Il giorno 27/ago/08, alle ore 12:05, Gaetano Zappulla ha scritto:
Non ho ancora letto tutto il materiale a disposizione pubblicamente su internet ma gia' viene definito "The Internet's Biggest Security Hole" (uhm :P), quindi ve lo segnalo. http://blog.wired.com/27bstroke6/2008/08/revealed-the-in.html http://blog.wired.com/27bstroke6/2008/08/how-to-intercep.html Le slides dovrebbero essere disponibili qui: http://eng.5ninesdata.com/~tkapela/iphd-2.ppt altrimenti ho notato che sul blog di wired (sul secondo URL, in particolare) c'e' un mirror. Se qualcuno finisce di leggere prima di me e vuole aggiungere particolari/dettagli/altro, è molto più che benvenuto ;-)
Da quello che ho avuto modo di analizzare non so se definirla "The Internet's Biggest Security Hole", di sicuro è una vulnerabilità molto grave (quest'anno sembra che ci sia una gara per la vulnerabilità peggiore e il CVSS non mi sembra un criterio molto affidabile). Ci sono comunque un paio di elementi da prendere in considerazione:
1) La sfruttabilità non è alla portata di tutti. Non basta compilare un exploit in C e runnarlo contro la vittima (cosa che è invece possibile per un'altra grave vulnerabilità di pochi mesi fa che affligge molti router dell'infrastruttura di Internet e riguarda il protocollo SNMPv3), bisogna essere quantomento in possesso di un router che gestisca il protocollo BGP (non ho idea dei prezzi che possano avere) e avere elevate capacità tecniche visto che nessun tool è stato rilasciato ma bisogna basarsi sulle informazioni disponibili per creare un attacco vero e proprio. Come è scritto nell'articolo di Wired, sarà sicuramente interessante per chi fa seri lavori di spionaggio.
2) La vulnerabilità non riguarda nessun bug nel software dei router, ma è insita nella struttura stessa del protocollo BGP. Il che la renderà molto duratura, molto più succosa per un attaccante e molto più difficile da mitigare per gli ISP & c.
Staremo a vedere gli sviluppi futuri. Quello che mi stupisce è come si sia incominciato a parlare estensivamente di questa vulnerabilità solo oltre 2 settimane dopo che il Defcon si è concluso.
Saluti, Alberto Trivero ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
