (en ook de relevante RFC's nog eens goed doorgelezen). Gisteren heb ik het gepodcaste interview gedaan, maar daarvoor heb ik drie keer telefonisch contact gehad (kortere interviews) om feiten helder te krijgen. Uiteindelijk wilden we gisteren publiceren, maar ik was nog niet tevreden en wilde ook zeker weten dat er een CERT mee bezig was. Dat was het geval. Toen was het te laat om door te gaan tot vanochtend. Uiteindelijk zijn we dus om vier uur online gegaan.
Van de dingen die ik wel weet, maar beloofd hebt niet te publiceren ben ik er van overtuigd dat dit een serieus, echt probleem is. Anders had ik het niet opgetekend. Natuurlijk schiet ik het wel vol in als het verhaal eenmaal doorgaat. Dat mag helder zijn. Dat de tekst wat eenvoudiger overkomt is, omdat je de feiten wel wilt geven maar het ook nog begrijpbaar moet houden. Veel mensen onder de lezers zijn diep technisch onderbouwd. Helaas stel je die teleur, maar de waarschuwing hoorde echt in het artikel. Voor jullie informatie: dat heeft zijn doel niet gemist. Inmiddels blijkt een grote speler vandaag nog personeel op de zaak te hebben gezet. Dat waren ze eerder ehh .... 'vergeten' zullen we maar zeggen.
Ik hoop dat dit het wat verhelderd. Hopelijk is er snel een oplossing en kunnen we allemaal hiervan leren.
En mag je van een reaguurder niet verwachten dat hij wellicht wat over de schreef gaat met z'n reactie?
Voor zover ik weet is dit WebWereld.nl, en niet Geenstijl.nl.
Hoewel de discussies soms behoorlijk verhit raken weet men op WebWereld.nl gelukkig nog steeds wat woorden als fatsoen, respect en Nettiquette betekenen. :-)
Ik weet niet wat de doelstelling van Webwereld is, de ICT-Telegraaf uithangen of serieuze berichtgeving erop nahouden? Blijkbaar is men in staat om meer informatie aan BNR nieuwsradio te verschaffen dan het op de eigen site te posten.
PS: Aan de auteur: eenieder mag kritiek hebben op mij en mij raten zoals hij dat zelf wil. Maar ik vind het uitermate zielig en zelfs twijfelachtig als deze auteur reacties op zijn eigen artikel gaat moderaten.
Poort 113 Ident forwarden buiten een range gebied en een portscan krijg geen reply meer.
Port Ident zorgt hier namelijk voor, welke ik dus in de router buiten range gezet heb.
De problemen kamen aan het licht toen de makers Unicorn uitprobeerden op een verzameling van 67 miljoen internethosts.
als die kwetsbaarheid toen optrad en men ook daadwerkelijk alle 67 miljoen hosts scande dan heb je een megaprobleem veroorzaakt dat niet ongemerkt voorbij kan gaan. Of niet alle hosts waren gevoelig voor de kwetsbaarheid ( waarom dan niet, is dan de vraag)Of men heeft een veel kleiner aantal gescand.
Is dus een beetje raar aan dit verhaal..
If you listen to the podcast interview we gave, that part will make more sense. Basically after doing 3-way handshakes on a very large range of hosts we discovered that certain systems started to continually send us back certain responses.
It was this observed behavior that prompted Jack to research why we were seeing this behavior.
We obviously didn't launch an attack against 67 million systems :).
--Robert
So, essentially:
- You open a TCP connection using a normal 3-way handshake (so, spoofed packets won't work anyway
- Then you use certain packets to keep the connection open with a minimum amount of traffic? - This way you try to open and keep open as much TCP connections possible without doing anything and thus prevent others from using said service?
And firewalls are more vurnerable, because they tend to keep state information about more hosts/ports?
Essentially, yes. That accurately depicts the 1st attack type.
There are other attack types we will also demo at the T2 show that affect more than the single attacked service, causing the system to stop functioning all together.
In total as of today we have 5 different attacks. In theory there are many more to be discovered and developed along the same line, but more targeted to the individual TCP implementation being attacked.
--Robert
There was a statement that IPv6 is more vulnerable because it has more available addresses. Is this related to the possibility of overflooding ARP (well, ND in IPv6) tables?
I didn't really dig in to it, but is there an article somewhere that gives an insight in all the 5 different attack types you're talking about?
PS: The moderation here is seemingly as clueless as the Webwereld posting, why does somebody give the responses of Robert, that give a bit of depth to the Webwereld post negative rating, or is it too difficult to understand that bit of English?
