Investigadores de la Universidad de California dicen haber detectado una grave vulnerabilidad en la implementación de Transmission Control Protocol (TCP), o Protocolo de Control de Transmisión en todas las versiones de Linux desde fines del 2012 (3.6 y posteriores).
La vulnerabilidad hace posibles las escuchas remotas e intercepción de las comunicaciones vía Internet de terceros. Todo lo que un intruso necesita es la dirección IP de los dispositivos participantes en la comunicación, y que ambos estén dotados de sistemas operativos basados en el kernel de Linux.
Servidores y smartphones
Aunque el uso del kernel de Linux es limitado en computadoras personales, hay otras áreas donde es el sistema operativo dominante. Esto incluye el sistema operativo móvil Android. Paralelamente, numerosos servidores web funcionan con sistemas operativos basados en Linux. Lo mismo ocurre con servidores de correo electrónico y otros servicios de comunicación.
Lo anterior implica que el número de conexiones Linux-a-Linux en Internet es formidable. Los investigadores han demostrado que la vulnerabilidad hace posible iniciar ataques dedicados que detectan las actividades de un usuario en Internet, junto con tener la posibilidad de suspender sus conexiones a la red, escuchar comunicaciones no cifradas, inyectar datos falsos y reducir la protección de la privacidad ofrecida por redes como Tor.
La vulnerabilidad fue detectada durante un proyecto de investigación científica liderado por Zhiyun Qian, catedrático de UCR. En un comunicado, Qian explica que al contrario de lo que ocurre con los ataques convencionales, el ataque a TCP puede realizarse incluso cuando el afectado no haya descuidado su propia seguridad.
Durante sus pruebas, los expertos constataron que los ataques en que se utiliza la vulnerabilidad TCP pueden ser realizados en menos de un minuto, con un porcentaje de éxito del 90%.
El ataque es demostrado en el siguiente video:
“El aspecto peculiar del ataque que hemos demostrado es lo limitado de las condiciones que deben manifestarse para realizarlo. En principio, puede ser realizado por cualquier individuo, en cualquier lugar del mundo donde haya una máquina atacante que permita la modificación de la IP. Lo único necesario es saber las direcciones IP del cliente y del servidor”, agrega Qian en el comunicado.
Parches disponibles
La vulnerabilidad ya ha sido solucionada en la versión más reciente del kernel de Linux (4.7), pero no en las versiones anteriores. Por ejemplo, Red Hat informa en ésta página que Fedora 23 y 24 fueron actualizadas hace más de tres semanas, mientras que las versiones afectadas de Red Hat Enterprise Linux fueron actualizadas hace una semana.
En éste documento (17 páginas) se publican detalles del trabajo de investigación, que ha sido financiado por Army Research Laboratory (ARL Cyber Security CRA) del Ejército estadounidense y por Nation Science Foundation.