sábado, 25 de octubre de 2008

Notas sobre problema en el TCP


La noticia ya es sabida, la anoto para recordar en el futuro... Después de haberse encontrado problemas con el DNS y con el protocolo BGP, y haberse puesto de moda el pre-aviso de vulnerabilidades con objeto de obtener algo de publicidad gratis mientras el descubridor da tiempo a los fabricantes a poner las medidas adecuadas en sus productos, ahora podríamos tener problemas con el mismo funcionamiento de TCP.

En este caso, fue una empresa llamada Outpost24 la que ha anunciado vulnerabilidades que implican la manipulación de la tabla de estados TCP (que registra en qué estado se encuentra una conexión TCP). De momento, no se han dado detalles acerca de cuál es el problema, parece tener que ver son las llamadas SYN cookies, un mecanismo que evita tener que mantener un registro del estado de una conexión, hasta que se termina el proceso de establecer la misma (el llamado TCP three-way handshake). Este mecanismo se utiliza para defenderse de los ataques SYN flood (es decir, evita que si un malote se dedica a lanzar únicamente paquetes de inicio de la conexión TCP, se desborde la tabla de estados TCP).

Se sabe que hay una herramienta llamada "socktress" que explotaría las posibilidades del problema, si bien no está disponible para descarga. Supuestamente, iban a darse más datos en las conferencias T2 de Helsinky, pero realmente no se ha ampliado información.

No creo que esto sea ninguna falsa alarma, porque las personas que han descubierto el asunto son auténticos TCP-ninjas, crearon por ejemplo el escáner Unicornscan. Espero a leer qué nos cuentan ;)

Algunos enlaces:
blog de uno de los autores
Algo de Fyodor
Entrada en Securityfocus
Algo de Hispasec


Si te gustó esta entrada, quizás quieras suscribirte al blog por email o por RSS...

4 comentarios:

GigA dijo...

El concepto de TCP-Ninja, ¿son la oposición a los UDP-Ninja? ¿Existen unan ninja wars ocultas?, ¿Tiene Naruto los dias contados?

Jo, me ha impactao el concepto :D, entiendo que ha sido un buen finde, salu2!

PD: Ya veremos más de estos "problemas" en TCP...

des dijo...

Jejeje, salía en un post de Securiteam, del que me hice eco, porque me hizo mucha gracia ;)

Lobosoft dijo...

Juasss... lo que está claro es que, a este paso vamos a tener vulnerabilidades hasta en el botón de reset de los equipos...

Habrá que seguirle la pista a estos "ninjas" :D

Saludos.

des dijo...

Je, pues ríete... pero el que el botón de reset sea fácilmente accesible en determinados equipos, se considera un problema... si estiramos un poco la idea... pues ya tenemos vulnerabilidades hasta en los botones de reset. ;)

Slds!