Griebels:
Unfortunately we can't share the details of the attack types just yet. We're still waiting for feedback from the vendors on when they'll have workarounds or real mitigating solutions available. We will share all the details as soon as we can.
I think this podcast interview explains the situation pretty well:
http://debeveiligingsupdate.nl/audio/bevupd_0003.mp3
Not necessarily wanting to know what causes the problem, but erm... Do you happen to have some advice on how to guard ourselves against attacks of the sorts?
The available mitigation so far is to make your TCP based service only available to trusted users. Think white-list instead of black-list.
If the attacker can not establish a connection with the service, these attacks are not possible.
This may be a problematic solution for those running most public services (smtp, http, etc), as their intended functionality requires them to accept connections from anonymous new IP's.
--Robert
If the problem is that a single malicious user can exhaust resources used by the TCP/IP stack, wouldn't limiting the amount of IP connections allowed from a single source IP address solve the problem? Think "limit-resource rate conns" or "iptables -m connlimit" or even mod_limitipconn.
Of course if you have access to (a lot of) different source IP addresses, you can work around a connection limitation, but then you can also launch a classic DDOS attack.
<volledig offtopic mode>
a) Gemiddelde Nederlander heeft basis Engels onderwijs gehad en daar mogelijk examen in gedaan
b) Gemiddelde IT'er spreekt vloeiend Engels, omdat dit benodigd is voor zijn of haar werk
c) Er wordt gereageerd door een Engels sprekende persoon, die waarschijnlijk de nederlandse tekst door een vertaalprogramma heeft gehaald (heel bijdehand)
d) Mogen we het hem dan niet makkelijker maken?
Slakken en zout is hetgeen nu bij mij opkomt. sorry.
</volledig offtopic mode>
Mogen we het hem dan niet makkelijker maken?
Waarom zou je? Dit is een Nederlandse website. Dat daar een engels sprekende persoon op reageerd ok best, hij heeft kennelijks niks anders te doen. Maar waarom zou dan Engels terug gaan praten. Je maakt het hem misschien makkelijker, maar vele andere Nederlanders die dit ook lezen alleen maar moeilijker. Je hebt het over de "Gemiddelde IT'er", als of hier alleen maar "Gemiddelde IT'er"-ers komen? En als die "Engels sprekende persoon" de tekst door een vertaal programma kan halen, dan kan hij dat met de reacties ook :p
I think he was just trying to make sure I understood his questions clearly. While I get the gist of comments in dutch, I'm sure I loose something in the translation. :)
Feel free to translate any of my comments you find useful back into Dutch for the benefit of the purely dutch readers.
--Robert
Robert,
To get an idea what some persons are whining about, paste the text into babelfish :-)
Could be refreshing to see how 'silly' some Dutch persons are responding :-O
Hoewel engels geen probleem voor mij is, ben ik het toch eens met Nickname. Dit is een Nederlands forum en hij mag verwachten hier ook Nederlandstalige reacties te zien te krijgen.
Wel vind ik het een beetje vreemd, dat meneer Lee hier op WW in Nederland komt reageren terwijl het nieuws nog niet eens op sites als Ars Technica of Secunia te lezen is. Ik kan niet precies zeggen waarom, het voelt gewoon een beetje vreemd aan.
Wel vind ik het een beetje vreemd, dat meneer Lee hier op WW in Nederland komt reageren terwijl het nieuws nog niet eens op sites als Ars Technica of Secunia te lezen is.
Mee eens, en niemand garandeert natuurlijk ook dat het de echte Robert Lee is. Aan de andere kant lees ik tussen de regels door dat hij Nederlands wel redelijk kan volgen, dus wellicht liggen zijn roots hier ofzo. Wie zal het zeggen.
English:
Agreed, and of course no-one can guarantee that this is actually the real Robert Lee. On the other hand, he sort of hints between the lines that he's somewhat proficient in Dutch, so maybe his roots lie in this country. Who knows.
Jack made the initial discovery in 2005. Jack and I have only recently begun talking about these issues publicly. I think you'll see other news sources picking up the story fairly soon.
Here's another article in English:
http://www.darkreading.com/blog.asp?blog_sectionid=403&doc_id=164939
--Robert
@Bolleke et all: Misschien kan ik dan bevestigen dat dit de echte Robert Lee is, want ik heb hem vanavond nog gespreken en hij bevestigde deel te nemen aan de discussie. Hopelijk helpt dat (maar ja ben ik de echte Brenno de Winter :) ).
