Stonesoft: i dettagli sulle Advanced Evasion Technique

I fornitori hanno avuto sei mesi di tempo per fornire aggiornamenti nei confronti dei nuovi 23 metodi di evasione.

Stonesoft ha rilasciato le informazioni relative al primo gruppo di Advanced Evasion Technique (Aet, Tecniche Avanzate di Evasione). La campionatura raccoglie i 23 metodi di evasione, con relative descrizioni, che sono stati comunicati al Cert-Fi sin dal maggio 2010.

Il processo di coordinamento relativo alle vulnerabilità governato dal Cert-Fi prevede che i produttori abbiano sino a 6 mesi di tempo per trovare il modo di aggiornare i propri sistemi nei confronti delle nuove minacce.

La descrizione delle 23 tecniche è resa disponibile sul sito Antievasion.

Lo scorso dicembre 2010 il Cert-Fi ha rilasciato un advisory dopo che erano trascorsi i 6 mesi in cui vendor di sicurezza potevano effettuare le proprie attività di ricerca, porre rimedio e dichiarare la propria posizione nei confronti della minaccia.

Secondo quanto pubblicato, pochi statement permettono di identificare le versioni non afflitte dal problema.

Al riguardo il Chief Operating Officer di Stonesoft, Juha Kivikoski, in una nota fa sapere che si aspettava tutti rispettassero il processo e che i vendor dichiarassero se sono o meno vulnerabili a queste Advanced Evasion Technique. Inoltre, nel caso fossero vulnerabili, dovrebbero dichiarare se e quando aggiorneranno i propri sistemi per offrire protezione anche nei confronti delle Aet.

Nella stessa nota Mika Jalava, Chief Technology Officer di Stonesoft, spiega come in molti casi la soluzione fornita consista nel bloccare le connessioni sospette sulla base di parametri specifici presenti nei campioni utilizzati, provocando interruzioni indesiderate del traffico e senza proteggere da modifiche banali dei parametri utilizzati.
Il modo corretto è quindi quello di comprendere il protocollo e normalizzarlo prima dell’ispezione. Utilizzare tecniche di fingerprinting non è sufficiente in quanto queste tecniche possono essere facilmente manipolate per evitare un simile riconoscimento. Il fingerprinting inoltre induce a falsi positivi. Molti dei metodi di evasione sfruttano caratteristiche permesse dagli standard. Inoltre limitarsi a bloccare il traffico che sfrutta tecniche di evasione non ci dice nulla sull’exploit impiegato.

Per Stonesoft i sistemi di sicurezza basati sull’ispezione del traffico devono comprendere i diversi strati di comunicazione nello stesso modo in cui vengono decodificati dal sistema che destinatario. Poiché le tecniche di evasione evolvono le funzionalità responsabili del loro riconoscimento, i sistemi di normalizzazione, devono avere la capacità di evolvere nello stesso tempo e modo.

Nel lungo periodo Stonesoft raccomanda ai programmatori, ai designer ed alle autorità di standardizzazione di Internet di prendere una posizione più rigida e precisa per limitare le ambiguità presenti all’interno dei protocolli di rete.

Gran parte dei problemi di rete sono riferibili alla sicurezza ben più che a necessità di compatibilità con sistemi obsolete.

Spesso questi problemi di sicurezza e in particolare quelli relativi alle evasioni sono causati da implementazioni di un protocollo che cercano di adattarsi a differenti tecniche di encoding.
La sicurezza dovrebbe far parte del disegno di un protocollo e della sua standardizzazione, non essere confinata nei ripensamenti a posteriori.

La Ricerca & Sviluppo di Stonesoft continua a lavorare con Cert-Fi per pubblicare nuove Aet. Rispetto al primo campione di 23 i nuovi esempi includeranno esempi che combinano un maggior numero di protocolli e strati contemporaneamente.
L’advisory aggiornato è disponibile a questo indirizzo.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome