Давно известные недостатки таят серьезную угрозу Internet
Специалисты британского центра сетевой безопасности National Infrastructure Security Co-Ordination Centre (NISCC) предупреждают о наличии уязвимых мест в популярном коммуникационном протоколе TCP. Изъяны имеют место во всех реализациях протокола, соответствующих спецификации рабочей группы Internet Engineering Task Force. Они дают лазейку для хакеров, которые получают возможность преждевременно прерывать сеансы TCP, что приводит к атаке на отказ в обслуживании. Кроме того, злоумышленники имеют возможность прерывать сеансы связи, организуемые на основе протокола BGP (Border Gateway Protocol), в котором используется TCP. Ситуация тем более серьезна, что на базе TCP работают все крупнейшие сети — это наиболее распространенный в мире протокол.
BGP — наиболее широко используемый протокол маршрутизации. Магистральные маршрутизаторы используют BGP для постоянного обновления информации о важных изменениях в структуре сети, что позволяет выбирать оптимальные маршруты. Атаки на маршрутизатор могут привести к нарушению его нормального функционирования. Потенциально уязвимость может воздействовать также и на службу доменных имен DNS.
NISCC опубликовала свои рекомендации после того, как специалист в области информационной безопасности Пол Ватсон изложил суть дела в статье Slipping in the Window: TCP Reset Attacks. Автор подготовил свою статью к представлению на конференции CanSecWest 2004.
Ватсон обнаружил, что принятая сейчас спецификация TCP дает хакеру возможность угадать 32-разрядное число, необходимое для запуска, перезагрузки и установления нового соединения TCP. Это связано с тем, что спецификация допускает к применению порядковые номера в определенном диапазоне, в то время как значительно безопаснее было бы порождать такие числа случайным образом, при помощи достаточно изощренного математического метода.
Если фальсифицировать исходный IP-адрес и порт TCP, а затем угадать уникальный порядковый номер, можно закрыть активный сеанс TCP.
Эта лазейка известна специалистам в области сетевых технологий уже почти два десятилетия. Однако в связи со все более широким использованием Internet и широкополосных Internet-соединений провайдеры доступа постепенно расширяли размер окна, то есть диапазон допустимых последовательностей, по которым можно было прерывать соединения. Соответственно увеличивалась и вероятность атак.
Сеансы BGP особенно уязвимы в этом отношении, поскольку остаются активными дольше, при этом легче спрогнозировать, между какими двумя устройствами будет установлено соединение, к тому же в соединении нередко участвуют системы с открытыми IP-адресами.
Впрочем, несмотря на всю потенциальную серьезность ситуации, на деле влияние этого изъяна может оказаться незначительным.
Легко предположить, что ведущие производители сетевого оборудования обсуждали эту проблему с NISCC задолго до того, как об этом сообщили широкой публике, что дало этим компаниям время подготовить заплаты. К тому же в протокол BGP заложена защита от атак и поддержка механизма цифровой подписи с использованием таких алгоритмов, как MD5, которые предотвращают фальсификацию исходных адресов.