Protezione dalle tecniche di evasione avanzata

Transcript

1 White paper Protezione dalle tecniche di evasione avanzata Principi essenziali di progettazione Olli-Pekka Niemi Capogruppo Analisi Vulnerabilità McAfee

2 Indice dei contenuti Cosa sono le tecniche di evasione 3 Punti deboli degli attuali sistemi di sicurezza delle reti 4 Il vantaggio della protezione McAfee per le reti: un approccio basato sul flusso di dati con l'analisi stratificata dei protocolli 5 IP 5 TCP 6 Server Message Block 7 MSRPC 8 SunRPC 8 HTTP 8 Gestione centralizzata e protezione dalle evasioni 9 Attività di ricerca e sviluppo sulle evasioni e test interni: funzioni attive 24 ore su 24 9 Strumento commerciale di test sulla prontezza antievasioni 10 Conclusioni 10 Ricerche correlate 10 2 Protezione dalle tecniche di evasione avanzata

3 Con l'aumentare della prevalenza dei metodi avanzati di pirateria, più difficili da rilevare, il paradigma della sicurezza di rete si sta spostando verso una nuova realtà. Un esempio di tali metodi sono le tecniche di evasione avanzata (AET). Anche se le evasioni sono state abbondantemente documentate negli ultimi 15 anni, i produttori di sicurezza ne hanno sistematicamente ignorato la portata. Alcuni hanno addirittura minimizzato la loro minaccia, considerandola puramente teoretica. Il dibattito manca ancora di centrare il punto più importante: il continuo aumento del rischio di compromissione dei sistemi di sicurezza della rete da parte delle AET, dato che sempre più criminali informatici sfruttano attivamente tale vulnerabilità. McAfee Next Generation Firewall risponde a tale sfida. Combinando l'ispezione dei flussi con la normalizzazione dei dati su molteplici livelli di protocollo, McAfee Next Generation Firewall è altamente resistente alle AET e offre un nuovo metodo di progettazione e implementazione per prevenire le tecniche di evasione. Questo documento spiega i princìpi tecnici e di progettazione che sono alla base della nostra rivoluzionaria tecnologia antievasione. Cosa sono le tecniche di evasione Il contesto "Un protocollo va implementato in modo efficace. Ogni implementazione deve poter interoperare con quelle create da altre persone. Anche se l'obiettivo di questa specifica è quello di esplicitare il protocollo, c'è la possibilità di diverse interpretazioni. In generale un'implementazione dev'essere conservativa nel comportamento in fase di invio e liberale nel comportamento in ricezione. In altre parole, deve inviare dei datagrammi ben formati, ma accettare qualsiasi datagramma che sia in grado di interpretare (ad esempio che non sia oggetto di errori tecnici se il significato continua a essere chiaro)". RFC 760, DoD Standard Internet Protocol (Protocollo internet standard DoD), gennaio 1980 Un principio cardine nella progettazione dei protocolli Internet è quello della robustezza ed efficacia, come menzionato sopra. È un sano principio di ingegneria, che costituisce la pietra angolare di Internet. Tuttavia i protocolli Internet sono spesso complicati e consentono varie interpretazioni durante l'implementazione. Facendo uso di proprietà dei protocolli usate di rado, in combinazioni insolite, un aggressore può rendere difficile il rilevamento di un attacco da parte dei sistemi di sicurezza delle informazioni. Può inoltre complicare ulteriormente il rilevamento tramite la deliberata creazione di un traffico di rete che ignora i protocolli convenzionali. Se il destinatario tenta liberamente di interpretare il traffico, un attacco può raggiungere indisturbato il suo bersaglio. Tali tecniche di occultamento sono note collettivamente come tecniche di evasione. Principi fondamentali Le tecniche avanzate di evasione possono essere identificate secondo alcuni principi che ne stanno alla base: Sono inviate in modo molto libero. I dispositivi di sicurezza che dovrebbero rilevarle sono concepiti in modo conservativo. Impiegano proprietà dei protocolli usate raramente. Utilizzano combinazioni insolite. Creano un traffico di rete che ignora le specifiche rigorose dei protocolli. Sfruttano le limitazioni tecniche e ispettive dei dispositivi di sicurezza: capacità di memoria, ottimizzazione delle prestazioni, difetti di progettazione. Le tecniche di evasione servono a camuffare gli attacchi informatici al fine di evitare il rilevamento e il blocco da parte dei sistemi di sicurezza delle informazioni. Le evasioni consentono ai criminali informatici di far giungere i contenuti nocivi ai sistemi vulnerabili senza il rilevamento che normalmente fermerebbe la minaccia. Le tecniche di evasione rendono inefficaci i sistemi di sicurezza delle informazioni, così come i velivoli stealth possono attaccare senza essere visti dai radar o da altri sistemi di difesa similari. 3 Protezione dalle tecniche di evasione avanzata

