Финская компания Stonesoft вот уже пару месяцев как объявила о появлении нового вида угроз, называемых динамическими техниками обхода - Advanced Evasion Techniques (AETs), которым по словам её представителей подвержены практически все (в том числе именитые) системы обнаружения/предотвращения атак - Intrusion Detection/Prevention System (IDS/IPS). В лучших традициях детективного романа Stonesoft постепенно выдаёт общественности всё новые и новые подробности, используя для этого, в частности, специально запущенный сайт: www.antievasion.com В настоящее время материалов накопилось уже достаточно, чтобы попытаться понять суть проблемы и её видение глазами финского вендора.
Согласно мнению Stonesoft, наиболее полно на мой взгляд изложенном в документе New Methods and Combinatorics for Bypassing Intrusion Prevention Technologies (pdf-файл), исторически стандарты сетевых протоколов разрабатывались исходя из парадигмы: передающая сторона должна отправлять данные максимально стандартным способом, а принимающая сторона должна допускать возможные отклонения от стандартов для повышения надёжности каналов связи и их общей устойчивости к возникающим при передаче ошибкам.
На практике это приводит к тому, что различающиеся предаваемые сообщения принимающая сторона может собрать в одинаковые итоговые сообщения.
Говоря о принципах работы систем IPS/IDS необходимо пояснить, что суть их работы сводится к поиску известных сигнатур уязвимостей в передаваемом потоке данных. Понятно, что при этом IDS/IPS не работает с каждым пакетом по отдельности, а пытается разобрать трафик и понять, что именно передаётся.
Стандартных реализаций стека протоколов TCP/IP не так много (Windows-реализация, Linux-вариант и несколько иных) и все современные системы защиты умеют анализировать сгенерированные с их помощью потоки данных и понимать, что именно передаётся. При этом, естественно, учитывается возможность потери пакетов при передаче и допускается неправильная интерпретация передаваемых данных конечной системой из-за ошибок. Такой разбор трафика называется нормализацией (Normalization).
Основная проблема заключается в том, что нормализация выполняется в предположении, что передающая сторона стремится быть максимально стандратной (согласно принятой парадигме), но злоумышленник, используя свой собственный стек протоколов TCP/IP может специально изменять передаваемый трафик так, что при его нормализации выявить саму передаваемую "полезную нагрузку" IDS/IPS не может, а на конечной стороне всё это великолепие собирается, тем не менее, во вполне понятный поток данных.
Таким образом, злоумышленник может незаметно для системы защиты передавать на сервер или рабочую станцию всё, что он пожелает, а пожелать что-то иное, кроме как сделать пакость, злоумышленник вряд ли способен.
Важно сделать ещё одно лирическое отступление, прежде чем проблема, описываемая Stonesoft, предстанет перед нами во всей красе. Что такое IPS по своей сути? Это виртуальный патч всех систем в сети. Не всегда администраторы могут установить актуальные обновления на все имеющиеся у них сервера и рабочие станции - из-за нехватки времени, по причине неизученности новых патчей и стабильности их работы, из-за несовместимостей с другим установленным на сервере программным обеспечением и т.д. IPS же, выявляя в трафике попытки использовать уязвимости, закрываемые новыми патчами, берёт на себя защиту уязвимых систем, делая то, что по идее должен делать патч.
Итак, организация, использующая современную "брендовую" IPS, считает себя находящейся в безопасности и уязвимость отдельных серверов (например, к тому же Conficker) её не беспокоит. Но вот упоминавшийся выше злоумышленник начинает "играться" с потоком данных, коверкая его таким образом, что ни одна IPS не может толком понять, что именно передаётся ("Может это просто шифрованный трафик? Или в канале сильные помехи?"), но конечная точка этот поток собирает во вполне осмысленный эксплойт. Этот эксплойт давно известен IPS, но она его просто не заметила, а сервер без патчей подвергается успешной атаке.
