ISP CONTRO AET: PROTEGGERSI DALLE TECNICHE AVANZATE DI EVASIONE PER

Transcript

1 Stonesoft, società del Gruppo McAfee ISP CONTRO AET: PROTEGGERSI DALLE TECNICHE AVANZATE DI EVASIONE PER UN NUOVO CONCETTO DI NETWORK SECURITY (ISP VERSUS AET: PROTECTION AGAINST ADVANCED EVASION TECHNIQUES FOR A NEW CONCEPT OF NETWORK SECURITY) Sommario Il paradigma della Network Security sta cambiando e assistiamo a metodi di hacking sempre più evoluti e diffusi. Un esempio significativo sono le Advanced Evasion Techniques (AETs). Alcuni dicono che è una minaccia solo teorica; sta di fatto che i rischi crescono. Gli ultimi attacchi verso aziende di alto profilo, sia tecnico sia d immagine, hanno avuto successo e non sono stati ancora spiegati. L analisi delle tracce ha confermato la possibilità che possano essere stati veicolati mediante l utilizzo delle evasion techniques. Stonesoft, società del Gruppo McAfee, ha fatto una grande ricerca e una allarmante scoperta sulla potenza delle evasioni quando le tecniche si fanno avanzate e indirizzate contro i principali strumenti di sicurezza: il 99% di essi non è in grado di rilevarne le tracce. La domanda viene naturale: esiste una soluzione per le AET e cosa rende un dispositivo di sicurezza capace di proteggere da esse? Questa ricerca analizza questi fattori e presenta la risposta e gli elementi di novità che Stonesoft ha rilevato. Abstract Network security paradigm is shifting and we are witnessing era of more advanced hacking methdods becoming mainstream. One example of those methods spreading is advanced evasion techniques (AETs). While it is not a new security issue security and being around more than a decade security vendors have been systematically ignoring the threath saying it is only theoretical. Of course we can debate are they theoretical or not but meanwhile the risks are getting higher and the backdoor lies open. Recent successful and still unexplained attacks against high profile organizations have proved that evasion techniques are in use and those who do netcrime forensics can support the claim. Stonesoft, a McAfee Group Company, made a groundbreaking discovery of the power of evasions when they started to run advanced and combined evasion techniques against all the leading security devices. 99% were incapable to detect evasion discuised exploits traces. One clear question raises from here. Is there proper solution against advanced evasion techniques and what makes a security device to be capable to give protection against them? This paper focuses on studying these factors and explaining of how protection against Advanced Evasion Techniques in Stonesoft is built and how it differs from others. 1. Panoramica delle tecniche di evasione L implementazione di un protocollo deve essere estremamente solida. Ogni implementazione deve essere necessariamente interoperabile con le altre. Se da un lato lo scopo delle presenti specifiche è quello di fornire la massima chiarezza riguardo il protocollo in oggetto, permane sempre la possibilità di interpretazioni differenti. In linea generale un implementazione del protocollo deve essere prudente nel suo comportamento in invio e liberale nel suo comportamento in ricezione. Questo principio di robustezza è confermato dall asserzione: sii prudente in quello che fai, sii liberale in quanto accetti dagli altri. Deve quindi essere prevista la ricezione di qualunque datagramma che risulti comunque interpretabile (per esempio, prevedere la presenza di errori tecnici che non inficino il significato interpretativo). RFC DoD Standard Internet Protocol, gennaio Uno dei principi cardine dello standard IP (Internet Protocol) è proprio la robustezza appena ricordata. Si tratta di un principio basilare ed è impensabile anche solo immaginare come Internet avrebbe potuto essere realizzato senza uniformarvisi. 25

2 I vari protocolli tuttavia sono spesso complicati e si prestano a varie interpretazioni a livello di implementazione. Attraverso l uso di combinazioni inusuali di proprietà del protocollo raramente utilizzate, un cybercriminale può rendere estremamente difficile il rilevamento di un attacco da parte dei sistemi preposti alla sicurezza informatica. Un cybercriminale può inoltre assemblare del traffico di rete che non segue rigidamente i protocolli in modo da rendere ancora più difficoltosa l identificazione. Se il terminale di destinazione del traffico tenta di interpretarlo in modo permissivo, l attacco può svolgersi senza essere rilevato. Questo tipo di meccanismi di offuscamento viene indicato nel suo complesso come tecniche di evasione. Principi delle tecniche di evasione Trasmissione del traffico in maniera liberale Progettazione conservativa dei dispositivi di sicurezza Utilizzo di proprietà dei protocolli raramente utilizzate Utilizzo di combinazioni inusuali Conformazione del traffico in modo non rigidamente aderente alle specifiche di protocollo Sfruttamento delle limitazioni intrinseche dei dispositivi di sicurezza, sia a livello tecnico sia a livello di ispezione: capacità di memoria, ottimizzazione delle performance, inadeguatezze progettuali, ecc. Le tecniche di evasione sono un mezzo per dissimulare e/o occultare gli attacchi