Af chefkonsulent Preben Andersen, UNI?C, leder af DK-CERT
Send nogle få datapakker til en router. Så holder den op med at modtage data, indtil den bliver genstartet. Så enkel var opskriften, der i midten af juli måned kunne have lagt internettet ned.
6. juli offentliggjorde Cisco Systems, at selskabet havde opdaget en sårbarhed i stort set alle firmaets routere.
Cisco er verdens største netværksproducent, og firmaets routere håndterer størstedelen af de datapakker, der sendes rundt på internettet. Derfor kunne sårbarheden have medført, at store dele af internettet blev lammet.
Det skete ikke. Og det er der mindst to årsager til: Hurtig indsats og sårbarhedens karakter.
Ifølge amerikanske forlydender fik flere af de store internetudbydere besked om sårbarheden og hjælp til at fjerne den, før Cisco offentliggjorde informationen. Derved havde de mulighed for at lukke hullet, inden hackere kunne begynde at udnytte det.
Der gik kun kort tid, fra sårbarheden var offentliggjort, til de første angrebsprogrammer, der udnyttede den, var tilgængelige.
Pakker stopper køen
Sårbarhedens karakter var også med til at begrænse skaderne. Fejlen opstår, når en sårbar router modtager nogle særlige IP-pakker. Pakkerne er specielle derved, at de ikke indeholder de velkendte protokoller TCP eller UDP, men nogle mere eksotiske ved navn SWIPE, IP Mobility, Sun ND og Protocol Independent Multicast.
Når disse pakker ankommer i en bestemt rækkefølge, tror routerens software, at dens input-kø er fuld. Køen kan kun ryddes ved at genstarte routeren.
Dermed indbyder sårbarheden ikke til at blive udnyttet af en orm. En orm skal kunne spredes automatisk - men så snart denne sårbarhed er udnyttet, er routeren sat ud af drift. Derfor vil det være vanskeligt at skrive en orm, der udnytter sårbarheden.
En anden fordel ved denne sårbarhed er, at den findes i specialiseret udstyr. Skønt der er mange Cisco-routere på nettet, er der langt flere Windows-computere. Og en router vil som regel blive administreret af fagfolk, hvilket ikke er tilfældet for private brugeres pc'er. Derfor er der større chance for, at en router får opdateret sine programmer, end at alle Windows-brugere opdaterer deres pc'er.
Da sårbarheden ikke medførte større driftsproblemer på internettet, kan man regne med, at de store routere hos internetudbyderne fik fjernet sårbarheden i tide.
Det er derimod meget tænkeligt, at der stadig står en del mindre routere rundt omkring hos virksomheder, der ikke har installeret Ciscos rettelsesprogrammer. De er potentielle ofre for angreb, som kan afbryde den enkelte virksomheds internetforbindelse. Men det store internetnedbrud slap vi for i denne omgang.
DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.
Preben Andersen opdaterer den sidste fredag i hver måned Computerworld Onlines læsere med tendenser inden for IT-sikkerhed.
Relevante links:
