Den nygamla signaturmelodin

2010-05-31

Vi letar ständigt efter Produkten med stort P som skall lösa alla säkerhetsproblem, samtidigt som vi på långa vägar inte utnyttjar alla de funktioner som de befintliga säkerhetsprodukterna kan ge. Paradoxalt, eller bara tidens anda?

Den gamle trotjänaren i form av brandvägg blir ofta beskylld för att vara omodern och otidsenlig. Kanske för att den i grunden enbart undersöker portar och protokoll utan att ha någon egentlig förmåga att identifiera applikationen som använder protokollet. Flera menar att utvecklingen av brandväggen upphörde efter införandet av Stateful Packet Inspection.

Trots detta har det nog aldrig lagts ned så mycket tid som nu på att klassificera applikationer, finna det signifikanta och skapa en signatur som sedan kan användas för att kanske fria eller fälla trafik i en “modern” brandvägg. Vilken nydaning, eller bara gammal teknik i nya kläder? Eller rättare sagt gammal teknik i gamla kläder.

Signaturerna är som bekanta inte vattentäta. Minns hur mycket vi under de senaste åren beskyllt antivirustillverkarna för att förlita sig på gammal, reaktiv teknik. Skillnaden är möjligen att de inte enbart görs signaturer av elaksinnad kod utan även normala applikationer som Skype, Teamviewer, TOR, Facebook med flera. IPS kanske någon tänker?

Faktum är att flera brandväggstillverkare sedan länge adderat IPS- och antivirusteknik i sina produkter i ett led att bättre förstå applikationslagret och därmed förmå att reagera på vad som klassas som normalt eller onormalt. Signaturhanteringen i brandväggen har fått till följd att brandväggens prestanda märkbart påverkas vilket leder till behov av väsentligt kraftfullare brandväggar för att göra inspektionen möjlig.

Det mest allvarliga problemet med signaturer, oavsett om det är i ny förpackning eller ej, är att det kan bli fel, eller rättare sagt, det blir fel förr eller senare. Följden blir kanske att vår affärskritiska applikation blockeras, eller att vi kanske inte alls har det skydd vi trodde vi hade för att applikationen vi trodde vi blockerat inte är blockerad längre.

Ganska nyligen såg vi stora konsekvenser av detta då en antivirustillverkare skickade ut en signaturuppdatering som blockerade en viktig systemfil i Windows XP, och det var absolut inte första gången det hände. Säkerligen inte heller den sista.

Tillverkarna brukar snabbt påpeka att lösningen är heuristik (djupare och intelligentare analys än signaturer), men även det uppvisar brister. Trots bristerna har signaturigenkänning absolut en roll att fylla i en modern säkerhetslösning, men den ingrediensen precis som alla andra ingredienser skall användas utifrån sin karaktäristik.

Den trista sanningen är att fortsatt bygga skydd i lager, att sträva mot att inte lägga alla ägg i en korg och inte minst bygga lösningar där skadeeffekterna är minimala. Formen, förpackningen eller färgen är sällan eller aldrig avgörande i den strävan, pr-byråer och marknadsförare till trots.