Вот так в общих чертах выглядит принцип AET, а подробности можно найти в упоминавшемся выше документе и на сайте www.antievasion.com
Степень серьёзности новой угрозы пока, наверное, каждый определяет для себя сам, но именитая лаборатория ICSA проблемой явно озаботилась и, по крайней мере, данный вопрос изучает.
Согласно мнению Stonesoft, наиболее полно на мой взгляд изложенном в документе New Methods and Combinatorics for Bypassing Intrusion Prevention Technologies (pdf-файл), исторически стандарты сетевых протоколов разрабатывались исходя из парадигмы: передающая сторона должна отправлять данные максимально стандартным способом, а принимающая сторона должна допускать возможные отклонения от стандартов для повышения надёжности каналов связи и их общей устойчивости к возникающим при передаче ошибкам.
На практике это приводит к тому, что различающиеся предаваемые сообщения принимающая сторона может собрать в одинаковые итоговые сообщения.
Говоря о принципах работы систем IPS/IDS необходимо пояснить, что суть их работы сводится к поиску известных сигнатур уязвимостей в передаваемом потоке данных. Понятно, что при этом IDS/IPS не работает с каждым пакетом по отдельности, а пытается разобрать трафик и понять, что именно передаётся.
Стандартных реализаций стека протоколов TCP/IP не так много (Windows-реализация, Linux-вариант и несколько иных) и все современные системы защиты умеют анализировать сгенерированные с их помощью потоки данных и понимать, что именно передаётся. При этом, естественно, учитывается возможность потери пакетов при передаче и допускается неправильная интерпретация передаваемых данных конечной системой из-за ошибок. Такой разбор трафика называется нормализацией (Normalization).
Основная проблема заключается в том, что нормализация выполняется в предположении, что передающая сторона стремится быть максимально стандратной (согласно принятой парадигме), но злоумышленник, используя свой собственный стек протоколов TCP/IP может специально изменять передаваемый трафик так, что при его нормализации выявить саму передаваемую "полезную нагрузку" IDS/IPS не может, а на конечной стороне всё это великолепие собирается, тем не менее, во вполне понятный поток данных.
Таким образом, злоумышленник может незаметно для системы защиты передавать на сервер или рабочую станцию всё, что он пожелает, а пожелать что-то иное, кроме как сделать пакость, злоумышленник вряд ли способен.
Важно сделать ещё одно лирическое отступление, прежде чем проблема, описываемая Stonesoft, предстанет перед нами во всей красе. Что такое IPS по своей сути? Это виртуальный патч всех систем в сети. Не всегда администраторы могут установить актуальные обновления на все имеющиеся у них сервера и рабочие станции - из-за нехватки времени, по причине неизученности новых патчей и стабильности их работы, из-за несовместимостей с другим установленным на сервере программным обеспечением и т.д. IPS же, выявляя в трафике попытки использовать уязвимости, закрываемые новыми патчами, берёт на себя защиту уязвимых систем, делая то, что по идее должен делать патч.
Итак, организация, использующая современную "брендовую" IPS, считает себя находящейся в безопасности и уязвимость отдельных серверов (например, к тому же Conficker) её не беспокоит. Но вот упоминавшийся выше злоумышленник начинает "играться" с потоком данных, коверкая его таким образом, что ни одна IPS не может толком понять, что именно передаётся ("Может это просто шифрованный трафик? Или в канале сильные помехи?"), но конечная точка этот поток собирает во вполне осмысленный эксплойт. Этот эксплойт давно известен IPS, но она его просто не заметила, а сервер без патчей подвергается успешной атаке.
Вот так в общих чертах выглядит принцип AET, а подробности можно найти в упоминавшемся выше документе и на сайте www.antievasion.com
Степень серьёзности новой угрозы пока, наверное, каждый определяет для себя сам, но именитая лаборатория ICSA проблемой явно озаботилась и, по крайней мере, данный вопрос изучает.