informatici in modo da evitarne il rilevamento (detection) e il conseguente intervento (Prevention) da parte dei sistemi di sicurezza. Le tecniche di evasione consentono ai cybercriminali di inviare qualunque tipo di contenuto pericoloso exploitando una vulnerabilità di sistema in modo da eludere i rilevamenti e i blocchi che altrimenti interverrebbero. I sistemi di sicurezza vengono resi inefficaci contro tali tecniche di evasione allo stesso modo in cui un velivolo "invisibile" ai radar è in grado di penetrare le difese aeree senza essere rilevato dai sistemi di scoperta ( Affidarsi unicamente all analisi del protocollo per bloccare queste tecniche di evasione non è sufficiente. Mentre alcune violazioni di protocollo possono essere associate direttamente alle tecniche di evasione, molte altre possono essere dovute soltanto a un implementazione imperfetta del protocollo stesso. Inoltre per diversi protocolli sono disponibili proprietà e opzioni perfettamente lecite, per quanto poco conosciute, che vengono utilizzate nelle tecniche di evasione. Perché l azione di rilevamento sia più accurata è necessario analizzare lo stream di dati effettivamente trasmesso. L attacco potrebbe essere poi offuscato da AET a molteplici livelli; si rende quindi indispensabile la normalizzazione del traffico e un analisi accurata al livello appropriato. I punti deboli degli attuali sistemi per la protezione delle reti Una domanda più che giustificata da parte degli utenti finali è: perché molto spesso l implementazione di una protezione adeguata contro le tecniche di evasione risulta così complessa? La risposta è che non è possibile correggere semplicemente il problema come avviene nel caso delle vulnerabilità. I motivi di ciò sono imputabili ai processi di gestione e ispezione del traffico e alle operazioni di rilevamento. Ognuna di queste capacità di un sistema IPS o NGFW (Next-Generation FireWall) riveste un importanza critica nell implementazione di una protezione adeguata contro le tecniche di evasione. - Molti dispositivi IPS sono orientati al throughput e dunque non sono in grado di effettuare una normalizzazione completa del traffico Un dispositivo di sicurezza efficace deve normalizzare integralmente tutto il traffico dati su ogni layer di protocollo prima di procedere all ispezione. Molti degli attuali sistemi di sicurezza sono stati progettati in modo da ottimizzare le performance per soddisfare requisiti di throughput elevati. Come conseguenza tali sistemi ricorrono a svariate scorciatoie effettuando la normalizzazione e l ispezione del traffico soltanto parzialmente. Per esempio, la gestione della segmentazione TCP viene condotta soltanto per determinate porte e determinati protocolli. Le tecniche di evasione possono dunque sfruttare tali debolezze nei processi di normalizzazione e ispezione del traffico. - Ispezione basata su segmenti o pseudo-pacchetti Un dispositivo di sicurezza efficace deve essere in grado di effettuare l ispezione costante degli stream di dati anziché limitarsi a segmenti o pseudo-pacchetti. Si tratta di una fondamentale caratteristica progettuale che è estremamente difficile modificare. Particolarmente nel caso dei prodotti basati su hardware, la riprogettazione dei disposi- 26

3 ISP CONTRO AET: PROTEGGERSI DALLE TECNICHE AVANZATE DI EVASIONE PER UN NUOVO CONCETTO DI NETWORK SECURITY (ISP VERSUS AET: PROTECTION AGAINST ADVANCED EVASION TECHNIQUES FOR A NEW CONCEPT OF NETWORK SECURITY) tivi di sicurezza richiede ingenti investimenti in ricerca e sviluppo. L ispezione basata su data stream richiede una capacità di memoria e una potenza di CPU notevolmente maggiori per garantire efficacia senza penalizzare il throughput. Per molti vendor si tratta di una mission impossible e ciò comporta capacità di ispezione non completamente efficaci. Le AET sfruttano questo punto debole mediante attacchi che travalicano il perimetro di segmenti e pseudo-pacchetti. - L approccio basato sulla corrispondenza integrale dei pattern nelle operazioni di rilevamento e contrasto Un approccio comparativo basato sulle vulnerabilità è fondamentale per implementare una protezione efficace contro le tecniche di evasione. Contro queste tecniche un approccio basato sugli exploit costituisce un pericolo concreto oltre che un punto debole per la sicurezza a lungo termine. Nella pratica, un approccio basato sulle signature e sulla corrispondenza dei pattern risulta impossibile da attuare. Tale approccio non è in grado di rilevare o bloccare le tecniche di evasione dato l enorme numero di combinazioni possibili e creare signature per tutti i dispositivi risulterebbe impossibile. Un simile approccio genererebbe un numero eccessivo di falsi positivi e finirebbe per bloccare anche il traffico legittimo. Tutte queste debolezze rendono molti dei principali dispositivi IPS vulnerabili alle tecniche di evasione avanzate. L esecuzione casuale di 124 AET tra quelle segnalate attraverso il coordinamento delle vulnerabilità governato da CERT-FI, il CERT finlandese, lo ha dimostrato chiaramente. 