1. TCP/IP is lek? Wat is er nou precies aan de hand?

De onderzoekers Robert Lee en Jack Louis van het Zweedse beveiligingsbedrijf Outpost24 ontdekten drie jaar geleden een eenvoudige manier om een Denial-of-Service-aanval uit te voeren. Dat kan omdat ze gebruik maken van de werking van TCP/IP. Na het uitvoeren van een zogenaamde three-way handshake is het mogelijk een aanslag te maken op de systeembronnen waarna machines zich onberekenbaar gaan gedragen, vastlopen of zelfs spontaan gaan herstarten.

Dat dit kan, komt door het principe waarop het internetprotocol is ontworpen. De handshake moet een echte TCP/IP-sessie waarborgen. Nadat het systeem hier eenmaal van overtuigd is, wordt het mogelijk om capaciteit te reserveren voor het verzenden van data. Naar nu blijkt, is het mogelijk om daarbij ellende te veroorzaken. Eigenlijk wordt er dus misbruik gemaakt van het vertrouwen in een valide verbinding.

Vervelend daarbij is dat in tegenstelling tot heel veel Denial-of-Service-aanvallen er nu niet veel hoeft te gebeuren om een systeem plat te leggen. Met weinig verkeer kan een aanvaller een machine platleggen. Bij een traditionele DoS-aanval is daar juist zeer veel verkeer voor nodig. Aanvallers gebruiken daar vaak zombie-netwerken voor, maar met de nu ontdekte kwetsbaarheid zouden enkele gehackte machines volstaan om een grote groep computers te verstoren.

2. Kun je niet specifieker over de aanvallen zijn?

Nee. Het vervelende is dat de onderzoekers niet een willekeurig lek hebben gevonden, maar een manier vonden om de werking van TCP/IP te misbruiken. Bij het maken van een netwerkverbinding komen meerdere technische onderdelen kijken zoals de processor, communicatiemiddelen en geheugen. Het probleem kan op elk van die bronnen invloed hebben, en ook op combinaties daarvan.

Outpost24 spreekt daarom over scenario's in plaats van een lek. De onderzoekers hebben zelf vijf scenario's bedacht, maar zij vermoeden dat er nog enkele tientallen andere mogelijkheden bestaan om het probleem te misbruiken.

Ook over de werking is weinig te zeggen, omdat ieder besturingssysteem of hardware-onderdeel heeft TCP/IP op zijn eigen manier heeft geïmplementeerd, en verzoeken op zijn eigen manier afwerken. Het verloop van een aanval kan per systeem dan ook verschillen, al is het resultaat in alle gevallen hetzelfde.

De onderzoekers hebben een Socketstress tool geschreven dat de kwetsbaarheid aantoont. Deze zullen zij op de T2-conferentie in Finland demonstreren. Maar ook daar zullen zij geen diepe technische details openbaren. Criminelen en vandalen zouden die informatie kunnen misbruiken om het lek te misbruiken in aanvallen.

3. Was het niet veiliger geweest als de onderzoekers gewoon hun mond hadden gehouden?

In de wereld van de beveiliging heet dat security through obscurity: je houdt een lek geheim in de hoop dat niemand anders er achter komt. Het is een slecht beveiligingsprincipe.

Ook kwaadwillenden over de hele wereld doen onderzoek naar zwakke onderdelen in protocollen. Net als met uitvindingen worden ook dit soort ontdekkingen vaak door meerdere mensen gedaan. Op dit moment is niet bekend wie over dezelfde kennis beschikt en of we een aanval te verwachten hebben. De onderzoekers hielden hun ontdekking drie jaar voor zichzelf in de hoop een oplossing te bedenken.

Outpost24 heeft de details eerder al gedeeld met een kleine groep onderzoekers, maar dat heeft geen oplossing kunnen leveren. Door het probleem nu publiekelijk aan te kaarten, wilde Outpost24 de problematiek op de kaart zetten. Dat heeft gewerkt, want op dit moment wordt er door grote leveranciers hard gezocht naar mogelijke oplossingen.

4. Wat kan er gebeuren als criminelen dit lek gaan misbruiken?

Dat blijft giswerk, want iedere Denial-of-Service-aanval heeft zijn eigen dynamiek. Maar aanvallers zouden systemen kunnen verstoren en infrastructuur bedreigen. Dat opent mogelijkheden om bijvoorbeeld websites of datacenters offline te halen, of om bedrijven te chanteren met de dreiging om dat te gaan doen.

Er zijn doelwitten te over. Iedereen kan bedenken wat er gebeurt als het betalingsverkeer stop, als luchtvaartmaatschappijen geen passagiers meer kunnen inchecken of als supermarkten geen bestellingen meer kunnen doorgeven naar leveranciers.

5. Is het allemaal wel echt?

Omdat niet alle technische details bekend zijn, moeten we voor een gedeelte vertrouwen op de blauwe ogen van Lee en Louis. Aan de andere kant heeft het Finse Computer Emergency Response Team de zaak bestudeerd en coördineert de afhandeling. Daar is het geen vraag meer of het wel zo is, maar vooral hoe ze het oplossen.

De onderzoekers zijn niet de eerste de beste en ook het bewijs dat Webwereld heeft gezien, was overtuigend. Onafhankelijke experts hebben inmiddels ook bevestigd dat het probleem waarschijnlijk echt is.

Als het allemaal echt is dan blijft het opmerkelijk dat dit niet eerder groot nieuws was. Maar datzelfde kon worden gezegd van de DNS-bug die Dan Kaminsky in dit jaar openbaarde. Dat probleem was 25 jaar lang onopgemerkt gebleven. In het geval van het TCP/IP-probleem duurde het zelf 30 jaar.