IPv6 sårbart!

2011-04-20

Tänk vad en rubrik kan väcka uppmärksamhet. Att artikeln, krönikan eller reportaget sedan inte behöver höra samman med rubriken är snarare en regel än ett undantag. Den här krönikan lever i det perspektivet i ett gränsland.

För ett par veckor sedan slogs det upp stort att IPv6 var förenat med stora risker och innehöll en rad sårbarheter. Vid en närmare granskning är det lätt att konstatera att den enda relationen till IPv6 är att den illvillige utnyttjar det faktum att flera organisationer tillåter IPv6 trots att de inte har några fungerande säkerhetsmekanismer likt brandväggar och inspekterande mekanismer likt IPS som kan hantera IPv6. Detta faktum har flera redan uppmärksammat vid inkapsling av traditionell IPv4 trafik i okrypterad IPsec, exempelvis Microsofts koncept Servers and Domain Isolation (SDI) som inte bara isolerar trafik från oönskade aktörer utan även från övervakningsutrustning likt IPS och antivirus.

En beslutsfattare idag måste vara en riktigt duktig beställare. Lägg till detta en materia som är ovanligt rörlig och som grädde på moset en massa informationsbrus likt exemplet ovan. Oavsett om en funktion skall hanteras i egen eller annans regi behövs en rejäl dos kravställning då få leverantörer idag tänker, eller än mindre agerar utöver de givna ramarna. Tidigare, och oftast i egen regi, har diffusa krav oftast löst sig när det väl hamnar i utförarledet. Kravet på en fullödig beställning var sällan något problem då det även låg i utförarens intresse att det blev en förväntad leverans. Kassakon för dagens aktörer, inte minst de som verkar i outsourcing branschen, är att ta bra betalt för det som inte kravställts. Själva outsourcingkontraktet är inte sällan en ren förlustaffär.

Säkerhetsbranschen är extra tacksam när det handlar om att få mediautrymme. Vem som helst med lite finess och övertygelse, gärna med en lat skribent som måltavla, utan större problem få en sensationsrik rubrik följt av ett innehåll som kanske till en början uppfattas ha substans. Den källkritiska läsaren har redan efter ett par-tre sekunder sållat bort artikeln och kan fortsatt navigera tryggt. För övriga är det ytterligare ett orosmoln som tonat upp, dessutom parallellt med att IPv4 adresser sinar. Kanske en ny anledning till att avvakta?

Sårbarheterna och riskerna som målades upp i det aktuella fallet bygger på en rad antaganden som borde oroa oavsett IPv6 eller ej. Exempelvis förväntades den illvillige redan ha kontroll över viss intern utrustning. Jag tror att även den som kör IPv4 skulle känna viss oro över det faktumet.

Liknelsen med berättelsen om de tre små grisarna haltar en hel del, men det faktum att den som bygger ett rejält hus från grunden inte behöver oroa sig när det blir dåligt väder, och det blir det som bekant i emellanåt. En kanske grå och trist sanning, men sanningen är sällan en sensation!