Tänk vad en rubrik kan väcka uppmärksamhet. Att artikeln,
krönikan eller reportaget sedan inte behöver höra samman med
rubriken är snarare en regel än ett undantag. Den här krönikan
lever i det perspektivet i ett gränsland.
För ett par veckor sedan slogs det upp stort att IPv6 var förenat
med stora risker och innehöll en rad sårbarheter. Vid en närmare
granskning är det lätt att konstatera att den enda relationen till
IPv6 är att den illvillige utnyttjar det faktum att flera
organisationer tillåter IPv6 trots att de inte har några fungerande
säkerhetsmekanismer likt brandväggar och inspekterande mekanismer
likt IPS som kan hantera IPv6. Detta faktum har flera redan
uppmärksammat vid inkapsling av traditionell IPv4 trafik i
okrypterad IPsec, exempelvis Microsofts koncept Servers and Domain
Isolation (SDI) som inte bara isolerar trafik från oönskade aktörer
utan även från övervakningsutrustning likt IPS och antivirus.
En beslutsfattare idag måste vara en riktigt duktig beställare.
Lägg till detta en materia som är ovanligt rörlig och som grädde på
moset en massa informationsbrus likt exemplet ovan. Oavsett om en
funktion skall hanteras i egen eller annans regi behövs en rejäl
dos kravställning då få leverantörer idag tänker, eller än mindre
agerar utöver de givna ramarna. Tidigare, och oftast i egen regi,
har diffusa krav oftast löst sig när det väl hamnar i utförarledet.
Kravet på en fullödig beställning var sällan något problem då det
även låg i utförarens intresse att det blev en förväntad leverans.
Kassakon för dagens aktörer, inte minst de som verkar i outsourcing
branschen, är att ta bra betalt för det som inte kravställts.
Själva outsourcingkontraktet är inte sällan en ren
förlustaffär.
Säkerhetsbranschen är extra tacksam när det handlar om att få
mediautrymme. Vem som helst med lite finess och övertygelse, gärna
med en lat skribent som måltavla, utan större problem få en
sensationsrik rubrik följt av ett innehåll som kanske till en
början uppfattas ha substans. Den källkritiska läsaren har redan
efter ett par-tre sekunder sållat bort artikeln och kan fortsatt
navigera tryggt. För övriga är det ytterligare ett orosmoln som
tonat upp, dessutom parallellt med att IPv4 adresser sinar. Kanske
en ny anledning till att avvakta?
Sårbarheterna och riskerna som målades upp i det aktuella fallet
bygger på en rad antaganden som borde oroa oavsett IPv6 eller ej.
Exempelvis förväntades den illvillige redan ha kontroll över viss
intern utrustning. Jag tror att även den som kör IPv4 skulle känna
viss oro över det faktumet.
Liknelsen med berättelsen om de tre små grisarna haltar en hel
del, men det faktum att den som bygger ett rejält hus från grunden
inte behöver oroa sig när det blir dåligt väder, och det blir det
som bekant i emellanåt. En kanske grå och trist sanning, men
sanningen är sällan en sensation!
