Nya aktörer, nybyggda infrastrukturer och inte minst nya tillämpningar har åter givit skjuts åt gamla risker. Den mest omtalade risken just nu är ARP-poisoning. En relativt gammal teknik som gör det möjligt att inom ett nätsegment styra om trafiken mellan två parter via en tredje part, vilket i sin tur möjliggör allt från avlyssning till förvanskning av data. Konkret utnyttjar man en brist där många TCP/IP-implementationer, utan att ha ställt någon ARP-fråga, accepterar ett ARP-svar varvid en utomstående enkelt kan ändra i de sårbara datorernas ARP-cache.
Granskar man mediarapporteringen under de sista månaderna lyfts den gamla tekniken fram som något nytt och skrämmande. Tyvärr finner man också direkta felaktigheter i rapporteringen, vilket inte är ovanligt i dessa sammanhang. Det målas upp scenarios med allt från att denna teknik kan användas över världsdelar, till att banktransaktionerna är i farozonen. Parallellt haglar varningarna för att utbyta känslig information via IP-telefoni tätt.
Här är det på plats med ett förtydligande. ARP-poisoning kräver att förövaren har access till samma nätsegment som någon av de datorer man har för avsikt att attackera och det är inte sannolikt att ett Internetcafé i USA och en organisation i Sverige befinner sig i samma nätsegment. Därmed inte sagt att ett Internetcafé i USA inte kan användas för att attackera en organisation i Sverige, men det är högst osannolikt att man enbart använder sig av ARP-poisoning för att styra om trafiken via Internetcafét.
Det kan sedan tyckas vara märkligt att en ny, känslig tillämpning – som exempelvis IP-telefoni – inte tagit lärdom av historien. Det är inte speciellt svårt att skydda sig mot ARP-poisoning, vilket varje brandvägg med självaktning visat. Det är också märkligt att de allra flesta fortfarande väljer att utbyta känslig trafik i klartext, trots att det aldrig har varit enklare att kryptera och autentisera data än vad det är idag. I stället förlitar sig de flesta på infrastrukturen, trots att man sällan har 100% kontroll över den.
Den överdrivna tilltron till infrastrukturen ger ofta bränsle till historier likt denna. I bästa fall har man separerat infrastrukturen och skiljt känsliga tillämpningar från övriga tillämpningar och är därmed mindre sårbar. Dessvärre är det mer troligt att man dragit fördel av att använda andra och snabbare konfigurationsmöjligheter. Ett slående exempel är IP-telefonens datoruttag som otvivelaktigt placerar ansluten dator i samma nätsegment som IP-telefonin vilket indirekt underlättar för attacker likt denna.
Detta är inte sista gången man dammar av gamla risker och kopplar samman dem med ny teknik. Det kan inte nog poängteras vikten av att lära av historien. Gamla kända attacker skall helt enkelt inte vara möjliga att återupprepa i ny teknik.
© 2006 Thomas Nilsson, Certezza AB
Thomas Nilsson
