Het drie weken geleden onthulde basale lek in het TCP/IP-protocol is echt en bewezen riskant. De beveiligingsexperts Robert E. Lee en Jack C. Louis van Outpost24 toonden hun ontdekking op de beveiligingsconferentie T2 tijdens een lezing over het platleggen van systemen. Zij beschreven eerst de geschiedenis van Denial-of-Service-aanvallen om vervolgens op het nieuwe van hun ontdekking in te gaan zonder daarbij gedetailleerde uitleg te geven.

Totale uitputting

Volgens Lee is het unieke aan de aanval dat de meeste aanvallen op systemen ook veel capaciteit op de computer van de aanvaller vragen of een massale inzet van machines nodig maakt. Hier is dat niet het geval en ‘worden de bronnen volledig uitgeput totdat de dienst of het systeem niet meer werkt’.

"Er zijn veel bronnen in de kernel die aan te spreken zijn zoals timers, tellers, geheugen en je kunt zelfs applicaties aanvallen", vertelt Louis om zich te verdedigen tegen speculatie op internet dat hun ontdekking een herhaling van zetten zou zijn. Zo benadrukt hij dat het gebruik van verbindingsgegevens als SYN-cookies niet het probleem zijn.

"De reden dat we SYN-cookies gebruiken is dat het onze aanval efficiënter maakt en niets anders dan dat", betoogt Louis. "Als je de verbinding eenmaal hebt en je kunt met minder resources toe dan is dat beter. Maar de eigenlijke aanval heeft daar niets mee te maken. Het voordeel is dat als je eenmaal een verbinding hebt dan heb je veel onbeschermde bronnen tot je beschikking." Volgens de beveiligingsexpert heeft hun aanval vooral daarmee te maken.

Demonstratie Sockstress

Tijdens de lezing werd als onderbouwing de Sockstress gedemonstreerd. De tool is volgens de makers een raamwerk, waarmee verbindingen mensen kunnen opzetten en aanvallen uitvoeren. Lee zegt vijf scenario's te hebben omgezet in een plugin, maar dat er meerdere aan toe te voegen zijn.

Als eerste demonstratie toonden de onderzoekers een aanval op een webserver op Linux, die binnen tien seconden onderuit ging toen de tool werd gedraaid. Daarbij viel op dat de rest van de machine geen indicaties vertoonde dat er een aanval gaande was en het systeem gewoon functioneerde. Ook was er nagenoeg geen aanslag op het netwerk. "Je hebt het over ongeveer vijf connecties per seconde", stelt Lee.

Windows in de tang

De tweede aanval werd gedaan tegen een Windows-werkstation, waarop uw verslaggever gevraagd werd Pinball te spelen en ondertussen de systeembronnen in de gaten te houden. Tijdens de demonstratie was er nagenoeg geen netwerkverkeer, maar het geheugen liep gedurende twee minuten vol. Uiteindelijk reageerde het systeem nog maar amper.

"Wat hier precies gebeurt weten wij ook niet, maar wij vermoeden dat Windows stukken van de kernel (de kern van het besturingssysteem - red.) tijdelijk op schijf opslaat", vertelt Louis. "We zijn de aanval gestopt, maar het systeem zal zich niet herstellen. Tenminste niet in 24 uur; dat is het langste dat we gewacht hebben."

Grote risico's

Meer details willen de onderzoekers niet publiek maken, omdat er momenteel nog geen oplossing beschikbaar is. "Iedereen die een webdienst draait loopt gevaar", zegt Lee tegenover Webwereld. "Wat je kunt doen is verkeer filteren en slecht een beperkte groep adressen tot de server toelaten. Maar daar hebben maar heel weinig partijen iets aan."

Verder is er weinig verweer mogelijk en zijn de risico's groot. Lee vertelt dat niet alleen de machine die wordt aangevallen gevaar loopt, maar ook het netwerk er naartoe. "We hebben een keer een test op afstand gedaan en kwamen er achter dat ook een andere infrastructuur werd getroffen."

Wel zijn de onderzoekers hoopvol dat er uiteindelijk een oplossing zal komen. "Na bekendmaking van de problematiek hebben we met veel mensen gesproken. Tussen de ideeën zaten een paar heel briljante waar nu verder naar wordt gekeken", zegt Lee. "Toch vergt dat nog wel wat onderzoek."

Erkenning CERT en Cisco

Het Finse Computer Emergency Response Team, dat de afhandeling van de problematiek coördineert, vertelde voorafgaand aan de lezing dit jaar niet meer een oplossing te verwachten. Uiteindelijk hopen ze dat er volgend jaar technische details te geven zijn. Op de website staat een mededeling van gelijke strekking.

Ondertussen krijgen de onderzoekers ook bevestiging van het bedrijfsleven. Cisco erkent de problemen en zegt aan oplossingen te werken.

De problemen werden drie weken geleden door Webwereld onthuld, maar waren de onderzoekers al drie jaar bekend. Met de stap om publiek te gaan wilden Lee en Louis de problematiek op de kaart zetten en gaan werken aan een oplossing. Volgens de experts gaat dat nu goed. Wel stellen ze overweldigd te zijn door de massale media-aandacht voor hun vondst.

Bron: Webwereld Bron: Techworld