De sårbarheter som uppmärksammats nu under oktober slår hårt mot
tillgängligheten. Inte minst den sårbarhet som lär finnas i
flertalet TCP/IP stackar där det räcker med 30-40 paket per sekund
för att "frysa" ett system. Den sårbarheten," socketstress", har
ännu inte någon lösning. Vill du vara på säkra sidan är rådet att
du skall begränsa vilka IP-adresser du önskar kommunicera med.
Dessvärre är det inte görbart i de stora sammanhangen.
De som upptäckte sårbarheten lär ha gjort det av misstag, som så
ofta när sårbarhet uppdagas, vad värre är att de trots flera år av
forskande inte har något förslag till lösning. Sedan någon månad
tillbaka har ett antal aktörer tillgång till upptäckten i hopp om
att snabbare finna en lösning på sårbarheten. Risken är
förhållandevis stor, trots att samtliga inblandade parter hittills
hanterat informationen med mycket gott omdöme, att den läcker ut
innan en färdig lösning finns att tillgå.
Flera blev nog tagen på sängen när Microsoft i dagarna släppte en
patch till RPC utanför det ordinarie månadsmönstret. Allt fler
bygger sina rutiner på att de patchas en gång i månaden och väl
synkroniserade med Microsofts normala patch släpp. Ett tänk som kan
göra organisationen än mer sårbar för händelser likt denna .
RPC-sårbarheten är mycket allvarlig, dessutom finns det ovanligt
många "proof of concept", vilket gör att sårbarheten snabbt kommer
att unyttjas av illsinniga. Givetvis kan man ställa sig frågan om
någon seriös aktör verkligen exponerar RPC direkt eller indirekt
mot Internet. Noterbart är dock att RPC-sårbarheten är en utmärkt
språngsbräda, inte minst när man börjar närma sig de inre zonerna
där det dessutom är betydligt svårare att inte exponera RPC. Kanske
leder detta till en ökad efterfrågan på hostbaserade IPS'er vilka
lär ha haft "motmedel" mot just denna sårbarhet i ett par år.
RPC-sårbarheten kommer definitivt att användas för att kidnappa
överexponerade "hemma användare" och därmed bidra till att bygga
större och nya BotNet. Lite paradoxalt när vi nu har vetskap att
det räcker med en dator på en 56k förbindelse för att frysa en
TCP/IP-stack. Det kommersiella värdet av ett BotNet för en
distribuerad belastningsattack har minskat, åtminstone för en
tid.
Dessa, eller andra sårbarhetsupptäckter är inte unika på något
sätt. Historien upprepar sig även här. Högst sannolikt har vi ännu
inte upptäckt de allvarligaste sårbarheterna. Men problemet är inte
enbart sårbarheterna i sig, utan den enorma överexponering som allt
för många utsätter sig för. Effekten av en sårbarhet får allt för
stora proportioner som det är idag. Näst efter den mänskliga
faktorn, är överexponeringen den enskilt största
sårbarhetsfaktorn.
Nätaccess skulle helt enkelt aldrig medges till en överexponerad
dator!
© 2008 Thomas Nilsson, Certezza AB
