Ruotsalainen tietoturvayritys Outpost24 on varoittanut tcp-protokollatoteutusten haavoittuvuudesta, joka mahdollistaa eri verkkopalvelujen kaatamisen palvelunestohyökkäyksellä.

Valmistajien korjausaikataulujen vuoksi yhtiö ei paljastanut uusia yksityiskohtia ongelmasta viime viikon tietoturvakonferenssi T2:ssa, mutta demosi ongelmaa.

– Näytimme, miten Windows-koneella ajettavan palvelun saa alas alta kymmenen sekunnin. Näytimme myös, miten Windows-koneen saa täydellisesti lukkoon noin kahdessa ja puolessa minuutissa, Outpost24:n turvallisuuspäällikkö Robert Lee kertoo.

Leen mukaan yksi tämän aukon keskeisimmistä piirteistä on se, että hyökkääjä pystyisi kaatamaan isojakin internet-palveluja suhteellisen vähäisellä laskentateholla. Toistaiseksi ei ole tiedossa, että aukkoa olisi käytetty hyväksi.

Väärää tietoa liikkeellä

Cert-Fi:n mukaan sen koordinointityö haavoittuvuuden suhteen on sujunut odotetusti. Viestintäviraston tietoturvayksikkö Cert-Fi on ollut yhteydessä eri verkkolaitetyyppien, käyttöjärjestelmien ja verkkosovellusten keskeisiin valmistajiin ja toimittanut näille tarpeelliset tiedot, jotta tapauksen vaikutuksia erityyppisiin laitteisiin ja verkkosovelluksiin voidaan arvioida.

Outpost24 uskoo julkistavansa haavoittuvuuden yksityiskohdat kenties pääsiäisen tienoilla ensi vuonna, mutta päivämäärä saattaa lykkääntyä pidemmällekin.

– Ongelma on aika syvä, Lee korostaa ja toteaa, että korjaamiseen tarvitaan muutakin kuin vain valmistajakohtaiset päivitykset eri tuotteisiin. On myös luotava uutta ohjeistusta siitä, miten tcp-pinoja kirjoitetaan vastaisuudessa.

– Tämä on systeeminen ongelma, minkä vuoksi sen täysi ymmärtäminen vie niin paljon aikaa.

Lee on periaatteessa tyytyväinen valmistajien reagointiin ja kertoo muun muassa Juniperin tekevän hyvää työtä. Yksi palomuurivalmistaja, jota hän ei nimeltä mainitse, ei ole Leen mukaan vielä "tajunnut" asiaa.

On kuitenkin joukko tietoturvatutkijoita, jotka tekevät vääriä arvauksia ongelmasta, Lee sanoo. Lisäksi eräs tunnettu hakkeri, joka on verkkosivuillaan julkistanut kattavan kirjoituksen ongelmasta, on Leen mukaan ikävä kyllä väärässä. Monet ihmiset kuitenkin lukevat nämä tiedot ja luulevat sen jälkeen ymmärtävänsä asian paremmin, Lee harmittelee.

Cert-Fi tiedottaa tapauksen koordinoinnin etenemisestä syksyn ja talven aikana.