4 Usando un malware di vecchio tipo, l'hacker apre una breccia nel firewall o nell'ips con zero tracciabilità. Dopo aver ottenuto l'accesso con l'aet, l'hacker lancia la minaccia avanzata persistente (APT) che compromette i sistemi. Figura 1. Tecniche di evasione avanzata: "il metodo di accesso". Il solo affidamento alle anomalie o violazioni del protocollo non è sufficiente per bloccare le tecniche di evasione. Mentre alcune anomalie e violazioni dei protocolli si verificano solo durante l'utilizzo delle tecniche di evasione, la maggior parte delle irregolarità emerge a causa dell'implementazione leggermente errata delle applicazioni Interne comunemente usate. Per un rilevamento più accurato è necessario analizzare e decodificare i dati livello per livello. Dato che l'attacco può essere occultato dalle evasioni su molti livelli differenti, la normalizzazione e l'analisi attenta vanno eseguite sul livello giusto. Punti deboli degli attuali sistemi di sicurezza delle reti Per le organizzazioni degli utenti finali le domande fondamentali sono due: Perché molti produttori di sicurezza non sono stati in grado di offrire una protezione efficace contro le evasioni? Perché il problema non può essere risolto nello stesso modo degli exploit? La risposta va cercata nella manipolazione, ispezione e rilevamento del traffico. Ognuna di queste funzioni è determinante per realizzare un'adeguata protezione dalle evasioni nei prodotti per la sicurezza delle reti. I dispositivi di sicurezza delle reti orientati al throughput non possono eseguire una normalizzazione completa Dei buoni dispositivi dovrebbero normalizzare il traffico al 100% su ogni livello di protocollo prima di ispezionare il payload. La maggioranza degli attuali dispositivi di sicurezza è progettata per ottimizzare la prestazione del throughput in linea in una rete pulita (simulata) che non è stata mai il bersaglio di un attacco complesso, di difficile rilevamento. Di conseguenza, i dispositivi si avvalgono di scorciatoie eseguendo solo normalizzazioni e ispezioni parziali. Per esempio, la gestione della segmentazione TCP è molto limitata e viene eseguita solo per protocolli o porte selezionati (se non è disattivata per impostazione predefinita). Le evasioni possono sfruttare queste scorciatoie e debolezze insite nei processi di normalizzazione e ispezione. Ispezione basata su segmenti o su pseudopacchetti Dei buoni dispositivi di sicurezza dovrebbero poter ispezionare il costante flusso di dati, anziché i segmenti o gli pseudopacchetti. Questo è un problema di progettazione fondamentale estremamente difficile da risolvere. Soprattutto nel caso dei prodotti basati su hardware, la riprogettazione dei dispositivi di sicurezza richiederebbe un esborso significativo in attività di ricerca e sviluppo. Per far sì che continui a essere efficace nel throughput, l'ispezione del flusso di dati richiede più memoria e una maggiore capacità della CPU. Per molti produttori questo equivale a una "missione impossibile", perciò sacrificano la portata dell'ispezione. Le evasioni sfruttano questo punto debole, diffondendo gli attacchi oltre i confini dei segmenti o degli pseudopacchetti. Metodo del 100% di corrispondenza degli schemi nelle attività di rilevamento e blocco Il riassemblaggio e normalizzazione efficaci di un protocollo consentono la corretta gestione delle evasioni e assicurano che un metodo basato sulle vulnerabilità possa rilevare e prevenire gli attacchi. Il metodo basato sugli exploit, che si affida alla corrispondenza degli schemi basata sui pacchetti, è notevolmente più vulnerabile alle evasioni e pone un rischio concreto, con un'ipoteca a lungo termine sulla sicurezza. È proprio questo approccio a essere una "missione impossibile". Non rileverà né bloccherà gli attacchi che si basano sulle evasioni avanzate perché il numero delle loro possibili combinazioni è astronomico. Ciò significa che è impossibile creare una firma per ogni combinazione di evasione, come è richiesto dall'approccio basato sugli exploit orientato ai pacchetti. 4 Protezione dalle tecniche di evasione avanzata

5 Il vantaggio della protezione McAfee per le reti: un approccio basato sul flusso di dati con l'analisi stratificata dei protocolli L'approccio McAfee differisce dalle altre soluzioni di sicurezza della rete per un punto essenziale. McAfee Next Generation Firewall analizza i dati come un flusso normalizzato anziché come pacchetti, singoli o combinati. Il flusso di dati viene quindi inviato attraverso molteplici macchine di stato, poste in parallelo o in sequenza. Tale analisi viene svolta per impostazione predefinita su tutto il traffico dati. Negli strati inferiori del protocollo, McAfee Next Generation Firewall fa sì che il flusso di dati venga ricostruito in modo univoco. McAfee Next Generation Firewall fa passare i frammenti di protocollo Internet (IP) e i segmenti TCP ben formati, apportando poche o nessuna modifica. Invece i frammenti o i segmenti con dati in conflitto o