Linux: individuata una falla nel protocollo TCP

Il protocollo TCP adottato da Linux è affetto da una vulnerabilità che consente di introdursi nelle comunicazioni tra client e server. I dettagli.

Vulnerabilità TCP - esempi

Un estratto del paper realizzato dal team di ricercatori dell’Università della California

 

I ricercatori dell’Università della California (sede di Riverside) hanno individuato una pericolosa vulnerabilità nel protocollo TCP (Transmission Control Protocol) adoperato da Linux. La falla risalirebbe alla fine del 2012 ma è stata scoperta solo recentemente: in ogni caso il team è già entrato in contatto con la community suggerendo alcune misure di prevenzione (un aggiornamento per i client e gli host) in attesa della patch ufficiale dell’OS – già in cantiere.

Linux è largamente utilizzato in eterogenei ambiti (servizi hosting, cloud, cellulari, televisori etc.) e la falla è considerabile come una minaccia per un elevato numero di utenti. I malintenzionati a conoscenza della vulnerabilità sarebbero teoricamente in grado di hackerare da remoto le comunicazioni internet sfruttando l’exploit per monitorare l’attività online di un utente, chiudere in maniera forzata le comunicazioni, introdurre codice malevolo (injection) o intercettare le informazioni scambiate tra client ed host, rendere meno efficaci soluzioni che garantiscono l’anonimato online (es: Tor). Anche le connessioni HTTPS, sebbene immuni a pratiche di injection, possono essere “terminate” grazie a questo metodo.

Side channel attack e TCP, ritorno al passato?

La vulnerabilità permette di dedurre la sequenza di numeri associata ad una determinata connessione basandosi sugli indirizzi IP delle parti comunicanti. All’atto pratico, dato l’indirizzo IP di due macchine qualsiasi presenti in Rete, è possibile inserirsi nel loro canale di comunicazione per effettuare varie operazioni (elencate in precedenza). L’attacco è veloce ed affidabile, osservano i ricercatori, perchè richiede meno di 60 secondi per essere portato a termine ed ha una percentuale di successo prossima al 90%.

” L’unica caratteristica che abbiamo mostrato [la procedura è stata spiegata meglio in un video evitando naturalmente che si trasformasse in un tutorial per aspiranti hacker ndr] è quella degli esegui requisiti necessari al lancio dell’attacco. In sintesi può essere effettuato facilmente da chiunque disponga di una macchina collegata ad un network che consenta l’IP spoofing [manomissione dell’IP utente grazie all’impiego di un pacchetto confezionato “ad hoc” ndr]. Le uniche informazioni necessarie sono due indirizzi IP [quello del client target e del server], piuttosto semplici da ottenere” ha commentato Zhiyun Qian (assistant professor of computer science presso l’Università della California).

Alcuni esperti di sicurezza informatica hanno sottolineato come tale vulnerabilità rimandi ai popolari attacchi side channel (un approccio che, piuttosto di affidarsi al classico metodo “brute force”, cerca di ottenere informazioni utili da falle derivanti dall’implementazione di una determinata misura di sicurezza) degli anni ’90: “a quei tempi il problema risiedeva nel fatto che diversi computer generassero i valori iniziali della sequenza dall’orologio, riducendo enormemente il numero di tentativi necessari per ottenere il controllo di una sessione remota”  ha osservato Craig Young (security researcher presso Tripwire).

Lo studio è consultabile al seguente link (pdf)

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *