Stonesoftin löytö: vanha uhka, mutta uudet keinot
10
Tietoturvayhtiö Stonesoft paljastaa yksityiskohtia tietoturvauhasta, josta yhtiö tiedotti viime viikolla.
Stonesoftin uhka koskee niin sanottuja ips- (intrusion prevention system) ja ids- (intrusion detection system) järjestelmiä, eli suomeksi tunkeutumisenesto- ja -havaitsemisjärjestelmiä. Stonesoft on tutkimuksissaan löytänyt uusia keinoja, joilla useiden valmistajien ips- ja ids-järjestelmät voidaan kiertää.
Tietoturva-asiantuntijat ovat tienneet näistä evasion- eli suojauksenohitusmenetelmistä aiemminkin, mutta niitä on tutkittu verrattain vähän.
– Stonesoft on löytänyt kehittyneitä suojauksenohitusmenetelmiä, kertoo Stonesoftin markkinointijohtaja Klaus Majewski.
– Vanhat menetelmät ovat yhä toiminnassa, mutta nämä kehittyneemmät menetelmät pystyvät yhdistämään niitä.
Stonesoft on tutkinut uusia menetelmiä omassa testiympäristössään useiden valmistajien ips-järjestelmiä vastaan. Vaikka järjestelmät torjuisivat yksittäiset menetelmät, niin niiden yhdistelmiä vastaan ne ovat usein hyödyttömiä.
Yksi suojaus ei
yleensä riitä
Suojauksenohitusmenetelmät eivät sinällään ole vaarallisia, mutta niiden avulla voidaan naamioida varsinainen hyökkäyskoodi siten, etteivät yrityksien ips- ja ids-järjestelmät pysty havaitsemaan niitä.
Majewski vertaa suojauksenohitusmenetelmiä murtovarkaaseen, joka pyrkii pankin holviin.
– Suojauksenohitusmenetelmä on kuin naamiointi, jolla varas välttää turvakamerat ja hälyttimet. Varsinainen hyökkäys on työkalu, jolla yritetään murtaa pankkiholvi, Majewski sanoo.
Niinpä verkkorikolliset voivat ottaa työkaluiksi esimerkiksi jo tunnetut Conficker- ja Sasser-verkkomadot, jos yritys ei suojannut ips-järjestelmien takana olevia tietojärjestelmiään muilla tavoilla, esimerkiksi tietoturvapäivityksillä.
Stonesoftin löytämät menetelmät eivät uhkaa yksityisten ihmisten kotitietokoneita, eivätkä edes kaikkia yrityksiä, kertoo tietoturva-asiantuntija Jussi Eronen Suomen Cert-fi -tietoturvayksiköstä.
Usein yritykset käyttävät tietoturvan suojaamiseksi niin sanottua sipulipuolustusta.
– Yleensä verkkopuolustukseen on monenlaisia toteutustapoja, ja suojauksenohitusmenetelmät ovat vain yhtä tekniikkaa koskeva riski, kertoo Eronen.
– Yleensä puolustukseen kannattaisi käyttää niin sanottua sipulipuolustusta. Suojaus sisältää monta eri kerrosta ja monta tekniikkaa, jolloin yhden pettäessä muut ovat vielä tehokkaita.
Eronen arvioi, että pelkkään ips-suojaukseen on yrityksissä saatettu luottaa joissakin ääritapauksissa, jos järjestelmien päivittäminen on ollut hankalaa. Yrityksessä voi olla esimerkiksi järjestelmiä, joiden täytyy olla koko ajan toiminnassa, eikä niillä ole varajärjestelmiä, tai järjestelmät ovat niin vanhoja, ettei valmistaja enää julkista niihin päivityksiä.
Erosen mukaan varsinaista tilastotietoa vain ips-suojaukseen luottavien yritysten määrästä ei ole.
Kommentit (10)
What we now need to do is use a fragmentation attack that will likely be a bit more evasive. Seen in the screenshot above is one of interest. Specifically, the “-F3” one. This is much like the first attempt we made, but this time there will be one fragment out of order in the fragmented packet train.
Eihän toi millään tavalla anna stonesoftille
lisää markkinoita. valmistajat kun patchaavat omat vehkeensä niin harva asiakas lähtee muille vesille.
evaasiotekniikoita on aina ollut ja aina tulee olemaan. Tähänkään mennessä ei ole ollut yhtään haavoittuvuutta tai tekniikkaa jota ei olisi korjattu, tai joka olisi aiheuttanut minkään näköistä IT admin liikennettä Stonesoftin kassaluukulle.
Epätoivoisen konkurssikypsän puljun viimeinen suolen kouristus jolla yrittävät välttää konkurssin.
ja vielä kun muistetaan, että IDS ei ESTÄ mitään, se vain havaitsee. Se on se IPS joka estää jos estää :)
It is interesting to note that when NSS Labs tested IPS products, Stonesoft was one of the vendors who failed the test. Why is this interesting? In their advisory on AETs, Stonesoft said that the best defense against them was an offering comparable to their StoneGate network security solution.
Stonesoft wasn’t alone in the NSS Labs test that measured the effectiveness of evasion detection. TippingPoint and Juniper also failed. When it comes to the vendors who passed, Cisco, IBM, Sourcefire, and McAfee were the ones who came out on top. Cisco and McAfee detected the full range of evasion techniques tested.
So if Stonesoft failed a basic evasion test, how are they detecting several evasion techniques at once? In the NSS Labs test, Stonesoft missed thee of the five tests given. A sixth test was listed as TBD by NSS Labs.