sovrapposti vengono abbandonati. Questa normalizzazione determina il modo univoco di interpretare il traffico di rete. Ora si può riassemblare l'effettivo flusso di dati per l'ispezione negli strati superiori. Diversamente dagli altri prodotti firewall, che essenzialmente ispezionano lo strato TCP segmento per segmento, McAfee Next Generation Firewall ispeziona lo strato TCP come un flusso di dati riassemblato. Per esempio, i dati trasmessi in una connessione TCP vengono assemblati in un flusso di dati per l'ispezione, quando i segmenti TCP in ingresso entrano nell'appliance del sistema di prevenzione delle intrusioni (IPS). Si tratta di una progettazione fondamentalmente superiore per rilevare gli attacchi nel flusso di dati, dato che i metodi di ispezione dei singoli segmenti fanno fatica con gli attacchi che oltrepassano i confini dei segmenti TCP. Negli strati superiori McAfee Next Generation Firewall è in grado di identificare certi elementi del protocollo all'interno del flusso di dati e, quando serve, di ispezionarli come un flusso di dati separato che può essere normalizzato a seconda del protocollo. Per esempio, il protocollo HTTP compresso viene decompresso per l'ispezione, mentre i canali (pipes) della Chiamata di Procedura Remota Microsoft (MSRPC) che utilizzano la stessa connessione SMB (Server Message Block) vengono separati per essere ispezionati separatamente. Questo approccio basato sul flusso di dati, combinato con l'analisi del protocollo stratificato e la normalizzazione dei dati specifici del protocollo, è un paradigma estremamente potente che consente a McAfee Next Generation Firewall di ispezionare il traffico dati con un livello di approfondimento e accuratezza senza precedenti. Protezione antievasione: confronto fra McAfee Next Generation Firewall e le soluzioni di altri produttori McAfee Next Generation Firewall Visibilità dell'intero stack McAfee decodifica e normalizza il traffico su tutti gli strati del protocollo. Minime modifiche al traffico. Rimozione delle evasioni basata sulla normalizzazione I processi di normalizzazione rimuovono le evasioni prima che venga ispezionato il flusso di dati. Prodotti di altri fornitori Analisi di un singolo strato. Modifiche e interpretazioni del traffico. Ispezione dei singoli segmenti o pseudopacchetti. Rilevamento basato sul flusso di dati delle applicazioni. Le impronte basate sulle vulnerabilità rilevano gli exploit nei flussi di dati normalizzati. Basato sulla vulnerabilità, basato sugli exploit, rilevamento del codice shell, corrispondenza banner. Ricerca e strumenti interni Qualità del prodotto a prova di evasione, assicurata con i test fuzzing automatizzati delle evasioni. Informazioni di dominio pubblico e strumenti di terzi. IP Nella suite di protocollo TCP/IP, l'ip viene usato per trasmettere i datagrammi dall'origine alla destinazione. Il protocollo IP non tenta di garantire che il datagramma giunga a destinazione; qualsiasi caratteristica di affidabilità necessaria dev'essere implementata negli strati superiori dello stack di protocollo. Quando un datagramma IP viene trasmesso tramite un collegamento nel quale l'unità massima di trasferimento è più piccola del datagramma stesso, quest'ultimo va suddiviso in vari frammenti IP. La gestione dei frammenti IP è fondamentale per una corretta normalizzazione del traffico dati. Evasioni a livello IP Un metodo di evasione ben noto, usato nello strato IP, è quello di frammentare il datagramma IP e inviare i frammenti fuori sequenza. Ogni singolo frammento porta un contrassegno che indica la sua posizione nel contesto del pacchetto originale. Le implementazioni IP devono poter accettare un flusso di frammenti di pacchetto e, usando i loro offset, riassemblarli nei pacchetti originali. Gli attacchi di inserzione disturbano il riassemblaggio aggiungendo dei pacchetti al flusso che ne causano il riassemblaggio in modo diverso nell'host. I pacchetti inseriti potrebbero cambiare la sequenza del flusso, impedendo al dispositivo di sicurezza della rete di gestire correttamente i pacchetti validi che seguono. 5 Protezione dalle tecniche di evasione avanzata

6 Oggi la deframmentazione IP (raccolta dei frammenti, riordino e convalida) viene efficacemente gestita dalla maggior parte dei sistemi IPS. Eppure, in alcuni casi, la manipolazione di dati sovrapposti o malformati può causare problemi o potenziali punti ciechi nei sistemi IPS. L'approccio McAfee McAfee Next Generation Firewall raccoglie i frammenti IP in arrivo ed esegue vari controlli che possono rilevare i frammenti IP malformati. I frammenti IP sovrapposti o con dati in conflitto, vengono rilevati e tralasciati. Quando tutti i frammenti vengono ricevuti e riassemblati per formare un datagramma IP completo, McAfee Next Generation Firewall lo passa al successivo strato del protocollo per la normalizzazione e l'ulteriore ispezione. Nessun frammento viene fatto passare senza il riassemblaggio del datagramma IP. TCP Il protocollo di controllo della trasmissione (TCP) fornisce alle applicazioni una funzione affidabile, orientata alla connessione, per il flusso di dati. Una volta stabilita la connessione, ogni endpoint può scrivere dei dati nel flusso, mentre l'altro endpoint li riceve. Il TCP avvolge il flusso di dati in segmenti TCP, che vengono trasmessi come datagrammi IP; il destinatario invia la conferma della ricezione dei dati e se essa non viene ricevuta dal mittente, quest'ultimo invierà di nuovo i dati dopo un timeout. Evasioni a livello TCP I segmenti TCP possono arrivare all'endpoint fuori sequenza e sono anche possibili dei duplicati. Il mittente può inoltre inviare diversi segmenti senza attendere le conferme di ricezione. Il TCP costituisce un metodo di controllo del flusso tramite la regolazione della dimensione della finestra, che indica la quantità di dati che il destinatario è disposto ad accettare. L'aggressore può sfruttare questa vulnerabilità e inviare dei segmenti in un ordine e in dimensioni prescelti, oltre a ignorare deliberatamente il controllo del flusso. Riassemblaggio del flusso TCP A differenza della maggior parte delle altre soluzioni, McAfee Next Generation Firewall ispeziona l'effettivo flusso di dati trasmesso attraverso una connessione TCP, anziché i pacchetti o i segmenti TCP. È per questo che McAfee Next Generation Firewall assembla i segmenti TCP in un flusso di dati prima di ispezionarne il contenuto. I segmenti TCP vengono memorizzati nel buffer finché l'endpoint di destinazione non li ha confermati. Ciò protegge la rete dalle evasioni che si basano sull'invio di segmenti TCP fuori sequenza o sovrapposti, con contenuti in conflitto fra loro. Questo approccio consuma molta memoria, dato che la quantità di dati che dev'essere memorizzata per ogni connessione è all'incirca uguale alla dimensione della finestra TCP. McAfee Next Generation Firewall a 64 bit dispone di memoria e capacità di elaborazione a sufficienza per soddisfare questo requisito. Gestione delle risorse TCP Ogni connessione TCP richiede il mantenimento di uno stato di connessione ed eventualmente di memorizzare vari segmenti TCP. Per gestire l'uso delle risorse da parte di Next Generation Firewall abbiamo dovuto fare un compromesso fra il comportamento percepito del "cavo virtuale" e la robustezza contro le evasioni. McAfee Next Generation Firewall consente agli utenti di equilibrare consumo delle risorse, ispezione, qualità e integrità del traffico dati senza compromettere le prestazioni complessive del sistema. Il problema centrale è che le connessioni TCP ad alta velocità richiedono grandi finestre di trasmissione. L'IPS deve memorizzare i segmenti TCP in una memoria separata finché non sono stati confermati. Questo è l'unico modo per rilevare i segmenti TCP messi dolosamente fuori sequenza oppure quelli sovrapposti, con dati in conflitto. Tuttavia, la quantità di dati che dev'essere memorizzata è all'incirca uguale alla dimensione della finestra. Per ispezionare un gran numero di connessioni con un IPS dalla memoria finita occorrerebbe limitare l'utilizzo di quest'ultima. McAfee Next Generation Firewall gestisce il traffico TCP in modalità TCP rigorosa e normale (vedere sotto). Modalità TCP rigorosa Nella modalità TCP rigorosa, McAfee Next Generation Firewall forza i segmenti TCP a passare attraverso il dispositivo nell'ordine corretto. Se i segmenti giungono nell'ordine errato, quelli più tardivi vengono tenuti in attesa finché non sono arrivati quelli precedenti e il flusso non è stato ispezionato fino a quel punto. La modalità TCP rigorosa è inoltre un'eccezione al principio che i segmenti TCP devono passare inalterati. In modalità TCP rigorosa, McAfee Next Generation Firewall è in grado di chiarire i bit dubbi delle opzioni TCP e cambiare la dimensione della finestra nell'intestazione TCP, il che può limitare il throughput. Dato che questa modalità è più rigorosa e può modificare i frame che passano attraverso il dispositivo, le prestazioni risultano solitamente inferiori alla modalità TCP normale (vedere sotto). 6 Protezione dalle tecniche di evasione avanzata

7 Modalità TCP normale Nella modalità TCP normale, McAfee Next Generation Firewall consente il passaggio dei segmenti TCP indipendentemente dal loro ordine. Se i segmenti arrivano in disordine, quelli tardivi passano ma vengono anche memorizzati nella memoria del dispositivo. Quando diventa visibile il successivo segmento TCP nella connessione, McAfee Next Generation Firewall ricostruisce il flusso il più possibile e invia i dati all'ispezione; se viene rilevato un problema, il segmento TCP può essere tralasciato e la connessione terminata. In questo modo vengono bloccate le evasioni collegate al riordino dei segmenti TCP. La conservazione dei segmenti TCP consuma notevolmente la memoria. Se non si può riservare sufficiente memoria per conservare i segmenti nella finestra TCP, le opzioni sono due. Per mantenere le prestazioni, i pacchetti possono essere fatti passare senza ispezione. Oppure, per garantire la qualità dell'ispezione, si può configurare l'ips in modo da tralasciare i pacchetti che sono andati troppo oltre l'attuale punto nel flusso di dati. Questo non viola il protocollo TCP in quanto i segmenti TCP vengono trasmessi come datagrammi IP e non è garantito che un datagramma IP giunga a destinazione. Questo approccio si affida all'implementazione TCP per inviare nuovamente i segmenti dopo un timeout. Il frame dropping inoltre controlla in modo indiretto anche la finestra di congestione dello stack TCP di invio. Dati urgenti Il TCP dispone di un meccanismo che indica se i dati urgenti sono stati inseriti nel flusso di dati. In tal caso le intestazioni TCP contengono informazioni sulla posizione finale dei dati urgenti nel flusso. Secondo le specifiche della Internet Engineering Task Force (IETF) il meccanismo TCP per i dati urgenti marca un punto di interesse nel flusso di dati al quale le applicazioni possono saltare anche prima di elaborare qualsiasi altro dato. Tuttavia, i "dati urgenti" devono comunque essere consegnati all'applicazione "in banda". Purtroppo invece, quasi tutte le implementazioni TCP elaborano i dati urgenti TCP in modo differente. Le applicazioni possono decidere di ricevere i dati urgenti in linea oppure fuori banda. Se i dati urgenti vengono consegnati fuori banda, sono esclusi dal normale flusso di dati. Il risultato è che le diverse implementazioni del TCP possono incontrare un diverso flusso di dati che, a sua volta, costituisce una backdoor per le evasioni. Per fortuna la modalità urgente viene usata raramente; se ne rileva l'utilizzo, McAfee Next Generation Firewall offre diverse opzioni per terminare le connessioni. Server Message Block "Server Message Block (SMB), noto anche come Common Internet File System (CIFS), opera come protocollo rete a livello di applicazione ed è usato principalmente per condividere file, stampanti, porte seriali e comunicazioni di varia natura tra i diversi nodi di una rete. Esso include anche un meccanismo di comunicazione fra processi autenticato. È soprattutto usato dai sistemi Microsoft Windows, nei quali era noto come "Rete di Microsoft Windows" prima della successiva introduzione di Active Directory". Wikipedia Evasioni a livello TCP I dati di scrittura di SMB (per esempio, MSRPC) possono essere divisi in segmenti di dimensione arbitraria. È inoltre possibile generare molteplici scritture SMB in differenti named pipe o file entro una singola connessione TCP. Ciò richiede ai sistemi IPS/firewall di nuova generazione di supportare la convalida del protocollo SMB e le funzioni di normalizzazione. L'approccio McAfee Per esempio, McAfee Next Generation Firewall presenta la corrispondenza dei contesti per la lettura e scrittura dei file sull'smb. Dal punto di vista dell'ispezione, le "named pipe" di Windows con SMB sono un'applicazione più interessante. Le "named pipe" di Windows possono essere usate con l'smb per trasmettere le richieste MSRPC. McAfee Next Generation Firewall analizza il traffico in profondità. Per esempio, le scritture (e letture) di piccole dimensioni vengono deframmentate per l'analisi MSRPC e ogni named pipe che usa la connessione SMB viene analizzata separatamente (de-multiplexing). 7 Protezione dalle tecniche di evasione avanzata

8 MSRPC Il meccanismo RPC consente a un'applicazione di richiamare facilmente le procedure remote, come se tali procedure fossero eseguite localmente. MSRPC è l'implementazione Microsoft del meccanismo DCE (Distributed Computing Environment) RPC. In particolare, Microsoft ha aggiunto nuovi protocolli di trasporto per il DCE RPC. Questo comprende il trasporto ncacn_np che usa le named pipe nel protocollo SMB. Per una discussione più approfondita, visitare il sito Esistono numerose vulnerabilità che sfruttano l'msrpc e i servizi Windows che lo usano. L'MSRPC può essere trasportato sui protocolli TCP, UDP, SMB o HTTP. Evasioni sull'msrpc L'MSRPC supporta entrambe le codifiche dei dati, Little e Big Endian. Normalmente si usa Little Endian, ma le implementazioni accettano anche Big Endian. In alcuni casi quest'ultimo può essere usato come evasione. L'approccio McAfee I messaggi RPC frammentati possono essere usati come metodo di occultamento degli attacchi. Per esempio, McAfee Next Generation Firewall deframmenta le richieste MSRPC frammentate. Per applicare le giuste impronte digitali, McAfee Next Generation Firewall segue l'esecuzione del protocollo e fornisce al sistema di impronte digitali le necessarie informazioni sul servizio (per esempio: UUID dell'oggetto, campo opnum, ordine dei byte) in aggiunta alla richiesta dei dati del payload. Segue inoltre esplicitamente alcune