Κενό ασφαλείας στο πρωτόκολλο TCP αναστατώνει τους διαχειριστές δικτύων
Σε μία εγγενή αδυναμία του TCP, μέρους της οικογένειας πρωτοκόλλων επικοινωνίας του Διαδικτύου, εφιστά την προσοχή των διαχειριστών συστημάτων αμερικανική εταιρεία που ασχολείται με την ασφάλεια δικτύων. Η Guardent προειδοποιεί ότι η «κερκόπορτα» επιτρέπει σε επίδοξους εισβολείς να παρεμβάλλουν ύποπτα πακέτα δεδομένων και να παραλύσουν δικτυακούς τόπους.
60
Σε μία εγγενή αδυναμία του TCP, μέρους της οικογένειας πρωτοκόλλων επικοινωνίας του Διαδικτύου, εφιστά την προσοχή των διαχειριστών συστημάτων αμερικανική εταιρεία που ασχολείται με την ασφάλεια δικτύων. Η Guardent προειδοποιεί ότι η «κερκόπορτα» επιτρέπει σε επίδοξους εισβολείς να παρεμβάλλουν ύποπτα πακέτα δεδομένων και να παραλύσουν δικτυακούς τόπους.
Τα μηνύματα που ανταλλάσσονται μέσω Internet αποστέλλονται με τη μορφή επιμέρους πακέτων δεδομένων. Το πρωτόκολλο IP φροντίζει για τη μεταφορά τους στον παραλήπτη, ενώ το TCP ελέγχει την ακεραιότητα των πακέτων και «συναρμολογεί» το μήνυμα, βάζοντας τα επιμέρους πακέτα στη σωστή σειρά.
Για να επιτευχθεί αυτό, οι κόμβοι του Διαδικτύου που ξεκινούν μία σύνοδο επικοινωνίας (session) παράγουν έναν αριθμό γνωστό μόνο σε αυτούς: ο Initial Sequence Number (ή ISN) υποτίθεται ότι είναι τυχαίος και χρησιμοποιείται για να αναγνωριστούν τα πακέτα κάθε μηνύματος και να αποτραπεί η παρεμβολή «ξένων» πακέτων.
Η εταιρεία Guardent υποστηρίζει όμως ότι ο αριθμός δεν παράγεται με τυχαίο τρόπο. Ως εκ τούτου, ένας εισβολέας θα μπορούσε να «μαντέψει» το ISN και να παρεμβάλει δικά του πακέτα δεδομένων στη σύνοδο ή να επιτεθεί αποστέλλοντας μεγάλο αριθμό δεδομένων σε ένα διακομιστή (Denial of Service attack).
Ειδικοί υποστηρίζουν ότι το πρόβλημα είναι γνωστό από τη δεκαετία του 80. Όπως αναφέρει το Yahoo! News, η AT&T είχε υποβάλει το 1996 πρόταση για την επίλυση του προβλήματος στην ομάδα IETF, η οποία είναι υπεύθυνη για την κατοχύρωση των πρωτοκόλλων επικοινωνίας.
Η Guardent διευκρινίζει ότι είναι δύσκολο να περάσει κανείς την «κερκόπορτα» του TCP· υποστηρίζει ωστόσο ότι είναι θέμα χρόνου ωσότου κάποιος αναπτύξει τα απαραίτητα εργαλεία για να το επιτύχει και τα διαθέσει μέσω Internet.
Η εταιρεία ενημέρωσε την Ομάδα Έκτακτης Aνάγκης σε Θέματα Υπολογιστών του Πανεπιστημίου Carnegie Mellon (CERT) πρoτού δημοσιοποιήσει το πρόβλημα. Επίσης, δεν έδωσε όλες τις απαραίτητες λεπτομέρειες για το κενό ασφαλείας, προκειμένου να αποτραπεί η χρήση τους από επίδοξους εισβολείς.
Newsroom ΑΛΤΕΡ ΕΓΚΟ
- Πήρε φωτιά το Κύπελλο: Φαίνεται μάχη Ολυμπιακού-ΠΑΟΚ στους «8» και μετά ο νικητής με Παναθηναϊκό-Άρη στους «4»
- Παναθηναϊκός: Ο Μπενίτεθ στη μάχη για το «si» του Κέπα
- Είναι πιστοί οι Έλληνες; Οι απαντήσεις θα σας εντυπωσιάσουν!
- Τhe Simpsons: Το φαινόμενο, η αναρχία, το θεώρημα του Φέρμα και η αποθέωση της πιπίλας στο Χάρβαρντ – «Κίτρινος πυρετός»
- Ο ΠΑΟΚ έκανε άνω κάτω το Κύπελλο – Έρχεται Ολυμπιακός-ΠΑΟΚ στους «8» και ο νικητής με Παναθηναϊκό-Άρη στον ημιτελικό
- Λαζόπουλος για το σκάνδαλο ΟΠΕΚΕΠΕ: Όταν λέει η Νέα Δημοκρατία να πάω στο φυσικό δικαστή, έχει πιάσει ήδη τον φυσικό δικαστή