Misschien kan ik dan bevestigen dat dit de echte Robert Lee is, want ik heb hem vanavond nog gespreken en hij bevestigde deel te nemen aan de discussie.
Cool, dank voor je toelichting. Overigens ging ik er wel vanuit dat het zo was, maar je bent paranoide nerd of je bent het niet ;-) (Speaking of which, ik geloof het natuurlijk pas als ik serverlogs met IP adressen zie, :lol:)
(maar ja ben ik de echte Brenno de Winter :) ).
Kun je dat bewijzen? ROFL
"Met minder dan 10 IP-pakketten kunnen we de meeste TCP-diensten offline halen", vertelt onderzoeker Jack Lewis, tegen Webwereld.
Is het niet toevallig dat er al banden waren tussen webwereld en iemand van Outpost24?
1+1 en zo.
Nou het is heel simpel uit te leggen: Webwereld is onderdeel van IDG en met het Nederlandse verhaal komt de scoop ook naar de Engelstalige landen. Dus praat Outpost24 ook voor een breder publiek. Waarom hebben wij contact? Enkele redenen: ik heb een redelijk groot netwerk, ben veel bezig met dit soort zaken, was voor hem een betrouwbare partij die niet teveel informatie deelt en beide zijn we trouwe bezoekers van de hackersconferentie Defcon (waar ik laatste keer dubbel gesproken heb).
Brenno, dat was positief bedoeld hoor. Het gaat over dit stukje:
Wel vind ik het een beetje vreemd, dat meneer Lee hier op WW in Nederland komt reageren terwijl het nieuws nog niet eens op sites als Ars Technica of Secunia te lezen is.
Het is logisch dat er banden waren met Outpost24, anders had je dit stuk niet kunnen publiceren.
Nee lees geen Webwereld, maar IDG. Als de springplank via Nederland (een hack-savvy natie) is dan is dat oke voor ze. Duitsland was ook een optie geweest.
Brenno, dat klinkt nog steeds alsof je het over iets anders hebt dan ik bedoelde.
"Met minder dan 10 IP-pakketten kunnen we de meeste TCP-diensten offline halen", vertelt onderzoeker Jack Lewis, tegen Webwereld."
Brenno, dat was positief bedoeld hoor. Het gaat over dit stukje:
"Wel vind ik het een beetje vreemd, dat meneer Lee hier op WW in Nederland komt reageren terwijl het nieuws nog niet eens op sites als Ars Technica of Secunia te lezen is".
Het is logisch dat er banden waren met Outpost24, anders had je dit stuk niet kunnen publiceren
Eerst de bovenste quote uit het artikel, dan dat andere stukje.
Ik bedoel dat in het artikel stond aangegeven dat jullie met de onderzoeker van Outpost24 over dit stuk gesproken hadden terwijl iemand het vreemd vond dat die onderzoekers hier reageren. Ik had het wat verkeerd opgeschreven maar hier ging het dus om. vandaar de 1+1. Ik vind het dus niet vreemd in dit geval dat de onderzoekers hier reageren, ook al spreken ze Engels..
"Met minder dan 10 IP-pakketten kunnen we de meeste TCP-diensten offline halen", vertelt onderzoeker Jack Lewis, tegen Webwereld."
Voor zover ik de podcast juist heb verstaan moet dit '10 pakketten per seconde' zijn.
De kern van het verhaal lijkt dit (en, webwereld, erg jammer dat een transcriptie van de podcast ontbreekt):
De verzendende zijde (de 'aanvaller') maakt zelf gebruik van een uitgeklede tcp/ip stack. Dit houdt in dat zij een hele hoop tcp/ip verbindingen kan openen, zonder de overhead (aan geheugen/cpu tijd etc) die normaal gepaard gaat met een tcp/ip verbinding. De ontvangende zijde heeft per verbinding veel meer resources nodig dan de verzendende. Zodra een tcp/ip verbinding wordt geopend heeft de kernel van het slachtoffer 'oneindig' veel resources klaarstaan om deze verbinding aktief te houden.
Nu wordt, op slimme wijze, de verbinding gesaboteerd, vanuit aanvallers kant. De aanvaller doet net alsof er veel packet loss is. Het tcp/ip protocol heeft allerlei middelen om te voorzien in de situatie van packet loss, en hiervoor te corrigeren. Hier ligt (blijkbaar) de kern van het probleem.