tecniche di evasione, come il cambio dell'ordine dei dati nel mezzo di una connessione. SunRPC "La Open Network Computing Remote Procedure Call (ONC RPC) è un sistema ampiamente utilizzato per la chiamata di procedura remota. La ONC fu originalmente sviluppata da Sun Microsystems come parte del progetto Network File System ed è a volte chiamata Sun ONC oppure Sun RPC". Wikipedia "Quando i messaggi RPC vengono passati in cima a un protocollo di trasporto del flusso di byte (come il TCP), è necessario delimitare un messaggio dall'altro al fine di rilevare ed eventualmente rimediare a errori del protocollo. Questa operazione si chiama record marking (RM). Sun utilizza questo trasporto RM/TCP/IP per il passaggio dei messaggi RPC nei flussi TCP. Un solo messaggio RPC entra in un record RM. Un record è composto di uno o più frammenti di record." RFC 1057 L'approccio McAfee I messaggi RPC frammentati possono essere usati come metodo di occultamento degli attacchi. McAfee segue il protocollo record making e deframmenta internamente i messaggi RPC frammentati prima del fingerprinting. HTTP Il protocollo di trasferimento degli ipertesti (HTTP) costituisce le fondamenta del web, in quanto è utilizzato per il trasferimento degli ipertesti e di altri tipi di dati. Nella maggior parte dei casi un browser web (il client) apre una connessione TCP con un sito web (il server), richiede una risorsa, come un documento ipertestuale o un file immagine e lo riceve dal server. L'HTTP può inoltre essere usato dal client per inviare dati che saranno elaborati dal server (per esempio, moduli online e sondaggi). L'HTTP è attualmente una delle vie di attacco più usate contro i sistemi informatici. Se un client viene indotto a richiedere un file con dei contenuti nocivi, si può sfruttare un bug nel computer client stesso per avere accesso al sistema. L'approccio McAfee Il modulo HTTP di McAfee Next Generation Firewall segue l'esecuzione del protocollo. Per rilevare attacchi ed evasioni vengono usate l'analisi e la convalida del protocollo. Il modulo HTTP può inoltre estrarre alcune parti, quali le intestazioni e gli URL richiesti, per ispezionarli in un contesto corrispondente separato. Prima dell'effettiva ispezione queste parti vengono normalizzate: gli URL vengono decodificati e poi ricodificati in un formato normalizzato. Questo include, per esempio, la codifica percentuale-esadecimale, i caratteri Unicode, le traduzioni della tabella codici e la traversale della directory. Le codifiche di trasferimento e contenuti vengono decodificate prima del fingerprinting. Per esempio i parametri URL sulla riga della richiesta e nel corpo POST vengono combinati per evitare questo genere di tranelli della frammentazione. 8 Protezione dalle tecniche di evasione avanzata

9 Gestione centralizzata e protezione dalle evasioni Le grandi imprese impiegano solitamente decine di firewall, IPS, SSL VPN e altri dispositivi di rete, fisici e virtuali. La gestione centralizzata della sicurezza della rete è diventata una linea di difesa indispensabile nella lotta contro le sempre più sofisticate minacce alle reti. Senza una gestione centralizzata, un'operazione semplice come l'aggiornamento di una regola nella rete fa perdere molto tempo ed è suscettibile all'errore umano. McAfee Security Management Center è un potente strumento per la gestione centralizzata che consente all'amministratore di monitorare facilmente lo stato dei dispositivi di sicurezza nell'intera rete. In secondo luogo, quando si verifica un attacco alla rete, si può utilizzare McAfee Security Management Center per attuare in modo rapido e decisivo le policy di sicurezza nell'intera rete. Inoltre McAfee Security Management Center può essere usato anche per distribuire in modo efficiente i nuovi pacchetti di aggiornamento dinamici che, nel caso della protezione dalle evasioni e delle impronte digitali, contrastano le minacce alla rete scoperte più di recente. Senza la gestione centralizzata dei dispositivi di rete, è praticamente impossibile monitorare e aggiornare i più disparati dispositivi di rete con la necessaria immediatezza. Per molte minacce, la gestione centralizzata è la linea di difesa più importante, oltre che la più critica. Nel caso delle AET, vale a dire le tecniche di evasione avanzata che inviano i payload senza essere rilevate dai dispositivi di sicurezza della rete, non esiste una soluzione assoluta. La protezione della rete dev'essere continuamente aggiornata perché resti al passo delle minacce dinamiche come le AET. La consapevolezza sulle situazioni, l'analisi dettagliata dei metodi di attacco e la comprensione del modo in cui vengono condotti gli exploit giocano un ruolo fondamentale. Non basta sapere quali attacchi sono stati creati; è altrettanto importante sapere il come. La differenza nel livello di rilevamento e protezione dalle evasioni fornito dai differenti produttori di