Дефект TCP представляет угрозу для многих пользователей Сети

10 августа 2016 г., 14:16

Исследователи из Калифорнийского университета в Риверсайде (UCR) обнаружили уязвимость в протоколе TCP, которая присутствует во всех операционных системах Linux, выпущенных с конца 2012 г.

Юэ Цао (Yue Cao), аспирант Инженерного колледжа Бернса UCR, сообщил подробности исследования на конференции USENIX Security Symposium в Остине (штат Техас).

Большинство пользователей не работают с Linux напрямую, однако Linux-ПО используется на заднем плане — в серверах Интернета, Android-смартфонах и многих других устройствах. При передаче информации Linux и другие ОС применяют TCP для преобразования сообщения в серию пакетов данных, идентифицируемых уникальными номерами последовательности. С примерно 4 млрд возможных комбинаций, практически невозможно угадать номер последовательности и восстановить исходное сообщение.

В UCR обнаружили, что небольшой дефект программы Linux в виде «побочного канала» позволяет хакерам вычислить номера последовательностей TCP, относящиеся к конкретному сеансу связи, используя только IP-адреса его участников.

Это означает, что атакующий может удалённо подключаться к каналу коммуникаций между любыми двумя машинами в Сети, чтобы отслеживать онлайновые действия пользователей, прерывать связь или вставлять поддельное содержимое в коммуникации. Шифрование соединений, например с помощью HTTPS, защищает от модификации передаваемых данных, однако хакеры все равно способны обрывать коммуникации.

Уязвимость также позволяет направлять луковые пакеты через предопределенную цепочку релейных компьютеров, ухудшая защиту приватности, обеспечиваемую сетями Tor.

Как демонстрируется на подготовленном авторами коротком видео, обнаруженная уязвимость позволяет осуществлять быстрые и надёжные кибератаки, которые часто длятся менее минуты и приносят успех в 90% случаев. При этом от действий пользователей ничего не зависит, взлом не требует загрузки вирусного ПО или нажатия на фишинговую ссылку.

Провайдеры Linux были своевременно уведомлены о проблеме, благодаря чему в последней версии ОС сделаны соответствующие «заплаты». Временный клиентский и серверный патч, рекомендуемый авторами исследования, работает завышая номер ожидаемой последовательности (ACK) до очень большой величины, что делает практически невозможным использование побочного канала.