Mária
-7 °C
3 °C

Omlásveszélyes tűzfalak

Ahogyan a vírusellenes szoftverek, úgy a tűzfalak sem tudnak teljes biztonságot szolgáltatni használóik számára. Ez persze olyan állítás, mintha azt mondanám, nyáron meleg, télen pedig hideg van - egyrészt köztudott, másrészt csak részigazság.
A rendszerekbe való behatolás egyik jól bevált eszköze a trójai program. Ezek a kártékony jószágok olyasmiknek vannak álcázva, amik lehetőleg nem keltik fel senkinek és semminek a gyanúját. Egyetlen céljuk, hogy le tudjanak futni a megtámadott számítógépen. Elindulásuk után vagy közvetlenül tesznek kárt a rendszerben, vagy "csak" biztonsági rést ütnek rajta. A korszerű, jól konfigurált tűzfalak és vírusírtók többnyire képesek feltartóztatásukra.

A Def Con hackerkonferencián három dél-afrikai biztonságtechnikai szakember a trójai programok egy új fajtáját mutatta be. A Setiri-nek nevezett kód Microsoft alkalmazásnak álcázva magát, képes kijátszani az eddigi védelmi mechanizmusokat, és egy láthatatlan böngészőablakon keresztül felveszi a kapcsolatot az Anonymizer.com nevű proxy site-tal. Ezzel a technikával a felhasználó tudta nélkül szinte bármilyen parancs végrehajtható.

Ugyan a Setiri nem juthat ki a világhálóra, de mivel szakemberek létre tudták hozni, ez mások számára sem lehetetlen. A probléma fontosságára való tekintettel a Microsoft ígéretet tett annak mihamarabbi kiküszöbölésére.

A szuperdínó sem sebezhetetlen

Természetesen a tűzfalakon nem csak Microsoft alkalmazásként lehet átjutni. A Symantec Raptor tűzfalon például egy teljesítménynövelő eljárás okozhat problémát, melynek kihasználásával a támadó eltérítheti a védett rendszeren zajló kommunikációt.

A biztonsági rés az új kapcsolatok létrejöttekor használt véletlenszámok, úgynevezett TCP ISN (Initial Sequence Numbers) generálásának folyamatában található.

A jobb teljesítmény érdekében ugyanis, röviddel a kezdeményező kapcsolat lezárulta után, a rendszer az ugyanarról az IP-címről és TCP-portról érkező adatok fogadásához a korábbi számot használja fel újra. A régi kapcsolat megszűnte, és az új létrejötte közötti rövid idő alatt a támadó az IP-cím és a TCP-port adatai alapján, úgynevezett spoofing eljárással, jogosulatlan hozzáférést szerezhet.

Ubizen Luxembourg, a hiba felfedezője szerint a legnagyobb probléma mégsem ebben, hanem a véletlenszámok generálásának algoritmusában rejlik, ugyanis az viszonylag egyszerű módon, a forrás és a célrendszer portszáma, valamint IP-címe alapján generálja az ISN-t. A generálási mód felfejtése után, az előző szám ismeretében viszonylag könnyen kitalálható a következő ISN. A Symantec a hiba felfedezését követően igen hamar közzétette honlapján a javítást.