sicurezza della rete è enorme. Dato che gli amministratori di rete possono non essere in grado di proteggere preventivamente dalle AET, la loro unica opzione è di essere preparati a una reazione immediata ed efficace. Ciò significa poter monitorare in modo centralizzato tutti i dispositivi di rete, indipendentemente dal loro tipo e marca, per scoprire le attività sospette. Gli amministratori devono poter individuare l'attacco, risolvere il problema, quindi aggiornare e configurare rapidamente i dispositivi di rete per ridurre al minimo i danni. Una singola console di gestione centralizzata consente agli amministratori non solo di eseguire il monitoraggio da un'unica posizione, ma anche di creare le configurazioni una sola volta prima di distribuirle a tutti i dispositivi nella rete. Contrariamente a quanto indicano i test indipendenti di laboratorio, non esiste una protezione garantita al 100% contro le AET. Anzi, i test attuali mostrano che i dispositivi possono rilevare e bloccare solo le tecniche di evasione predefinite e ben note. Se le evasioni sono state leggermente modificate oppure combinate insieme in un modo più complesso, i dispositivi non superano i test. La natura delle evasioni, dinamica e in costante evoluzione, significa che la gestione centralizzata è una difesa indispensabile per le reti e le risorse digitali critiche. Attività di ricerca e sviluppo sulle evasioni e test interni: funzioni attive 24 ore su 24 Nel 2010 McAfee scoprì che gli attuali dispositivi di sicurezza delle reti sono altamente vulnerabili alle tecniche avanzate di evasione. Questa scoperta è ora un argomento ampiamente discusso nella ricerca accademica, nei laboratori di prova indipendenti e nelle società di verifica e consulenza. Ma indipendentemente da dove se ne parla, le attività di ricerca e sviluppo devono essere reindirizzate verso la prevenzione dei nuovi metodi di attacco. Eppure molti produttori di sicurezza si concentrano ancora esclusivamente sugli exploit e minimizzano l'impatto di questi metodi. In McAfee riteniamo che l'eliminazione dei diversi metodi di attacco (consegna) sia un modo più efficace per migliorare la sicurezza della rete. Questo atteggiamento proattivo è essenziale anche per proteggere la rete dalle evasioni. Per i produttori di dispositivi di sicurezza, il modo di procedere più efficace è quello di dare continuità al lavoro interno di R&S e test dei prodotti. Senza gli idonei strumenti di test e la competenza in R&S, i produttori non possono offrire una protezione preventiva e proattiva contro le tecniche avanzate di evasione. I prodotti McAfee Next Generation Firewall vengono costantemente testati e aggiornati contro le AET. La nostra comprovata esperienza per a ricerca e sviluppo e il framework automatizzato di test interni fanno sì che McAfee Next Generation Firewall offra una protezione ottimale contro le AET. 9 Protezione dalle tecniche di evasione avanzata

10 Strumento commerciale di test sulla prontezza antievasioni Per offrire un pubblico servizio al settore della sicurezza, McAfee ha rilasciato uno strumento gratuito per testare un insieme controllato di tecniche di evasione, che si sono dimostrate efficaci contro tutte le soluzioni IPS e i firewall di nuova generazione. Lo strumento, chiamato Evader, consente alle aziende di effettuare delle prove nei propri ambienti per vedere se, tramite le tecniche di evasione avanzata, un exploit noto è in grado di raggiungere un host bersaglio passando attraverso i dispositivi di sicurezza esistenti. Evader lancia le AET contro le difese (firewall, IDS/IPS o UTM) della rete di chi esegue il test. Lo strumento funziona sia negli ambienti virtuali sia nei PC fisici e include due exploit fissi e una serie controllata di AET dinamiche. La prima versione di Evader include le AET dinamiche e componibili, che sono passate attraverso il processo di coordinamento delle vulnerabilità del CERT (Computer Emergency Response Team, Team di intervento per le emergenze informatiche). In un recente sondaggio il 63% di coloro che hanno scaricato Evader è stato in grado di eludere la protezione della propria rete, mente il 93% lo consiglierebbe a un collega. Lo strumento è scaricabile e utilizzabile gratuitamente dal sito web evader.stonesoft.com. È stato presentato per la prima volta durante l'evento Black Hat 2012 di Las Vegas il 23 luglio Per maggiori informazioni sul Test di Prontezza Antievasioni, visitare il sito solutions/comprehensive-threat-protection/comprehensive-threat-protection.aspx oppure Conclusioni Il recente aumento delle violazioni gravi della sicurezza delle reti è la prova che i criminali informatici stanno sviluppando nuovi ed efficaci modi di sferrare attacchi mirati e avanzati. I malintenzionati non hanno pietà quando attaccano e si infiltrano in aziende che si suppone siano protette con i sistemi di sicurezza più avanzati. Come è