Amikor visszanyal a fagyi

Tegnapra (2009. március 29.) datálódik annak a sebezhetőségnek a nyilvánosságra kerülése, amely a Checkpoint tűzfal egy HTTP szolgáltatásához kapcsolódik: amennyiben a támadó eléri a 18264-es TCP portot, remote buffer overflow-t tud támadni a Referer, illetve az Authorization mezőkön keresztül. További színt hoz a történetbe, hogy a sebezhetőség leírásának történetében az első bejegyzés 2006-ra (!) nyúlik vissza.

Gyakran találkozunk azzal a hozzáállással, hogy "van drága hardveres tűzfalunk, biztonságban vagyunk". Több ok miatt is veszélyes egyetlen eszközre bízni egy informatikai infrastruktúra teljes biztonságát: egyrészt a drága, nehéz, rackbe építhető eszköz egyfajta hamis biztonságérzetet teremt azzal, hogy ott búg a gépterem legnagyobb rackszekrényében, ugyanis a legtöbb tűzfal körültekintő beállítás hiányában nem jelent számottevő védelemet, legfeljebb könnyen megkerülhető kellemetlenséget az elszánt támadó számára.

Másrészről nem szabad elfeledkezni arról, hogy a tűzfal is voltaképpen ugyanolyan eszköz (számítógép), mint a többi: nem tökéletes benne dolgozó kód, ugyanúgy derülnek ki sebezhetőségei, mint bármely más szoftvernek (ld. például a fenti bekezdésbeli linket). A nehézséget az ilyen céleszközök esetében az jelenti, hogy az esetek nagy részében jóval körülményesebb és nehezebb befoltozni a rést, mint egy update funkcióval ellátott szoftver esetében, másrészt a (viszonylag) alacsony eladott példányszám miatt a gyártókon sincs akkora nyomás a patch elkészítésére. Nem mellékesen számos esetben nem is lehetséges egyszerűen befoltozni az eszközök biztonsági réseit (emlékezzünk itt például arra a hírhedt cisco ip telefon sebezhetőségre, amikor ICMP csomagokkal lehetett megfektetni a hardveres telefonokat: firmware upgrade nélkül nem lehetséges kijavítani a hibát, ez pedig egy ezer készülékes hálózat esetében nem elhanyagolható idő és pénz. A másik klasszikus példát a HP hálózati nyomtatói jelentik, amelyekről IronGEEK 2006-ban tartott előadást - nos, a bemutatott támadásokat ma is végre lehet hajtani az üzemelő HP nyomtatók 90%-án).

A cégek biztonsági megbízottainak tudomásul kell venniük, hogy a feladatuk nem merül ki a drága integrált hálózatvédelmi megoldás megvásárlásában. A biztonság nem állapot, amelybe az eszköz révén eljuthatnak, hanem folyamat, amit az eszköz helyesen használva támogat.