Los investigadores de la Universidad de California, Riverside han identificado una debilidad en el Protocolo de Control de Transmisión TCP de todos los sistemas operativos Linux desde finales de 2012 que permite a los atacantes secuestrar las comunicaciones de Internet de los usuarios de forma completamente remota.
Tal debilidad podría usarse para lanzar ataques dirigidos que rastrean la actividad en línea de los usuarios, terminan por la fuerza una comunicación, secuestran una conversación entre hosts o degradan la garantía de privacidad por redes de anonimato como Tor.
Dirigido por Yue Cao, un estudiante graduado en ciencias de la computación en el Bourns College of Engineering de la UCR, la investigación se presentará el miércoles 10 de agosto en el Simposio de Seguridad USENIX en Austin, Texas. El asesor del proyecto es Zhiyun Qian, un asistenteprofesor de ciencias de la computación en la UCR, cuya investigación se enfoca en identificar vulnerabilidades de seguridad para ayudar a las compañías de software a mejorar sus sistemas.
Si bien la mayoría de los usuarios no interactúan directamente con el sistema operativo Linux, el software se ejecuta detrás de escena en servidores de Internet, teléfonos Android y una variedad de otros dispositivos. Para transferir información de una fuente a otra, Linux y otros sistemas operativoslos sistemas utilizan el Protocolo de control de transmisión TCP para empaquetar y enviar datos, y el Protocolo de Internet IP para garantizar que la información llegue al destino correcto.
Por ejemplo, cuando dos personas se comunican por correo electrónico, TCP reúne su mensaje en una serie de paquetes de datos, identificados por números de secuencia únicos, que se transmiten, reciben y vuelven a ensamblar en el mensaje original. Esos números de secuencia TCP son útilespara los atacantes, pero con casi 4 mil millones de secuencias posibles, es esencialmente imposible identificar el número de secuencia asociado con cualquier comunicación particular por casualidad.
Sin embargo, los investigadores de UCR no confiaron en el azar. En cambio, identificaron una falla sutil en forma de 'canales laterales' en el software de Linux que permite a los atacantes inferir los números de secuencia TCP asociados con una conexión particular sinmás información que la dirección IP de las partes que se comunican.
Esto significa que, dado dos máquinas arbitrarias en Internet, un atacante ciego remoto sin poder espiar la comunicación, puede rastrear la actividad en línea de los usuarios, terminar las conexiones con otros e inyectar material falso en sus comunicaciones. Conexiones cifradas p. Ej., HTTPS son inmunes a la inyección de datos, pero aún están sujetos a ser rescindidos por el atacante. La debilidad permitiría a los atacantes degradar la privacidad de las redes de anonimato, como Tor, al forzar las conexiones a enrutar a través de ciertos relés.El ataque es rápido y confiable, a menudo toma menos de un minuto y muestra una tasa de éxito de alrededor del 90 por ciento. Los investigadores crearon un video corto http://www.youtube.com/watch?v=S4Ns5wla9DY que muestra cómo funcionan los ataques.
Qian dijo que, a diferencia de los ciberataques convencionales, los usuarios podrían convertirse en víctimas sin hacer nada malo, como descargar malware o hacer clic en un enlace en un correo electrónico de phishing.
"El aspecto único del ataque que demostramos es el requisito muy bajo para poder llevarlo a cabo. Esencialmente, cualquier persona en el mundo puede hacerlo fácilmente cuando una máquina de ataque está en una red que permite la suplantación de IP. Ella única información que se necesita es el par de direcciones IP para el cliente y el servidor de la víctima, que es bastante fácil de obtener ", dijo Qian.
Qian dijo que los investigadores han alertado a Linux sobre la vulnerabilidad, lo que ha resultado en parches aplicados a la última versión de Linux. Hasta entonces, Qian recomienda el siguiente parche temporal que se puede aplicar a los hosts del cliente y del servidor. Simplemente aumenta el 'desafíe el límite ACK 'a un valor extremadamente grande para que sea prácticamente imposible explotar el canal lateral. Esto se puede hacer en Ubuntu, por ejemplo, de la siguiente manera :
1. Abra /etc/sysctl.conf, agregue un comando "/net.ipv4/tcp_challenge_ack_limit = 999999999."
2. Utilice "sysctl -p" para actualizar la configuración.
Titulado "Explotaciones TCP fuera de ruta: límite de velocidad global considerado peligroso", el documento está disponible en el sitio web del laboratorio de Qian http://www.cs.ucr.edu/~zhiyunq/pub/sec16_TCP_pure_offpath.pdf .Además de Cao y Qian, Zhongjie Wang, Tuan Dao y Srikanth V. Krishnamurthy de UC Riverside, y Lisa M. Marvel, del Laboratorio de Investigación del Ejército de los Estados Unidos, contribuyeron al trabajo.El trabajo está financiado por el Laboratorio de Investigación del Ejército ARL Cyber Security CRA y la Fundación de Ciencias Nacionales bajo la Subvención 1464410.
Fuente de la historia :
Materiales proporcionado por Universidad de California - Riverside . Original escrito por Sarah Nightingale. Nota: El contenido puede ser editado por estilo y longitud.
Cita esta página :