Брешь в самом популярном коммуникационном протоколе позволяет злоумышленникам нарушать связи между серверами. Так утверждается в предупреждении, опубликованном во вторник Британской национальной группой реагирования на компьютерные инциденты.

Протокол передачи данных по интернету ТCP (Transmission Control Protocol) содержит ошибку, которая «зависит от поставщика и приложения, но в некоторых реализациях… оценивается как критическая», утверждается в документе Координационного центра по безопасности национальной инфраструктуры Соединенного Королевства. Производитель сетевого оборудования Juniper Networks пришел к выводу, что его продукты уязвимы. Cisco Systems, Hitachi, NEC и другие изучают проблему, говорится в предупреждении.

Уязвимость позволяет реализовать так называемую reset-атаку. Многие сетевые приложения и программы опираются на работу с непрерывным потоком данных из одного источника — или сеансы, — и преждевременное прерывание сеанса может вызвать самые разнообразные проблемы в устройствах. Специалист по безопасности Пол Уотсон описывает способ, который делает нарушение потока данных значительно более простой задачей, чем считалось прежде.

Предупреждение Центра основано на отчете, который Уотсон намерен представить на этой неделе на конференции CanSecWest 2004 и который, по словам организатора конференции, возможно, уже опубликован NISCC. У Уотсона, который ведет прохакерский блог на Terrorist.net, получить комментарии не удалось.

Проблема связанных с ТСР reset-атак возникала и раньше — участники дискуссии в почтовом списке для крупных сетевых операторов, посвященной данной ошибке, называют ее новостью второй свежести — однако раньше считалось, что атакующий должен знать идентификатор следующего пакета данных в сеансе. Вероятность угадать его — один шанс из 4,3 млрд. Согласно предупреждению NISCC, исследование Уотсона показывает, что можно использовать любое число из определенного диапазона значений, а это значительно повышает вероятность успешных атак.

Эффект от прерывания соединения может быть разным в зависимости от приложения и устойчивости сетевого ПО. При определенных условиях атака может серьезно нарушить работу интернет-маршрутизаторов, выбирающих оптимальный путь передачи данных между серверами. Способ обмена информацией о маршрутах, так называемый Border Gateway Protocol (BGP), опирается на длительные сеансы, и нарушение этих соединений может вызвать «среднесрочную недоступность», говорится в предупреждении.

Ошибка может повлиять и на процесс назначения серверами имен цифровых интернет адресов для определенных доменов, таких как cnet.com. Кроме того, атаки могут использоваться для подрыва электронной коммерции, нарушая работу защищенных каналов связи между браузером и сайтом продавца.

Роберт Лемос (Robert Lemos), CNET News.com

21 апреля, 2004, 15:48

ZDNET Россия