Internet stukmaken kan op heel veel manieren. En nu hebben we er weer eentje: met een paar slim gekozen TCP/IP pakketten is het mogelijk om vrijwel elke op internet aangesloten computer plat te leggen, meldt Webwereld.
Bijzonder aan deze aanval is dat hij kennelijk al jaren bekend was bij ontdekkers Outpost24. Men komt echter nu pas naar buiten, omdat er nog steeds geen oplossing voor is en de aandacht misschien mensen stimuleert om deze te gaan zoeken. Op 17 oktober zullen de ontdekkers de aanval demonstreren, maar geen diepe technische details geven.
En dat was waar een lezer me over mailde: zouden ze die wel mogen geven eigenlijk? Met die details kan iedereen aan de slag om een exploit te maken en systemen platleggen. Niemand die dat kan stoppen, want er is dus geen oplossing bekend. Dat lijkt nogal onverantwoordelijk. Maar is het strafbaar?
Als ik de artikelen goed begrijp, dan gaat het hier om een vorm van denial of service, een aanval waarbij de toegang tot een geautomatiseerd werk wordt belemmerd door bepaalde gegevens op te sturen. Dat is strafbaar onder artikel 138b Wetboek van Strafrecht. De meeste mensen denken bij een DoS-aanval vooral aan grote hoeveelheden onzingegevens zoals bij mailbommen of pingfloods. Maar ook een enkel slim gekozen pakketje valt onder deze strafbepaling (winnuke’t u nog wel eens iemand?).
Ook strafbaar is het om technische hulpmiddelen aan te bieden die “hoofdzakelijk geschikt gemaakt of ontworpen” zijn om een DoS-aanval mee uit te voeren (art. 139d lid 2 sub a Strafrecht). Bij diefstal van diensten bepaalde de Hoge Raad in 2005 dat een tijdschrift met een stappenplan een verboden hulpmiddel was (om gratis Canal+ te mogen kijken). Maar dat ging alleen goed omdat artikel 326c van het Wetboek van Strafrecht spreekt van het aanbieden van een “voorwerp en/of gegevens”. En een tijdschrift bevat gegevens, zo oordeelde de Hoge Raad.
Artikel 139d lid 2 spreekt van een “technisch hulpmiddel”, wat mij toch een stuk beperkter lijkt dan “een voorwerp of gegevens”. Valt een proof of concept exploit, een stuk code dat laat zien dat een aanval echt mogelijk is, daar nu onder? Het is een hulpmiddel, maar is het geschikt gemaakt of ontworpen om ook werkelijk aanvallen mee uit te voeren? En dan dus niet demonstratie-aanvallen in het lab, maar echte aanvallen in het wild.
Ik vind het een erg lastige vraag. Het gaat me wat ver om code ter ondersteuning van beveiligingsonderzoek strafbaar te stellen. Aan de andere kant, als die code uitlekt hebben alle script kiddies ook weer maandenlang plezier met het platleggen van internet en dat is ook bepaald onwenselijk.
Wat vinden jullie? Mag die code worden gepubliceerd, of moeten ze daarmee wachten tot iedereen gepatcht is? En maakt het daarbij uit dat dit een fout met een heel brede impact is, in tegenstelling tot een eenvoudige buffer overflow in versie X van één bepaald stuk software?
Arnoud
Het klinkt tot nu toe als “veel geschreeuw, weinig wol”. Het komt vaker voor dat security-researchers iets heel groots gevonden denken te hebben, wat achteraf mee blijkt te vallen.
Er gaat elke dag zoveel crap over het internet, dat je zou verwachten dat een fout op d?t niveau soms per ongeluk getriggert wordt namelijk..
Uiteindelijk mocht ook bekend gemaakt worden hoe de ov-chipkaart gekraakt moest/kon worden. Het lijkt mij dan ook niet meer dan logisch dat het toegestaan is deze bug/flaw in de tcp/ip-stack implementaties van besturingsystemen openbaar te maken. Als dit niet blijkt te mogen, waarom mogen andere bugs in serversoftware etc. dan wel openbaar gemaakt worden?
In het RUN-TLS kort geding (over ov-chip publicatie) maakte de rechter duidelijk dat het expliciet niet ging om praktische/stapsgewijze kraakinformatie, maar om publicatie van de zwakheden van de chip in een niet-direct-bruikbaar formaat, bijvoorbeeld een beschrijving van algoritmes d.m.v wiskundige formules. Of het publiceren van praktische kraakinformatie (waar het m.i. bij broncode om gaat) toegestaan is, heeft de rechter toen niet bepaald.
http://insecure.org/stf/tcp-dos-attack-explained.html
Wow, bedankt Martijn! Als ik Fyodor goed begrijp, dan is dit een variant op de oude bekende SYN flood. Kennelijk kunnen operating systems nog steeds niet goed omgaan met de situatie dat er heel veel connecties aangevraagd maar nooit ingezet worden.
Het is inderdaad een ‘variant’ op SYN-attacks, alleen is deze wel een miljoen keer erger. Waarbij bij normale SYN-attacks er voor zorgen dat alle connecties open gaan, waardoor er geen nieuwe connecties met de server gemaakt kunnen worden, zorgt deze nieuwe vorm van aanvallen ervoor dat de timers in de tcp/ip-stack van de meeste OS’en gespoiled worden, waarna na deze attack ook geen nieuwe connecties meer geaccepteerd kunnen worden. (zie ook hier).
Ik zie dat die Canal+-zaak uit 2005 nog een heel vervolg heeft gekregen. Na het arrest van de HR in 2005 heeft het Hof Amsterdam opnieuw vrijgesproken, maar nu omdat het stappenplan onder meer wegens het ontbreken van geluid niet tot “gebruik van een dienst” zou leiden. De HR heeft op 8 juli 2008 dat oordeel vernietigd en de zaak verwezen naar het Hof Den Haag. Zie LJN BC9192.
Ik vind het “gegevens”-deel van art. 326c lid 2 Sr persoonlijk nogal bedenkelijk. Een wettelijke bescherming van security through obscurity?