2. Un nuovo approccio: ispezione dei data stream con analisi multi-layer dei protocolli L approccio adottato da Stonesoft presenta due fondamentali differenze rispetto agli altri approcci. La prima è costituita dal modificare il meno possibile il traffico in transito, la seconda dal concentrare l attenzione sui data stream a livello applicativo dove effettivamente risiedono gli attacchi anziché sui datagrammi IP e sui segmenti TCP utilizzati per trasportarli. Nei layer più bassi Stonesoft IPS verifica che vi sia un unico modo particolare per ricostruire il data stream. Stonesoft generalmente permette il transito di IP-fragments e TCP-segments correttamente formati così come sono. Tuttavia, i frammenti o i segmenti contenenti dati conflittuali o sovrapposti vengono scartati. Tale processo di normalizzazione stabilisce l applicazione di un metodo univoco per interpretare il traffico di rete in transito attraverso la piattaforma IPS, in modo tale che lo stream di dati effettivo possa essere riassemblato in maniera affidabile per l ispezione nei layer superiori. A differenza di molti sistemi concorrenti che essenzialmente analizzano i singoli segmenti TCP, il processo di ispezione sviluppato da Stonesoft è incentrato sull analisi dei data stream a vari livelli. Per esempio, i dati trasmessi in una connessione TCP vengono assemblati in un data stream per effettuare l ispezione mano a mano che i segmenti TCP giungono a destinazione. Si tratta di un approccio incomparabilmente più efficace per rilevare gli attacchi all interno degli stream di dati, in quanto gli approcci basati sull ispezione dei singoli segmenti hanno difficoltà a rilevare attacchi estesi su più segmenti TCP. Nei layer superiori Stonesoft è in grado di riconoscere determinati elementi dei protocolli all interno dei data stream e, se le circostanze lo richiedono, di analizzarli come stream di dati separati, i quali possono essere normalizzati a seconda del tipo di protocollo. Per esempio, il traffico HTTP compresso viene decompresso e ispezionato e le named pipe MSRPC che utilizzano una stessa connessione SMB vengono sottoposte a de-multiplexing e quindi ispezionate separatamente. Questo approccio incentrato sui data stream con analisi multi-layer dei protocolli, comprensivo di normalizzazione dei dati specifici di protocollo a differenti livelli, è il punto di forza della soluzione Stonesoft e rende possibile l ispezione approfondita del traffico di rete. In Tabella 1 è riportato un riepilogo delle principali differenze fra il nuovo approccio adottato da Stonesoft e l approccio tradizionale. 3. IP IP è il protocollo della suite TCP/IP utilizzato per trasmettere datagrammi dall origine alla destinazione. Il protocollo IP non garantisce in alcun modo che i datagrammi giungano a destinazione: qualunque funzione in tale senso deve essere implementata nei layer superiori dello stack di protocollo. 27

4 Nuovo approccio Normalizzazione del traffico Accento posto sui data stream di livello applicativo Minime modifiche del traffico Ispezione Analisi multi-layer dei protocolli Ispezione dei data stream Rilevamento Rilevamento combinato di vulnerabilità e tecniche di evasione Approccio tradizionale Accento posto su datagrammi e segmenti TCP Maggiori modifiche e interpretazioni del traffico Analisi su singolo layer Ispezione dei singoli segmenti Vulnerabilità, exploit, shellcode, banner-matching Rilevamento basato su streaming Rilevamento basato su segmenti Tabella 1: Riepilogo delle principali differenze fra il nuovo approccio adottato da Stonesoft e l approccio tradizionale. Quando un datagramma IP viene trasmesso su un link in cui l unità massima di trasferimento (MTU) è più piccola del datagramma stesso, quest ultimo deve essere suddiviso in più frammenti IP. La gestione di tali frammenti richiede una particolare cura in ottica di normalizzazione del traffico. Esempio di evasione su IP Una ben nota tecnica di evasione riguardante il layer IP consiste nel frammentare il datagramma IP e di inviare i frammenti fuori sequenza. Un sistema IDS incapace di gestire frammenti fuori sequenza è vulnerabile: un attaccante infatti può mischiare intenzionalmente il proprio stream di frammenti in modo da eludere l IDS (Newsham & Ptacek, 1998). Inoltre, i sistemi IDS vengono messi in difficoltà dal fatto che i frammenti ricevuti devono essere conservati fino a quando lo stream viene riassemblato nel datagramma IP completo (Newsham & Ptacek, 1998). La deframmentazione IP, ovvero la raccolta, l ordinamento e la convalida dei frammenti, viene svolta in maniera efficace dalla maggior parte dei moderni sistemi IPS. In alcuni casi, però, la gestione dei dati sovrapposti o malformati può essere fonte di problemi o potenziali angoli ciechi nei sistemi IPS. Un nuovo approccio Stonesoft IPS raccoglie i frammenti IP in arrivo e conduce una serie di controlli che consentono di identificare eventuali frammenti IP malformati. I frammenti IP sovrapposti contenenti dati conflittuali vengono identificati e scartati. Quando tutti i frammenti sono stati ricevuti e riassemblati in un datagramma IP completo, Stonesoft IPS passa il datagramma al layer di protocollo successivo per l effettuazione della normalizzazione e di ulteriori controlli. Nessun frammento viene passato senza che il datagramma IP sia stato riassemblato con successo. 