Het 'slachtoffer' moet in geval van packet loss een boel administratie bijhouden. Het moet kernel timers zetten om het pakket even later weer te verzenden. Door met een aantal open vebindingen tegelijkertijd een situatie van packet loss te simuleren, kan de host (het slachtoffer) op zijn knieën gedwongen worden wat betreft geheugen gebruik, cpu tijd, en (met name lijkt, uit het artikel) kernel timers. Hiervoor is niet veel bandbreedte nodig, een kabelmodem voldoet om elke dikke server onderuit te trekken, en nagenoeg elke tcp/ip stack is gevoelig voor het probleem.
Kort gezegd, de aanval buit het foutcorrectiesysteem van tcp/ip zodanig uit, waardoor de aanvaller onnoemelijk veel kernelresources nodig heeft met een minimum aan verzonden verkeer. De aanvaller doet deze aanval met een zelfgemaakte tcp/ip stack.
Sorry Eric,
Dacht dat de naam van dit forum webwereld was en niet webnederland.
Vind het wel gaaf dat een van de onderzoekers zelf van repliek dient op sommige commentaren, of het betreffende commentaar nu in het Nederlands of in het Engels gesteld is.
Ben eigenlijk wel benieuwd naar de preciese methodiek welke de heren op dit moment 'streng geheim' trachten te houden, en dat is denk ik wel terecht.
Wie zit er nu te wachten op servers die niet meer kunnen reageren :(
What I am interested in at this moment is the following: when is there going to be a patch? If this really is such a massive threat to the internet the security people should be writing their asses off imho. Debian doesn't have an update ready yet unfortunately :).
And yes, this is in English on a Dutch website. I consider it to be a courtesy toward Mr. Lee who actually wants to make time to explain things for us readers. If you do not want to react in English, fine, but do not start moaning if an expert comes along who so happens to speak English.
There is no one patch for now. Current TCP/IP stacks aren't written with proper resource control in mind apparently, thats the whole problem. When the code is open, it's "easy" to find specific bugs and exploit them, but they already showed that closed code suffers from the same problems, with the only difference an attacker might have to spend a little more time pushing a certain stack over the edge.
I'm not sure if I'd agree that firewalls can only compound the problems, once you've identified the strings of packets that get certain tcp/ip stacks into trouble, you can stop those series of packets from getting through. I can see how thats a bit like carrying water to the ocean though.
In allerlei security mailing lists en forums duikt met grote regelmaat de vraag op hoe snel en op welke manier technische details van een kwetsbaarheid onthuld moeten worden. Ik vind dat Robert en Jack het hier goed aanpakken (hoe kan het ook anders, het zijn mijn collega's). Zij hebben een ernstige kwetsbaarheid gevonden. Er is, voor zover mij bekend, nog steeds geen oplossing voor gevonden. Kennelijk wordt er ook onvoldoende hard gezocht naar een oplossing.
Daarom vinden zij het tijd voor de volgende fase en nu weet de hele wereld dat er iets mis is. Belangrijke leveranciers en security specialisten zijn op de hoogte van de details.
Veruit het grootste deel van de wereld heeft er niets aan als de details van de kwetsbaarheid op dit moment onthuld worden. Als dat gebeurt, kun je er op rekenen dat er wel wat grappenmakers zijn die willen proberen of het allemaal echt werkt. Daar zitten we echt niet op te wachten. Maar de leveranciers en security specialisten die van de details op de hoogte zijn, weten nu dat de tijd voor een oplossing begint te dringen. Net als bij de DNS-bug van Kaminski, zullen ook hier mensen op zoek gaan of zij op basis van de beschikbare informatie de bug ook kunnen vinden. De specialisten moeten serieus aan de slag.
Robert en Jack zullen de rest van de wereld op de hoogte houden over deze kwetsbaarheid, maar op het moment en op de manier die zij daarvoor kiezen. Laten we gewoon tot dat moment wachten en hopen dat niemand anders in de tussentijd de bug vindt. Over een paar weken wordt de bug gedemonstreerd in Finland. Ik hoop dat er tegen die tijd ook zicht is op een oplossing.
Om te kunnen reageren, dient u ingelogd te zijn.
Unified communications biedt vele voordelen, maar heeft ook specifieke uitdagingen en niet ieder project levert het verwachte ROI op.
Downloaden
1 jaar geleden: 26 mei 2011
2 jaar geleden: 26 mei 2010
14 jaar geleden: 26 mei 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, Jobworld, MacWorld, SHUTR fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
