När Internet tog fart i mitten av 90-talet så var Denial-of-Service attacker en av de absolut vanligaste attackerna och framför allt garanterat den attack som lyckades allra oftast. Vi hade trots detta respekt för sårbarheter som kunde resultera i lyckade Denial-of-Service attacker och gjorde vårt yttersta för att stoppa dem. Jag hävdar att allt fler tillverkare som använder OpenSource tonar risken med Denial-of-Service attacker och att sårbarheter som upptäcks åtgärdas med allt för låg prioritet.
En Denial-of-Service attack innebär i enkla ordalag att man med ett antal IP-paket, som formaterats på ett visst sätt, kan utnyttja en sårbarhet i en tjänst eller i en utrustning som i sin tur innebär att tjänsten eller utrustningen slås ut helt eller delvis. Under våren har allt från OpenSSL till Cisco IOS haft sådana sårbarheter.
Debatten under våren har lyft fram OpenSource som ett säkrare alternativ eftersom vem som helst kan granska källkoden och på så sätt lättare upptäcka sårbarheter. Jag tror på öppenhet, men det förutsätter också en stark vilja att snabbt förändra och uppdatera komponenter baserad på OpenSource. Det är här jag tycker mig se en försämring. Eller snarare, förbättringen låter vänta på sig.
När en sårbarhet upptäcktes i Cisco IOS som innebär att man via SNMP kan starta om utrustning som är baserat på Cisco IOS så gick det ganska snabbt från det att upptäckten gjordes till dess det fanns en rättning. Det samma gäller den senaste sårbarheten i Open SSL, när sårbarheten väl konstaterats gick det ganska snabbt att få fram en rättad version. Men, sedan infinner sig en tröghet att få produkter som baserats på OpenSource-komponenter likt OpenSSL att implementera rättningen.
När vi kontrollerar nyupptäckta sårbarheter med tillverkare som använder OpenSource-komponenter som fundament i sina produkter så får vi blandade reaktioner. Vissa verkar vara omedveten om sårbarheten och andra säger att de är medveten om sårbarheten och arbetar med en uppdatering. Samtidigt kan en tillverkare svara att sårbarheten är bara av typen Denial-of-Service så vi behöver inte vara oroliga. Oroliga? Säg det till ett företag som nyttjar en SSL VPN lösning med 10.000 användare som baserats på OpenSSL. Speciellt om du vet att det att det inte är ovanligt att det tar ett par veckor att anamma en uppdaterad OpenSource komponent. -Det värsta som kan hända är att er SSL VPN lösning slås ut ett par veckor.
På många håll krävs det en uppryckning. Det räcker inte med aggressiv reklam, hurtiga säljare och en snygg layout. IT-säkerhetsprodukter måste värdesättas utifrån andra kriterier. Exempel på frågeställningar är hur de fångar upp sårbarheter i de komponenter de använder, hur snabbt de kan implementera en rättning och hur snabbt de kan distribuera den? Frågor som inte gärna kan ställas först när man väl gjort sitt inköp av produkt, är stillastående under ett par veckor och du nyss fått svaret att det bara är en sårbarhet av typen Denial-of-Service så du behöver inte vara orolig.
© 2004 Thomas Nilsson, Certezza AB
Thomas Nilsson