4. TCP Il protocollo TCP fornisce alle applicazioni una funzionalità di data stream orientato alla connessione. Una volta creata una connessione, ogni endpoint può scrivere all interno dello stream i dati che saranno ricevuti da un altro endpoint. Il protocollo TCP confeziona i dati dello stream in segmenti TCP che vengono inviati in forma di datagrammi IP. Una volta che i dati sono giunti a destinazione, il ricevente invia ricevuta al mittente (aknowledge, o ACK). In caso di mancato ACK, dopo un timeout si provvede a ritrasmettere i dati non pervenuti correttamente. Tecniche di evasione su TCP I segmenti TCP possono giungere all endpoint fuori sequenza e possono anche verificarsi duplicazioni. In particolar modo, per motivi prestazionali il mittente può inviare più segmenti senza attendere che il destinatario restituisca l ACK. Il protocollo TCP fornisce un metodo per controllare il flusso della trasmissione che prevede la regolazione della finestra TCP con l indicazione della quantità di dati accettabile dal ricevente. 28

5 ISP CONTRO AET: PROTEGGERSI DALLE TECNICHE AVANZATE DI EVASIONE PER UN NUOVO CONCETTO DI NETWORK SECURITY (ISP VERSUS AET: PROTECTION AGAINST ADVANCED EVASION TECHNIQUES FOR A NEW CONCEPT OF NETWORK SECURITY) 4.1. Un nuovo approccio: reassembly dello stream TCP Un altro aspetto che caratterizza l approccio di Stonesoft riguarda l analisi condotta sui contenuti effettivamente trasmessi attraverso le connessioni TCP. A tale scopo Stonesoft assembla i segmenti TCP in un data stream che viene successivamente analizzato. Per contrastare le tecniche di evasione basate sulla sovrapposizione dei segmenti TCP con contenuti conflittuali, i segmenti TCP vengono tenuti in memoria fino a quando l endpoint di destinazione ne conferma la ricezione mediante ACK. Questo approccio comporta una maggiore allocazione di memoria, in quanto per ogni connessione è necessario prevedere di conservare una quantità di dati approssimativamente uguale alla dimensione della finestra TCP: l impiego di appliance a 64 bit è quindi decisamente consigliato, in quanto sono in grado di gestire efficacemente una quantità di memoria adeguata Un nuovo approccio: la gestione delle risorse TCP I dispositivi IPS sono per natura soggetti a limitazioni date dalle risorse disponibili. Ogni connessione TCP richiede il mantenimento dello stato e potenzialmente la conservazione di diversi segmenti TCP. Per effettuare un efficiente gestione delle risorse IPS è necessario scendere a un compromesso tra un comportamento ad alte performance, dando la sensazione di virtual wire, e la robustezza contro le tecniche di evasione. Stonesoft IPS supporta diversi metodi alternativi per bilanciare i diversi aspetti operativi, come l utilizzo delle risorse e il livello di ispezione, senza modificare il traffico. Il problema è che gli endpoint di una connessione TCP possono consentire finestre di trasmissione anche di grandi dimensioni e, come abbiamo visto, i segmenti TCP devono essere conservati in memoria fino a quando il destinatario confermi la corretta ricezione. Ciò è necessario per poter riconoscere i segmenti TCP sovrapposti con contenuti conflittuali. È quindi necessario conservare una quantità di dati all incirca uguale alle dimensioni della finestra TCP, ma, date le dimensioni finite della memoria centrale, per poter ispezionare un gran numero di connessioni, è indispensabile limitare tale valore. Stonesoft ha messo a punto i due metodi di seguito descritti per gestire il traffico TCP Strict Mode Nella modalità TCP Strict Mode Stonesoft forza i segmenti TCP a transitare nell ordine previsto. Se i segmenti arrivano nell ordine sbagliato, i segmenti che seguono vengono tenuti in attesa fino all arrivo dei segmenti che li precedono. Lo stream applicativo verrà ispezionato fino a quel punto. La modalità TCP Strict Mode costituisce anche un eccezione alla regola base che vuole che i segmenti TCP transitino inalterati. In questa modalità Stonesoft può resettare gli option bit TCP dubbi e modificare le dimensioni della finestra nell header TCP, azioni queste che possono limitare il throughput. In considerazione del maggiore rigore della modalità TCP Strict Mode e della possibilità di modificare i frame in transito nel dispositivo, le performance sono generalmente inferiori rispetto a quella definita come modalità TCP Normal Mode, descritta di seguito TCP Normal Mode Nella modalità TCP Normal Mode Stonesoft non richiede il passaggio dei segmenti TCP nell ordine corretto. Se i segmenti arrivano in un ordine diverso, i segmenti che seguono transitano comunque ma vengono conservati in memoria. Quando nella connessione viene identificato il segmento TCP successivo, Stonesoft ricostruisce lo stream fin dove può e passa i dati al processo di ispezione. Se il processo rileva una minaccia, il segmento TCP in oggetto viene scartato e la connessione terminata. Ciò permette di bloccare le tecniche di evasione che prevedono il riordinamento dei segmenti TCP. Conservare i segmenti TCP ovviamente richiede memoria. Se non è possibile allocare memoria sufficiente per conservare tutti i segmenti della finestra TCP, essenzialmente sono possibili due opzioni. Per enfatizzare le performance si possono lasciare transitare i pacchetti senza procedere all ispezione; in alternativa, per mantenere l affidabilità dell ispezione, il sistema IPS può essere configurato in modo da scartare i pacchetti giunti eccessivamente in anticipo rispetto alla posizione corrente nello stream di dati. Ciò non costituisce una violazione del protocollo TCP in quanto i segmenti TCP vengono trasmessi in forma di datagrammi IP e non vi sono garanzie che un datagramma IP giunga a destinazione. Questo approccio fa leva sulla capacità dell implementazione TCP di inviare nuovamente i seg- 29

