Протокол, используемый при передаче данных, содержит изъян в обеспечении безопасности

Тронтон Мэй: "Для некоторых реализаций стека протокола TCP/IP ISN числа предсказать намного проще, чем считалось ранее"

Сотрудники компании Guardent, специализирующейся на вопросах защиты, утверждают, что давно известный дефект протокола Transmission Control Protocol (TCP) злоумышленникам взять на вооружение значительно проще, чем это представлялось раньше.

Этот дефект, способный оказать влияние на работу значительной части устройств, подключенных к Internet или корпоративным сетям, открывает лазейку для организации атак типа «отказ от обслуживания», перехвата TCP-сеансов или добавления чужеродной информации в потоки данных.

Впрочем, не все эксперты разделяют опасения Guardent, считая, что угроза преувеличена, а кроме того, эта проблема хорошо известна и в течение некоторого времени производители занимаются ее решением. TCP представляет собой метод, используемый при организации передачи данных по Internet. На уровне TCP сообщение разделяется на меньшие по размеру «пакеты» для более эффективной маршрутизации. Пакеты нумеруются и передаются посредством прокола IP адресату, где вновь на уровне TCP выполняется восстановление первоначального сообщения.

Дефект, о котором идет речь, связан с генерацией так называемых чисел Initial Sequence Number (ISN), которые применяются протоколом TCP для идентификации легитимных пакетов в сеансе.

Тем или иным способом вычислив ISN, представляющие собой случайно сгенерированные числа, хакер теоретически может перехватить TCP-сеанс, добавить в поток данных постороннюю информацию и атаковать устройства на любом из концов соединения. Компании Cisco Systems и Microsoft какое-то время назад интегрировали в свою технологию возможность увеличивать случайность ISN, в силу чего предсказать их становится намного сложнее.

Но, как подчеркнул Тронтон Мэй из компании Guardent, согласно проведенным исследованиям для некоторых реализаций стека протокола TCP/IP эти числа предсказать намного проще, чем считалось ранее, и, таким образом, опасность возрастает.Компания не сообщила о том, с помощью какого именно метода можно это сделать. Но результаты исследования были переданы в Службу скорой компьютерной помощи (CERT) при университете Карнеги—Меллона и нескольким производителям программного обеспечения, а также ряду производителей сетевого оборудования и федеральным ведомствам на условиях неразглашения.

«Наше исследование доказало, что последовательность номеров TCP можно предсказать с высокой степенью точности, — отметил Мэй. — С помощью метода, о котором мы сообщили специалистам, способным помочь в решении этой проблемы, вполне возможно создать инструментарий для вторжения, использующий этот дефект».

Однако, как считает Джерард Бреди, вице-президент по НИОКР компании Guardent, для этого хакер должен обладать большим опытом и знаниями.«Предсказать ISN не так просто, к тому же это только частично решает задачу организации вторжения», — заметил Русс Купер, аналитик TruSecure, специализирующейся на вопросах защиты.

Во-первых, подобные атаки крайне сложно организовать, во-вторых, их довольно легко обнаружить и им противостоять, если они некорректно исполняются. Как заметил Купер, чтобы такая атака «с посредником» оказалась действительно успешной, хакеру необходимо каким-то образом выявить, перехватить и вмешаться в нужный TCP-сеанс.

«Вы должны иметь возможность установить соединение с чем-то, на что хотите попасть. Перехват предыдущего сеанса не обязательно позволит проникнуть на систему, выбранную в качестве мишени», — подчеркнул он. И даже если хакерам удастся перехватить какие-то важные сеансы (например, транзакции электронной коммерции, защищенные посредством шифрования), вряд ли они смогут что-то сделать.

CERT опубликовала свое сообщение о данном дефекте в Сети по адресу www.kb.cert.org/vuls/id/498440 со ссылкой на исследования Guardent.

Поделитесь материалом с коллегами и друзьями