Sårbarheter i Internett
Abstract
I de siste °arene har Internett blitt et viktig kommunikasjonssystem for samfunnet, b°ade som et
kommunikasjonsmedium og som en plattform for stadig mer avanserte tjenester. Internett har blitt en
viktig integrert del av mange virksomheters forretningsmodell, ogs°a de som anses °a være samfunnskritiske.
Private brukere har p°a samme m°ate i stor grad gjort seg avhengige av ulike typer internetttjenester.
M°alet med dette arbeidet er en s°arbarhetsvurdering av Internett med et anvendelsessyn. Dette innebærer
at det ses p°a sikkerhet og s°arbarhet fra tjenesteanvenders st°asted, og ikke fra internettinfrastrukturleverandørenes
st°asted. Videre konsekvenser innover i sluttbrukersystemer faller dog utenom.
Det er lagt størst vekt p°a °a gjøre en s°arbarhetsvurdering av internettinfrastrukturen som er felles
for de fleste tjenester, fremfor °a vurdere trusler som rammer brukerne direkte som for eksempel
virus og uønsket e-post.
Analysen har hatt fokus p°a villede handlinger og angrep, men ikke-villede handlinger dekkes ogs°a
i noen grad. Arbeidet har primært vært en litteraturstudie, supplert gjennom møter med i hovedsak
norske aktører innen offentlig forvaltning og næringslivet.
S°arbarhetsvurderingen er svært sammensatt, og det fremkommer ingen entydig konklusjon. P°a den
ene siden viser v°are funn at Internett er s°arbart for mange allment kjente angrep. Eksempler p°a slike
s°arbarheter ligger i viktige funksjoner som ruting (BGP) og navnetjenesten (DNS). P°a den annen
side er det til tross for disse og andre mer eller mindre kjente s°arbarheter ikke dokumentert angrep
mot Internett som har hatt omfattende konsekvenser i tid og omfang. Samtidig gjennomføres det
kontinuerlig tiltak i infrastrukturen for °a h°andtere og redusere s°arbarheter. Mye tyder derfor p°a at
Internett virkelig er en robust infrastruktur, selv om dette p°a ingen m°ate er verifisert.
Avslutningsvis gis det kort noen tanker og refleksjoner om tiltak og muligheten for regulering av
Internett. In recent years, the Internet has become an important communication system for our society, both
as a medium for communication and as a platform for increasingly advanced services. The Internet
has become an important integrated part of the business models of many organizations, including
those considered to be critical for society. Similarly, private users have made themselves dependent
on different kinds of Internet services.
It is the intention of this report to give a vulnerability assessment of the Internet from a user point
of view. This means that security and vulnerabilitiy are viewed through the lens of service users as
opposed to service providers, although further consequences in end user systems are not considered.
The primary aim has been to do a vulnerability assessment of the Internet infrastructure that is
common for most services, in preference to studying threats that are carried over the infrastructure
to affect users directly like viruses, worms and spam.
The assessment is focused on deliberate actions against the infrastructure, although unintentional
actions are covered to some degree. The primary work has been done through a study of available
literature, supplemented with meetings with mainly Norwegian actors in government administration
and the private industry.
Our vulnerability assessment covers a wide range of complex topics, and no clear-cut conclusion is
possible. On one hand, our results show that Internet is vulnerable with regards to many publicly
known attacks. Vulnerabilities in important functions like routing (BGP) and name services (DNS)
exemplify this. On the other hand, despite these and other less known vulnerabilities, there is a lack
of documented attacks against the Internet with extensive consequences in time and scope. At the
same time, measures are continuously being implemented in the infrastructure to handle and reduce
vulnerabilities. This may imply that the Internet really is a robust infrastructure, although this has
in no way been verified.
As an informal addendum we give some thoughts and reflections on Internet regulation and the
possibility of recommending measures for making the Internet more robust.