6 menti dopo un timeout e il drop del frame inoltre controlla indirettamente la finestra di congestione dello stack TCP del mittente Un nuovo approccio: Urgent Data Il protocollo TCP incorpora un meccanismo per segnalare l immissione di dati urgenti nel data stream. Gli header TCP contengono le informazioni relative alla posizione dei dati urgenti all interno dello stream. In base alle specifiche IETF, il meccanismo di segnalazione dei dati urgenti del protocollo TCP si limita a segnalare un punto di particolare rilevanza all interno del data stream cui le applicazioni possono saltare prima di aver elaborato qualunque altro dato. I dati urgenti devono comunque essere inviati in-band all applicazione. Sfortunatamente, quasi tutte le implementazioni TCP processano i dati TCP urgenti in maniera differente. Le applicazioni possono decidere di ricevere i dati urgenti in linea oppure fuori banda. Se i dati urgenti sono inviati out-of-band, essi vengono esclusi dal normale data stream. Come conseguenza, implementazioni differenti del protocollo TCP possono vedere un data stream diverso, la qual cosa fornisce un opportunità per le tecniche di evasione. Fortunatamente la modalità Urgent viene utilizzata raramente; Stonesoft IPS fornisce comunque diverse opzioni per terminare le connessioni nel caso in cui venga rilevato l utilizzo del bit Urgent. (Un altra alternativa consiste nel resettare i bit e i puntatori URG nei segmenti TCP). 5. AET e SMB La tecnologia SMB (Server Message Block), nota anche come CIFS (Common Internet File System), è un protocollo di rete del layer applicativo che viene utilizzato principalmente per fornire l accesso condiviso a file, stampanti, porte seriali e comunicazioni in genere tra i nodi di una rete. Questo protocollo fornisce anche un meccanismo di comunicazione autenticato fra processi. Nella maggioranza dei casi l utilizzo del protocollo SMB ha luogo su computer equipaggiati con il sistema operativo Microsoft Windows, nell ambito del quale era noto come Microsoft Windows Network prima della successiva introduzione di Active Directory. Wikipedia. Tecniche di evasione SMB a livello TCP È possibile suddividere i dati SMB write (ad esempio MSRPC) in segmenti di dimensione arbitraria. È anche possibile generare scritture SMB in multiplexing su named pipe o file differenti all interno di un unica connessione TCP. Ciò richiede ai sistemi IPS/NGFW la capacità di supportare le funzioni di convalida e normalizzazione del protocollo SMB. Un nuovo approccio Stonesoft incorpora più contesti di corrispondenza per la lettura e la scrittura dei file sul protocollo SMB. L utilizzo delle named pipe di Windows in associazione con il protocollo SMB rappresenta però un applicazione particolarmente interessante da analizzare. Le named pipe di Windows possono essere utilizzate in associazione con il protocollo SMB per trasmettere richieste MSRPC (Microsoft Remote Procedure Call). La piattaforma Stonesoft provvede ad analizzare attentamente il traffico: le scritture (e letture) di piccole dimensioni vengono deframmentate per l analisi MSRPC e ogni named pipe che utilizza la medesima connessione SMB viene esaminata separatamente (dopo adeguato de-multiplexing). 6. AET e MSRPC Il meccanismo RPC (Remote Procedure Call) permette a un applicazione di invocare trasparentemente procedure remote come se queste venissero eseguite localmente. MSRPC è l implementazione di Microsoft del meccanismo DCE RPC. Microsoft ha aggiunto al sistema DCE RPC nuovi protocolli di trasporto, in particolare il protocollo ncacn_np_transport, che utilizza le named pipe incorporate nel protocollo SMB. ( _srv/msrpc_intro.html). Esistono numerose vulnerabilità che coinvolgono il meccanismo MSRPC e i servizi Windows che lo utilizzano. Il meccanismo MSRPC può essere utilizzato con i protocolli TCP/UDP SMB o HTTP. Tecniche di evasione su MSRPC Il protocollo MSRPC supporta le codifiche Littleendian e Big-endian dei dati, la prima delle quali viene utilizzata comunemente, mentre la seconda, sebbene accettata dalla varie implementazioni, in 30

