Gammel Internett-sårbarhet er rykende aktuell

Eksperter advarer igjen mot en eldgammel sårbarhet i Internett-protokollen. Bakgrunnen er slendrian fra bl. a. Sun og Microsoft, samt kraftigere PC-er og økt båndbredde.

Når to datamaskiner skal etablere en forbindelse med hverandre over TCP/IP - for eksempel når du går inn på et nettsted - genererer begge et tall kjent som Initial Sequence Number eller ISN. (Det går også under navnet TCP Sequence Number.) Dette tallet brukes for å holde rede på alle datapakkene som utveksles mellom tjener og klient. ISN genereres av operativsystemet og skal helst være et så tilfeldig valgt tall som mulig. Under en sesjon genereres stadig nye ISN.

Hvis sekvensen av ISN som styrer forbindelsen, ikke er tilfeldig, det vil si dersom det er mulig for en utenforstående å gjette seg til kommende ISN i en gitt forbindelse, vil det også være mulig for vedkommende å gi seg ut for å være for eksempel den tjeneren som klienten ønsker kontakt med. Å kapre en forbindelse på denne måten er ingen enkel bedrift. Poenget er at det er mulig, og at utfordringen blir mindre jo enklere det er å duplisere prosessen som et gitt operativsystem bruker for å generere sine ISN.

ISN-sårbarheten har vært kjent og diskutert siden midten av 1980-tallet. Konkrete tilfeller der kaprere har benyttet seg av svake ISN-generatorer, har vært oppdaget og beskrevet siden 1995.

Den allmenne utviklingen med økt prosessorkraft og større båndbredde åpner for nye muligheter til å analysere hvordan gitte maskiner - tjenere og klienter - genererer ISN. På samme måte som med kryptering, er metoder som kunne anses som sikre for noen år siden, i dag høyst usikre.

Utredninger som nylig er gjennomført uavhengig av hverandre av to amerikanske datasikkerhetsselskap, Guardent og BindView, har utløst en kraftig advarsel fra det halvoffentlige amerikanske datasikkerhetsinstituttet Computer Emergency Response Team (CERT) om at ISN-sårbarheten må tas alvorlig.

Et omfattende bakgrunnsmateriale er tilgjengelig fra nettstedene til alle tre. Her kan du blant annet lese hvor sårbart operativsystemet på din tjener eller din klient er, og hva som eventuelt kan gjøres for å bedre forholdene.

Utredningene maner til både ettertanke og handling. BindView konkluderer med at "kanskje med unntak av OpenBSD og Linux", har alle systemene - alt fra Windows og Mac til Solaris og Cisco - "mer eller mindre alvorlige mangler" som gjør det mulig for utenforstående å forutse eksakte sekvenser av de påstått tilfeldige ISN.

Det gjelder også serversystemer som i teorien skulle være utstyrt med sterke ISN-generatorer.

Svakhetene i Windows 95 og 98 er spesielt alvorlige. En enkel parametersetting kan drastisk redusere sårbarheten til Solaris.

BindView legger til at i de aller fleste tilfeller kan kyndige utenforstående på kort tid gjette seg til neste tall i en ISN-sekvens, selv fra en server, og selv om deres eget nettsamband går over modem eller DSL. Det understrekes at korrekt konfigurerte brannmurer og rutere kan hindre falske datapakker fra å nå målet, men at det igjen kan ramme den generelle ytelsen.

Det er utarbeidet en anbefalt norm, kalt RFC1948, for hvordan ISN bør genereres. På nettstedet til CERT tilbakeviser flere av leverandørene kritikken fra Guardent og BindView, blant annet ved å forklare at de implementerer, eller kan implementere, denne normen. BindView tar denne kritikken på forskudd, og advarer i sin utredning at RFC1948 ikke kan betraktes som den endelige løsningen på ISN-problemet.

Til toppen