На хакерской конференции Black Hat в Лас-Вегасе никогда нет недостатка новостей о новых уязвимостях и взломах. Не стал исключением и этот год. Например, специалисты из компании Neohapsis Labs подготовили интересную презентацию о потенциальной опасности новомодного протокола Multipath TCP. Хотя он ещё не утверждён в качестве стандарта, но уже используется в устройствах Apple и нескольких других производителей.
Multipath TCP — расширение протокола TCP, позволяющее направлять трафик по нескольким каналам одновременно, а также незаметно переключаться с одного канала на другой. Например, скачивание файла не прервётся, когда телефон незаметно переключится с 3G на WiFi.
Однако, по своей природе Multipath TCP представляет определённые риски для безопасности по нескольким причинам. Во-первых, он нарушает нормальную процедуру инспекции трафика. В-вторых, из-за Multipath TCP труднее контролировать, что трафик идёт по каналам доверенного провайдера, а не каким-то другим путём. В-третьих он затрудняет работу файрвола из-за своеобразного способа соединения с удалёнными серверами.
Хотя Multipath TCP обратно совместим с обычным TCP, но кардинально затрудняет использование существующих программ для информационной безопасности, считают эксперты Neohapsis Labs. В качестве примера они демонстрируют сбой функции “Follow TCP stream” при анализе соединения в Wireshark.
И это не единственный пример. С помощью Multipath TCP можно обойти защиту практически в любой IDS, DLP и т.д. Разработчикам такого ПО придётся иметь дело с такими неприятными «побочными эффектами» нового протокола.