7 ISP CONTRO AET: PROTEGGERSI DALLE TECNICHE AVANZATE DI EVASIONE PER UN NUOVO CONCETTO DI NETWORK SECURITY (ISP VERSUS AET: PROTECTION AGAINST ADVANCED EVASION TECHNIQUES FOR A NEW CONCEPT OF NETWORK SECURITY) taluni casi può essere utilizzata come tecnica di evasione. Un nuovo approccio I messaggi RPC frammentati possono essere utilizzati come meccanismo di offuscamento per occultare un attacco. Stonesoft IPS deframmenta le richieste MSRPC frammentate. Per applicare le fingerprint corrette, Stonesoft IPS analizza l esecuzione del protocollo fornendo al sistema di fingerprinting le informazioni necessarie (object-uuid, campo OpNum, endianness) in aggiunta ai dati richiesti relativi al payload. Il sistema controlla inoltre esplicitamente alcune tecniche di evasione, come modificare l endianness (ordine dei byte) durante una connessione. 7 AET e SunRPC ONC RPC (Open Network Computing Remote Procedure Call) è un meccanismo RPC diffusamente utilizzato. Il sistema ONC, sviluppato in origine da Sun Microsystems nell ambito del progetto Network File System, viene indicato talvolta come Sun ONC o Sun RPC. -- Wikipedia. Quando un messaggio RPC viene trasmesso mediante un protocollo per il trasporto di byte stream, come TCP, è necessario delimitare un messaggio dall altro allo scopo di rilevare e correggere eventuali errori di protocollo. Questa procedura viene definita Record Marking (RM). Sun utilizza questo meccanismo di trasporto RM/TCP/IP per trasmettere messaggi RPC nello stream TCP. A un messaggio RPC corrisponde un record RM e un record è composto da uno o più frammenti. -- RFC Tecniche di evasione su SunRPC I messaggi SunRPC frammentati possono essere utilizzati come meccanismo di offuscamento per occultare un attacco. Un nuovo approccio La piattaforma Stonesoft analizza il protocollo Record Marking e deframmenta internamente al sistema i messaggi RPC frammentati prima di effettuare il processo di fingerprinting. 8. AET e HTTP HTTP (Hypertext Transfer Protocol) costituisce il fondamento del World Wide Web, in cui viene utilizzato per trasmettere ipertesti e altri tipi di dati. Tipicamente un browser Web (il client ) apre una connessione TCP con un sito Web (il server ), richiedendo una risorsa, quale un documento ipertestuale o un immagine, che viene quindi inviata dal server. Il protocollo HTTP può essere utilizzato dal client anche per inviare dati al server a scopo di elaborazione, come quando viene utilizzato un form WWW. Il protocollo HTTP rappresenta oggi una delle principali vie di attacco attraverso computer. Se un client viene ingannato e portato a richiedere un file recante un contenuto malevolo, è possibile che tale contenuto sia in grado di sfruttare una vulnerabilità sul computer client per ottenere accesso al sistema. Tecniche di evasione su HTTP Il protocollo HTTP è il protocollo più utilizzato nel mondo; i contenuti e le applicazioni, anche grazie al Web 2.0, sono assai numerosi. HTTP veicola veri e propri linguaggi di programmazione, come per esempio PHP e Javascript, per permettere quell interattività che ormai tutto il mondo conosce e apprezza. Ogni applicazione, contenuto o sito potrebbero essere soggetti a singole vulnerabilità, che, sommate alle vulnerabilità dei browser, offrono un ventaglio di possibilità potenzialmente infinito. Le tecniche AET forniscono un veicolo formidabile per esempio alle Injection PHP per raggiungere quei server vulnerabili, situazione tutt altro che remota nei casi di mancato patching. Inoltre i firewall personali e aziendali permettono quasi sempre il traffico HTTP al contrario dei protocolli appena analizzati: questo aumenta di molto il rischio. Tool di attacco ai siti web sono disponibili in maniera semplice, cosi come il loro utilizzo risulta agevole anche per persone non particolarmente esperte. Le tecniche di evasione più comuni prevedono la modifica della segmentazione dei datagrammi IP, in modo da non permettere un riassemblaggio efficiente dello stream e quindi non riconoscere l exploit. Anche la modifica delle opzioni TCP (segmentazio- 31

8 ne, etc) è molto efficace e permette di veicolare uno qualsiasi degli infiniti attacchi noti. Un nuovo approccio Il modulo HTTP in Stonesoft IPS analizza l esecuzione del protocollo utilizzando tecniche di parsing e verifica per identificare eventuali attacchi e tecniche di evasione. Il modulo HTTP è in grado anche di estrarre alcuni elementi, quali header e URL richiesti, ispezionandoli in un diverso ambito contestuale di analisi. Prima di procedere all ispezione questi elementi vengono normalizzati in maniera appropriata: gli URL vengono decodificati e ricodificati in formato normalizzato (ciò comprende codifica esadecimale degli ottetti, caratteri Unicode, trasposizione dei codepage IIS e directory traversal). I Content-Transfer- Encoding (quali chunked, gzip e deflate) vengono decodificati prima di transitare al processo di fingerprinting. I parametri dell URL nella linea di richiesta e nel body POST vengono combinati per contrastare questo genere di tecniche di frammentazione. 