possibile? Primo: il cybercrime organizzato dispone di soldi, motivazione e talenti per dettare le regole del gioco. Secondo: il rapporto rischi-benefici è vantaggiosissimo, dato che le possibilità di essere presi restano basse. Per gli alti dirigenti la sicurezza della rete è diventata un grosso problema di gestione dei rischi. I clienti si aspettano di ottenere dal loro investimento la migliore protezione possibile, ma le ultime tendenze della sicurezza raccontano un'altra storia. Dato che i dispositivi di sicurezza proteggono le reti informatiche essenziali per la missione aziendale, i dati sensibili e i sistemi critici come il CRM, l'erp e le reti SCADA, i criminali informatici puntano in primo luogo ai relativi dispositivi. È qui che le AET offrono un modo efficace per sferrare attacchi senza essere rilevate. Le tecniche avanzate di evasione funzionano come un grimaldello e consentono ai criminali di usare quegli exploit che sarebbero altrimenti rilevati e bloccati. In realtà esistono innumerevoli tecniche di evasione che rendono i contenuti nocivi più difficili da rilevare nel traffico di rete. McAfee protegge efficacemente contro le tecniche di evasione perché si concentra sull'effettivo contenuto del flusso di dati. McAfee è in grado di vedere attraverso i metodi di occultamento usati comunemente e di analizzare e ispezionare il contenuto trasmesso. L'innovativo approccio di McAfee all'ispezione dei dati inoltre, rileva le tecniche di evasione anche quando vengono applicate su molteplici livelli di protocollo. Ricerche correlate Ptacek, Newsham: Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection (Inserimento, evasione e Denial of Service: eludere il rilevamento delle intrusioni sulla rete), 1998 Raffael Marty, Thor A Tool to Test Intrusion Detection Systems by Variation of Attacks (Uno strumento per testare i sistemi di rilevamento delle intrusioni variando gli attacchi), 2002 A. Samuel Gorton e Terrence G. Champion, Combining Evasion Techniques to Avoid Network Intrusion Detection Systems (Combinare le tecniche di evasione per evitare i sistemi di rilevamento delle intrusioni sulla rete), 2004 Giovanni Vigna, William Robertson, Davide Balzarotti, Testing Network-Based Intrusion Detection Signatures Using Mutant Exploits (Test del signature per il rilevamento delle intrusioni basate sulla rete utilizzando expoit mutanti), 2004 Shai Rubin, Somesh Jha, Barton P. Miller, Automatic Generation and Analysis of NIDS Attacks (Generazione e analisi automatiche degli attacchi NIDS), 2004 Varghese, et al, Detecting Evasion Attacks at High Speeds without Reassembly (Rilevamento degli attacchi di evasione ad alta velocità senza riassemblamento), Sigcomm, 2006 Horizon, "Defeating Sniffers and Intrusion Detection Systems" (Sconfiggere i programmi sniffer e i sistemi di rilevamento delle intrusioni), Phrack Magazine, N. 54, 1998, articolo 10 di 12 Rain Forest Puppy, A Look at Whisker s Anti-IDS Tactics (Uno sguardo alle tattiche anti-ids di Whisker),1999 "NIDS Evasion Method Named 'SeolMa'"(Metodo di evasione NIDS denominato "SeolMa"), Phrack Magazine, N. 57, Phile 0x03, Protezione dalle tecniche di evasione avanzata

11 Daniel J. Roelker, HTTP IDS Evasions Revisited (Le evasioni IDS del protocollo HTTP rivisitate), 2003 Brian Caswell, H D Moore, Thermoptic Camouflage:Total IDS Evasion (Mimetizzazione termo-ottica: evasione totale dei sistemi IDS), Black Hat Conference, 2006 Renaud Bidou, IPS Shortcomings (I limiti dell'ips), Black Hat Conference, 2006 Michael Dyrmose, Beating the IPS (Sconfiggere l'ips), SANS Institute, 2013 William McGlasson, Testing Application Identification Features of Firewalls (Testare le funzioni di identificazione delle applicazioni dei firewall), SANS Institute 2013 Informazioni su McAfee McAfee, parte di Intel Security e società interamente controllata da Intel Corporation (NASDAQ: INTC), consente ad aziende, pubbliche amministrazioni e utenti consumer di usufruire dei vantaggi di Internet in modo sicuro. L'azienda offre prodotti e servizi di sicurezza riconosciuti e proattivi che proteggono sistemi, reti e dispositivi mobili in tutto il mondo. Grazie alla strategia Security Connected, a un approccio innovativo nella creazione di soluzioni sempre più sicure e all'ineguagliata rete Global Threat Intelligence, McAfee è impegnata senza sosta a ricercare nuovi modi per mantenere protetti i propri clienti. McAfee Srl via Fantoli, Milano Italia (+39) McAfee e il logo McAfee sono marchi o marchi registrati di McAfee, Inc. o sue filiali negli Stati Uniti e altre nazioni. Altri nomi e marchi possono essere rivendicati come proprietà di terzi. I piani, le specifiche e le descrizioni dei prodotti riportati nel presente documento hanno unicamente scopo informativo e sono soggetti a modifica senza preavviso. Sono forniti senza alcuna garanzia, espressa o implicita. Copyright 2014 McAfee, Inc wp_aet_0114_wh