Neue Bedrohung
Experten warnen vor TCP/IP-Schwachstelle
Nach der Sicherheitslücke im Domain Name System (DNS) gibt es neue Hiobsbotschaften: Auch das TCP/IP-Internetprotokoll soll anfällig für Hackerattacken sein.
Schon vor drei Jahren wollen Experten der finnischen Sicherheitsfirma Outpost 24 den Fehler im TCP/IP-Protokoll entdeckt haben, der jeden Computer und Server angreifbar macht. Nun gehen sie an die Öffentlichkeit, um schneller eine Lösung für das Problem zu finden. Technische Details geben sie dabei aber nicht preis.
Offenbar können Angreifer durch die Sicherheitslücke jeden Computer und Server einfrieren, indem sie speziell vorbereitete TCP/IP-Pakete verschicken. Die Angriffe ähneln Denial-of-Service-Attacken, bei denen Netzwerke mit einer Flut von Daten überlastet werden. In Fall der TCP/IP-Schwachstelle ist aber nur ein Minimum an Datenverkehr nötig. „Mit nur zehn Datenpaketen pro Sekunde kann ein Dienst zum Erliegen gebracht werden“, erklärt Outpost-24-Experte Jack Lewis.
Forscher der dänischen Sicherheitsfirma Fox-IT bestätigen die Ergebnisse der Kollegen. „Auf Basis der vorliegenden Informationen könnte diese Schwachstelle gravierende Probleme bereiten“, sagt Erwin Paternotte von Fox-IT. „Wenn die technischen Details an die Öffentlichkeit gelangen, werden Denial-of-Service-Attacken zum Kinderspiel.“
Aufmerksam wurden die Outpost-24-Forscher auf das Problem während eines Test-Scans von 67 Millionen Internet-Hosts, bei denen einige plötzlich nicht mehr reagierten. Bei einer genaueren Untersuchung fanden die Experten den Fehler im TCP/IP-Stack. Sobald ein Angreifer erfolgreich eine Verbindung hergestellt hat, kann er auf wichtige Systemressourcen zugreifen. Die Outpost-24-Experten haben einen Proof-of-Concept-Code zum Nachweis der Schwachstelle entwickelt.
Bislang sei noch jede TCP/IP-Implementierung anfällig für das Problem. Laut Robert Lee, Leiter der Sicherheitssparte bei Outpost 24, reagiere ein betroffenes System nach einem Angriff nicht mehr und müsse neu gestartet werden. Firewalls und Intrusion-Prevention-Systeme seien wirkungslos, da sie ebenfalls TCP/IP unterstützen und dadurch zu potenziellen Angriffszielen werden. Der Fehler betrifft alle Betriebssysteme, wenngleich mit unterschiedlichen Auswirkungen.
Die Experten haben fünf verschiedene Angriffsszenarios ausgearbeitet, denkbar sind jedoch bis zu 30. Nachdem sie drei Jahre lang Stillschweigen über die Sicherheitslücke bewahrt haben, gehen sie nun an die Öffentlichkeit, um das Bewusstsein für das Problem zu schärfen und andere Sicherheitsexperten mit in die Lösungsfindung einzubinden, sagt Lee. „Nur weil wir keine Lösung gefunden haben, heißt das nicht, dass es keine gibt. Wir sind nur noch nicht darauf gekommen.“
Es gibt aber noch einen weiteren Grund für den Schritt an die Öffentlichkeit. Mit dem Übergang zum Internet Protocol Version 6 (IPv6) könnte sich das Problem noch verschärfen, da der Adressraum größer wird. Lee und Lewis werden ihre Entdeckung am 17. Oktober auf der T2-Sicherheitskonferenz in Helsinki vorstellen. Ein Podcast mit den beiden Experten steht auf De Beveiligingsupdate bereit.