9. Gestione centralizzata e protezione dalle tecniche di evasione In genere le aziende implementano decine di sistemi tra firewall, IPS, VPN SSL e altri dispositivi di rete fisici e virtuali. Nella protezione delle reti la gestione centralizzata è diventata una linea difensiva imprescindibile per combattere minacce via via sempre più sofisticate. In assenza di una gestione centralizzata anche un operazione semplice come aggiornare una regola a livello dell intera infrastruttura diventa un attività manuale estremamente lenta e soggetta all errore umano. E infatti Gartner Inc. stima che oltre il 99% di tutte le falle nella sicurezza siano imputabili a errori di configurazione. McAfee Security Management Center (SMC) powered by Stonesoft è un efficace tool per la gestione centralizzata, che consente agli amministratori di monitorare agevolmente lo stato dei vari dispositivi di sicurezza presenti sull intera rete. Nel caso di un attacco alla rete, SMC può essere utilizzato per implementare in maniera rapida e decisiva nuove policy di sicurezza nell intera infrastruttura. SMC può inoltre essere utilizzato per distribuire in modo efficiente pacchetti dinamici di aggiornamento anche per contrastare nuove tecniche di evasione, nonché fingerprint atte a controbattere le minacce di rete più recenti. In mancanza di una gestione centralizzata dei dispositivi di rete risulta praticamente impossibile monitorare e aggiornare sistemi di rete disparati con la tempestività necessaria. Per molte tipologie di minaccia la gestione centralizzata è una delle più importanti linee difensive, se non la più cruciale. Nel caso degli attacchi AET, nei quali tecniche di evasione avanzate consentono di recapitare il payload senza allertare firewall e dispositivi IPS, non esiste una soluzione a prova di bomba. Per contrastare questo genere di minacce dinamiche la protezione di una rete deve essere aggiornata costantemente. Perfetta conoscenza della situazione, analisi dettagliata dei metodi di attacco e piena comprensione del modo in cui vengono condotti gli attacchi giocano un ruolo chiave nella lotta a queste minacce. Non si tratta di elementi sufficienti per comprendere che tipo di attacco è stato condotto, ma in quale modo. Esistono enormi differenze nel livello di capacità di rilevamento e protezione dalle tecniche di evasione fornito dai vari vendor di sistemi per la sicurezza di rete. Poiché gli amministratori di rete possono non essere in grado di implementare una protezione proattiva contro gli attacchi AET, l unica opzione praticabile che rimane loro è essere preparati per reagire in maniera tempestiva ed efficace. Ciò significa essere in grado di monitorare centralmente tutti i dispositivi di rete, indipendentemente dal vendor e dalla tipologia, alla ricerca di attività sospette. Gli amministratori devono poter identificare con precisione l attacco, bloccarlo e aggiornare e configurare rapidamente i dispositivi di rete in modo da ridurre al minimo i danni. Un unica console di gestione centralizzata consente agli amministratori non soltanto di effettuare il monitoraggio da un unica postazione, ma anche di creare le configurazioni una volta soltanto per poi distribuirle a tutti i dispositivi presenti sulla rete. Diversi test di laboratorio indipendenti mostrano però che non esiste protezione efficace al 100% dagli attacchi AET. In realtà i test attuali rivelano soltanto l effettiva capacità dei dispositivi di rilevare e bloccare un numero delimitato di tecniche di evasione note e ben determinate, ma non sono in grado di mostrare il comportamento di tali sistemi quando vengano attuati anche soltanto lievi cambiamenti alle tecniche di evasione oppure vengano utilizzate combinazioni complesse di più tecniche. La natura dinamica e in costante evoluzione degli attacchi AET rende la gestione centralizzata un elemento imprescindibile 32

9 ISP CONTRO AET: PROTEGGERSI DALLE TECNICHE AVANZATE DI EVASIONE PER UN NUOVO CONCETTO DI NETWORK SECURITY (ISP VERSUS AET: PROTECTION AGAINST ADVANCED EVASION TECHNIQUES FOR A NEW CONCEPT OF NETWORK SECURITY) per la protezione delle reti e delle risorse critiche ad esse associate. 10. Ricerca e sviluppo e prove di laboratorio interne: capacità 24/7 contro le AET Da quando nel 2010 Stonesoft ha annunciato la scoperta di numerose vulnerabilità nelle protezioni contro le tecniche di evasione nella maggior parte dei dispositivi di sicurezza in commercio, questa problematica è al centro del dibattito nell intera comunità degli addetti alla sicurezza delle reti a molteplici livelli: ricerche accademiche, test di laboratorio indipendenti, organizzazioni di produttori e società di consulenza specializzate in sicurezza. Le attività nel campo della ricerca e sviluppo devono essere reindirizzate verso la prevenzione contro metodi di attacco differenti anziché rimanere fortemente sbilanciate verso gli exploit, come avviene attualmente. L eliminazione di metodi di attacco (delivery) differenti rappresenta un sistema di gran lunga più efficace per raggiungere superiori livelli di protezione. Una simile strategia di sicurezza di tipo preventivo e proattivo è fondamentale anche per una protezione efficace contro le tecniche di evasione. Per i produttori di dispositivi di sicurezza, una costante attività interna di ricerca e sviluppo e di messa a punto dei prodotti riveste un importanza capitale. Metodologie automatizzate per la convalida approfondita di nuove forme di tecniche di evasione sono sempre più importanti e sono destinate a diventare uno dei fondamenti delle attività di sviluppo dei nuovi prodotti. In mancanza di strumenti appropriati e di competenze adeguate, i vendor sono destinati a non essere in grado di fornire protezione preventiva e proattiva contro le AET (Advanced Evasion Technique). I prodotti IPS e NGFW di Stonesoft sono sottoposti a costanti verifiche e aggiornamenti