Yaygın internet erişim protokolü TCP'nin Linux versiyonunda tehlikeli açık keşfe

Başlatan OnLive, 17 Ağustos 2016 - 18:29:28

« önceki - sonraki »

0 Üyeler ve 1 Ziyaretçi konuyu incelemekte.

OnLive

Yaygın internet erişim protokolü TCP'nin Linux versiyonunda tehlikeli açık keşfedildi

Araştırmacılar Linux işletim sistemlerinde 2012'nin sonlarından itibaren yer alan TCP versiyonundaki bir açığı keşfetti. Açık sayesinde yalnızca bilgisayarların IP'lerini kullanarak iletişime müdahale etmek mümkünmüş. Açığa karşı geçici bir yama öneriliyor.


Kaliforniya Üniversitesi Riverside doktora öğrencisi Yue Cao önderliğindeki araştırma ekibine, çalışmalarını çeşitli yazılımlardaki güvenlik açıklarını yakalayarak yazılım firmalarına sistemlerini iyileştirme imkanı vermek üzerine yoğunlaştıran UCR profesörlerinden Zhiyun Qian danışmanlık ediyor. Araştırma 10 Ağustos'ta Texas Austin'de gerçekleştirilen USENIX Güvenlik Sempozyumu'nda "Off-Path TCP Exploits: Global Rate Limit Considered Dangerous" başlıklı makale ile sunuldu. Makaleye Qian'ın web sayfasından erişmek mümkün.

Saldırganların keşfedilen açığı kullanarak bir kullanıcının internet üzerindeki faaliyetlerini takip etmesi, seçilen ağ noktaları arasındaki iletişimi sonlandırması, kullanıcılar arasındaki iletişime sızması, ya da Tor vb. anonim ağların sağladığı mahremiyet güvencesinin derecesini azaltması mümkün.

SORUN NE KADAR YAYGIN?

TCP, yani İletim Denetimi Protokolü (İng. "Transmission Control Protocol"), dijital iletişim sistemlerinde uygulama katmanı ile ağ katmanı arasında yer alan ve internet trafiğinin yaklaşık %80'inde kullanılan bir protokol. Modern iletişim sistemlerinin çoğu TCP/IP, yani ağ katmanında İnternet Protokolü (IP), ulaştırma katmanında TCP kullanıyor. Ortaya çıkarılan açık, TCP'nin Linux işletim sistemlerinde yer alan bir versiyonuyla ilgili.

İnternet kullanıcılarının tamamı Linux işletim sistemi kullanmıyor olsa da birçok altyapısal sistem ve Android akıllı telefon vb. birçok cihaz Linux tabanlı.

TCP SIRA NUMALARINI ELE GEÇİRMEK

TCP, uygulama katmanı vb. yukarı katmanlardan (yani kullanıcının doğrudan etkileşim kurduğu katmanlardan, örneğin bilgisayarında bir tarayıcı açıp HTTP protokolü kullanarak bir web adresi girmesi gibi) aldığı verileri "segment" adı verilen birimler halinde aşağı katmanlara (örneğin verilerin "paket" halinde dolaştığı ağ katmanı) iletirken sıra numaraları (İng. "sequence number") kullanıyor. Bu sıra numaralarını edinmek saldırganlara birçok imkan sağlayabiliyor.

Araştırmacılar Linux yazılımında "side channel" adı verilen, kolay göze çarpmayan bir kusuru ortaya koydu. Bu kusur saldırganların belli bir bağlantıya ait TCP sıra numaralarını, yalnızca IP adreslerini kullanarak ele geçirebilmesine imkan tanıyor. Bu da demek oluyor ki herhangi iki makine arasındaki iletişime dışarıdan bağlanan bir saldırgan, iletişim içeriğini gizlice dinleyebilir, kullanıcıların faaliyetlerini takip edebilir, bağlantıları kesebilir ve iletişime sahte paketler enjekte edebilir.

HTTPS gibi şifrelenmiş bağlantılar da sorunlu. Bunlara veri enjekte edilememesine rağmen yine de bu tip bağlantılar saldırgan tarafından kesilebilir. Saldırganlar aynı zamanda bağlantı güzergahlarını belli röleler üzerinden geçirmek suretiyle Tor vb. anonim bağlantıların mahremiyet derecesini azaltabilir.

SALDIRILARDA HIZLI VE KESİN SONUÇ

Bu saldırı tipi çok hızlı şekilde gerçekleştirilebiliyor ve %90 başarı riski taşıyor. Araştırmacılar saldırının ne kadar az zaman aldığını, YouTube'a yükledikleri 2 dakikalık videoda gösteriyor.

Qian, geleneksel saldırıların aksine bu tip saldırılarda kullanıcının hiçbir kusur ya da dikkatsiz eylem sergilemesine gerek kalmadığını belirtiyor (kötü amaçlı yazılım yüklemek, bağlantılara tıklamak, vb.). Saldırganın ihtiyaç duyduğu tek şey iletişim halindeki kullanıcıların, yani "kurban" konumundaki istemci ile istemcinin bağlandığı sunucunun IP adresleri. Bunları ele geçirmekse pek zor değil.

GEÇİCİ YAMA

Araştırmacılar bu açıktan Linux'u haberdar etmiş ve uyarıları üzerine son Linux versiyonuna bazı yamalar yapılmış. Kullanıcılar aynı zamanda aşağıdaki geçici yamayı istemci ve sunucu cihazlara uygulayabilir. Bu yama "side channel"ın kullanılabilmesini pratik olarak imkansız kılmak üzere TCP'nin ACK limitini yükseltmek için tasarlanmış. Yama Ubuntu işletim sistemlerinde aşağıdaki şekilde kullanılabilir:

1. /etc/sysctl.conf dosyası açılır, "/net.ipv4/tcp_challenge_ack_limit = 999999999." komutu eklenir
2. Konfigürasyonu güncellemek için "sysctl -p" komutu koşulur

***

Kaynak: http://goo.gl/NRudVT
"People said I should accept the world. Bullshit! I don't accept the world." ― rms

plazma