den 12 januari 2003 av Thomas Nilsson
Dags för ett nytt år med nya
sårbarheter och nya hot. Det innebär dessvärre inte att de äldre
hoten lagt sig till vila och att alla kända sårbarheter är
åtgärdade.
I skrivande stund (12 januari) så har någon "fifflat" med domänen
åhlens.com. När anrop görs till http://www.ahlens.se så gör den en
redirect till http://www.ahlens.com. Normalt skall en DNS-fråga
till www.ahlens.com besvaras med 62.119.92.27 med efter "fifflet"
så erhålls svaret 209.247.228.201 där en av Playboys webbservers
finns. Lite förvånande för den som tänkt shoppa på Åhléns webb.
Utan att ha studerat denne incident i detalj, så anar jag att det
inte är en ny sårbarhet som gjort detta möjligt utan att det är en
känd sårbarhet som inte täppts till i tid.
De flesta lyckade attacker och intrång beror på att kända
sårbarheter inte åtgärdats. Samma mönster finner man om man
studerar tio-i-topp listorna för virus. Masken CodeRed som använder
en sårbarhet i MS IIS som upptäcktes för ett och ett halvt år sedan
sprids fortfarande i rask takt, vilket den självfallet inte skulle
gjort om sårbarheten åtgärdats.
Ett sätt att kontrollera att man åtgärdat alla kända sårbarheter
är att genomföra en provtryckning. Antingen utför man denna
kontroll i egen regi, eller så anlitar man ett företag som
genomföra detta och framför allt kan hjälpa till att tolka
resultatet och ge förslag på åtgärder. Provtryckningar är inget som
skall göras oregelbundet var eller vartannat år utan
provtryckningar skall genomföras löpande. Om ni väljer att
genomföra provtryckningar på egen hand kontakta då ett företag som
har till profession att utföra provtryckning och be att få använd
samma uppsättning verktyg. Ni bör också försäkra er om att få hjälp
av dem att tolka resultatet som verktygen ger.
Både vad gäller tilltäppning av sårbarheter och provtryckningar är
det oerhört viktigt att detta utförs på alla exponerade komponenter
i en Internet-lösning. Exponerade komponenter kan i sin tur ha
accessmöjligheter till komponenter som inte direkt är exponerade,
men dessa är därmed indirekt exponerade. Dessa komponenter faller
ofta i glömska vad gäller nätsäkerhetsarbetet. För er som har hela
eller delar av er exponerade komponenter hos en annan part så
ställer detta speciella krav på nätsäkerhetsarbetet. Förvänta er
inte att den andra parten täpper till sårbarheter om detta inte är
tydligt uttalat. En provtryckning bör självfallet även omfatta
komponenter hos annan part. Detta är dock inte helt
okontroversiellt varför detta bör diskuteras i förväg.
Med ett rutinmässigt nätsäkerhetsarbete kan ni förvissa er om att
ni inte är sårbar för redan kända sårbarheter.
© 2003 Thomas Nilsson, Certezza AB