contro le AET. Anni di attività nella ricerca e sviluppo e un framework automatizzato per la conduzione di prove interne fanno sì che i sistemi IPS e NGFW di Stonesoft siano in grado di fornire in ogni momento la massima protezione contro le AET. 11. Anti-Evasion Readiness Test Con l obiettivo di migliorare il livello di protezione delle aziende, nel giugno del 2011 è stato introdotto il nuovo servizio Stonesoft Anti-Evasion Readiness Test, che viene erogato da esperti IT indipendenti in tutto il mondo. Il servizio Anti-Evasion Readiness Test è basato sulla Stonesoft Evasion Readiness Test Suite sviluppata da Stonesoft Labs per collaudare, analizzare e convalidare le capacità dei dispositivi di sicurezza di fornire una protezione efficace contro le AET. Tale servizio è stato sviluppato per fornire una risposta alle esigenze di tutte quelle aziende che per la loro sicurezza si affidano a dispositivi quali NGFW (Next-Generation FireWall), IDS (Intrusion Detection System), IPS (Intrusion Prevention System) e sistemi UTM (Unified Threat Management). Per molte aziende la convalida di tali capacità è cruciale per aderire ai requisiti di conformità e auditing oltre che per proteggere le loro risorse digitali più preziose. Il servizio fornisce al cliente un rapporto dettagliato riguardante la capacità di rilevamento e contrasto delle tecniche di evasione dei dispositivi di sicurezza di cui dispone o che intende acquistare. Il rapporto include anche una serie di suggerimenti e consigli pratici riguardo la riduzione dei rischi da parte dei maggiori esperti al mondo nella lotta agli attacchi AET. Il test è facile e conveniente da eseguire e non richiede la disponibilità di esperti interni né investimenti in particolari strumenti di prova. 12. Conclusioni Recenti attacchi di rete coronati da successo hanno mostrato chiaramente i progressi compiuti dai cybercriminali nello sviluppo di metodi sempre più efficaci e sofisticati per condurre attacchi mirati. Tali attacchi non hanno dato scampo a organizzazioni che si ritenevano al sicuro perché protette da quelli che erano considerati i migliori sistemi di sicurezza in commercio. Ciò è stato possibile essenzialmente per due ragioni. Le bande cybercriminali sono sempre meglio preparate, motivate e finanziate. La posta in palio è sempre più alta e i rischi di essere scoperti sono relativamente bassi. In definitiva per le aziende si tratta di un problema di gestione del rischio, dunque una questione di competenza del top management. Ogni anno vengono spesi 3 miliardi di dollari per implementare protezioni adeguate e le aziende investono a favore dei dispositivi per la sicurezza di rete nella convinzione che essi facciano ciò per cui si sup- 33

10 pone siano stati costruiti. I fatti recenti dimostrano chiaramente questa tendenza. Questo tipo di dispositivi è posto a protezione di reti di computer mission-critical, dati sensibili e sistemi critici quali piattaforme CRM ed ERP e reti SCADA, che costituiscono un bersaglio quanto mai allettante per i cybercriminali. Le AET forniscono un metodo altamente efficace per condurre attacchi senza lasciare tracce. Disponendo di un set efficace di tecniche di evasione avanzate, i cybercriminali possono contare su una vera e propria chiave universale che consente loro di sfruttare e riutilizzare exploit noti che verrebbero altrimenti rilevati e bloccati. La realtà dimostra che varie tecniche di evasione vengono impiegate per rendere più difficoltoso rilevare la presenza di contenuti pericolosi all interno del traffico di rete. Spesso tali attacchi ricorrono all uso dei protocolli di rete in modi inusuali, in altri casi le violazioni dei protocolli sono invece deliberate. L approccio di Stonesoft, società del Gruppo McAfee, vanta un efficace capacità di contrasto contro simili tecniche di evasione in quanto pone l accento sui contenuti trasmessi. I moduli Stonesoft, dal livello IP al livello applicativo, sono in grado di vedere attraverso i metodi di offuscamento più diffusi, ispezionando e analizzando i contenuti effettivamente trasmessi. Inoltre, l ispezione multi-layer consente alle soluzioni Stonesoft di rilevare anche tecniche di evasione che agiscono su più livelli di protocollo. Se i prodotti Stonesoft sono in grado di rilevare le tecniche di evasione note ispezionando il contenuto effettivo del traffico, per mantenere tale capacità inalterata un team di ricerca e sviluppo dedicato opera attivamente per scoprire e convalidare nuove tecniche di evasione, implementando tempestivamente protezioni efficaci contro di esse. I punti di forza nel contrasto alle AET che caratterizzano le soluzioni Stonesoft si possono riassumere come segue: Una tecnologia a prova di AET incentrata su capacità di ispezione basate su data stream con analisi multi-layer dei protocolli Un framework di ricerca e sviluppo interno per il contrasto alle AET. Un vasto know-how nelle tecniche di evasione avanzate. Un efficace sistema di gestione intelligente in grado di fornire aggiornamenti e upgrade immediati contro le nuove tecniche di evasione. Prodotti di sicurezza di tipo dinamico (software) adattabili alle esigenze di ogni cliente. Soluzioni fisiche, virtuali o ibride. 34