När Internet tog fart i mitten av 90-talet så var
Denial-of-Service attacker en av de absolut vanligaste attackerna
och framför allt garanterat den attack som lyckades allra oftast.
Vi hade trots detta respekt för sårbarheter som kunde resultera i
lyckade Denial-of-Service attacker och gjorde vårt yttersta för att
stoppa dem. Jag hävdar att allt fler tillverkare som använder
OpenSource tonar risken med Denial-of-Service attacker och att
sårbarheter som upptäcks åtgärdas med allt för låg prioritet.
En Denial-of-Service attack innebär i enkla ordalag att man med
ett antal IP-paket, som formaterats på ett visst sätt, kan utnyttja
en sårbarhet i en tjänst eller i en utrustning som i sin tur
innebär att tjänsten eller utrustningen slås ut helt eller delvis.
Under våren har allt från OpenSSL till Cisco IOS haft sådana
sårbarheter.
Debatten under våren har lyft fram OpenSource som ett säkrare
alternativ eftersom vem som helst kan granska källkoden och på så
sätt lättare upptäcka sårbarheter. Jag tror på öppenhet, men det
förutsätter också en stark vilja att snabbt förändra och uppdatera
komponenter baserad på OpenSource. Det är här jag tycker mig se en
försämring. Eller snarare, förbättringen låter vänta på sig.
När en sårbarhet upptäcktes i Cisco IOS som innebär att man via
SNMP kan starta om utrustning som är baserat på Cisco IOS så gick
det ganska snabbt från det att upptäckten gjordes till dess det
fanns en rättning. Det samma gäller den senaste sårbarheten i Open
SSL, när sårbarheten väl konstaterats gick det ganska snabbt att få
fram en rättad version. Men, sedan infinner sig en tröghet att få
produkter som baserats på OpenSource-komponenter likt OpenSSL att
implementera rättningen.
När vi kontrollerar nyupptäckta sårbarheter med tillverkare som
använder OpenSource-komponenter som fundament i sina produkter så
får vi blandade reaktioner. Vissa verkar vara omedveten om
sårbarheten och andra säger att de är medveten om sårbarheten och
arbetar med en uppdatering. Samtidigt kan en tillverkare svara att
sårbarheten är bara av typen Denial-of-Service så vi behöver inte
vara oroliga. Oroliga? Säg det till ett företag som nyttjar en SSL
VPN lösning med 10.000 användare som baserats på OpenSSL. Speciellt
om du vet att det att det inte är ovanligt att det tar ett par
veckor att anamma en uppdaterad OpenSource komponent. -Det värsta
som kan hända är att er SSL VPN lösning slås ut ett par
veckor.
På många håll krävs det en uppryckning. Det räcker inte med
aggressiv reklam, hurtiga säljare och en snygg layout.
IT-säkerhetsprodukter måste värdesättas utifrån andra kriterier.
Exempel på frågeställningar är hur de fångar upp sårbarheter i de
komponenter de använder, hur snabbt de kan implementera en rättning
och hur snabbt de kan distribuera den? Frågor som inte gärna kan
ställas först när man väl gjort sitt inköp av produkt, är
stillastående under ett par veckor och du nyss fått svaret att det
bara är en sårbarhet av typen Denial-of-Service så du behöver inte
vara orolig.
© 2004 Thomas Nilsson, Certezza AB
