Zagrożenia w Internecie
-
- NetWorld,
- 07.06.2002
Nowe zagrożenia
Hybrydy
Hybrydy to zaawansowane, samorozsyłające się programy atakujące, wykorzystujące zarówno techniki działania wirusów, jak i techniki włamaniowe. Na pewnym etapie mogą zostać powstrzymane przez programy antywirusowe, ale dotychczas koncentrowano się wyłącznie na wykrywaniu i likwidowaniu pasywnych wirusów przesyłanych w e-mailach. Hybrydy tymczasem rozprzestrzeniają się również drogami, takimi jak systemy czatowe peer-to-peer i techniki aktywnego włamywania, przy których oprogramowanie antywirusowe jest bezradne.
Działanie systemów antywirusowych, koncentrując się na usuwaniu wrogiego kodu z załączników pocztowych, nie jest skuteczne w przypadku zagrożeń hybrydowych, których istotą jest modyfikowanie systemu operacyjnego komputera w sposób umożliwiający dokonywanie dalszych inwazji. Hybrydy otwierają kolejne "tylne drzwi", którymi może wniknąć następny intruz. Podobnie jak programy antywirusowe także zapory ogniowe są tylko częściowym rozwiązaniem, mimo że pozostają krytycznym elementem pierwszej linii obrony. Z danych firmy ISS wynika, że około 70 proc. całego ruchu, będącego efektem działań cyberterrorystów, przechodzi przez port 80 (zob. rys. 2). Ten port zwykle pozostaje otwarty w zaporach ogniowych, ponieważ większość działań biznesowych odbywa się poprzez protokół HTTP. Efektywnym sposobem ograniczenia ruchu, a tym samym ryzyka, może być zastosowanie list kontroli dostępu na bramce i wewnętrznych ruterach, choć rozwiązanie takie jest skomplikowane w zarządzaniu. Zapory ogniowe, tak jak systemy antywirusowe, stanowią tylko część rzeczywiście efektywnego rozwiązania.
Na ataki hybryd narażone są również wirtualne sieci prywatne (VPN). Choć w celu zapewnienia bezpieczeństwa systemy te posługują się metodami kryptograficznymi, jednak dane hybryd, które dostały się do wnętrza VPN, zostaną również zaszyfrowane, potraktowane jako legalny ruch sieciowy i bezpiecznie przesłane do sieci korporacyjnej.
Efektywnym rozwiązaniem wykrywającym włamania dokonywane za pomocą technik zarówno aktywnych, jak i pasywnych, są systemy IDS (Intrusion Detection Systems). Pomagają one również w wykrywaniu nowych hybryd i identyfikowaniu zainfekowanych urządzeń. Narzędzia analizujące podatność na włamania i wykrywające słabe punkty, zwane skanerami (zob. "NetWorld" 5/2002), dostarczają administratorom szczegółowe raporty o punktach narażonych na ataki. Niestety, większość firm nie posiada ani kadry, ani zasobów pozwalających na wprowadzenie standardów rutynowego skanowania i naprawy swoich systemów.
Aby skutecznie zapobiegać atakom ze strony hybryd, należy pamiętać, iż chronione muszą być wszystkie poziomy infrastruktury IT - sieci, serwery, komputery, bramki i aplikacje. Na każdym z tych poziomów należy identyfikować, priorytetyzować i likwidować słabe punkty. Kluczową taktyką jest wdrożenie i stosowanie systemów działających w czasie rzeczywistym, wykorzystujących EMERGENCY RESPONSE SERVICE. Należy również pamiętać o zabezpieczeniu dostępu zdalnego i bezprzewodowego.
Systemy wykrywania włamań do sieci (Intrusion-Detection Systems) nie zawodzą, gdy chodzi o detekcję i powstrzymanie ataków przeprowadzanych przy użyciu znanych już technik. Specjaliści od bezpieczeństwa ostrzegają jednak, że ataki nowego typu mogą przenikać przez dzisiejsze IDS.
Eksperci są coraz bardziej zaniepokojeni nowymi rodzajami ataków, w tym tzw. polimorficznym przepełnieniem bufora (polymorphic buffer overflow), w którym napastnik zmienia złośliwy kod albo szyfruje go, by prześliznąć się przez IDS. Niektórzy ze specjalistów uważają, że systemy IDS oparte na sygnaturach (wzorcach ataków) są skazane na porażkę, jeśli ich twórcy nie dostosują się do nowych warunków. Wskazują oni na potrzebę oparcia się na nietypowych i behawioralnych sposobach detekcji ataków.
Na czym polega polimorficzne przepełnienie bufora, świat dowiedział się w zeszłym roku, gdy haker, nazywający siebie K2 (by chronić swoją prawdziwą tożsamość konsultanta ds. bezpieczeństwa sieciowego), zaprezentował stworzoną przez siebie aplikację ADMutate. Program ten może subtelnie modyfikować online złośliwy kod, czyniąc go niewykrywalnym dla IDS, jednocześnie nie osłabiając niszczycielskich właściwości. K2 twierdzi, że na szczęście bardzo niewiele jest osób w środowisku hakerów, które potrafiłyby efektywnie wykorzystać do ataku ADMutate.
Chociaż techniki polimorficznego ataku nie są jeszcze powszechne, to spędzają sen z powiek twórcom IDS. Kiedy odkrywa się nowy typ ataku, zwykle specjaliści potrzebują godzin lub dni, by stworzyć wzorzec (sygnaturę). Ale w przypadku ADMutate na stworzenie sposobu ochrony przed przeprowadzanym za pomocą tego narzędzia atakiem przepełnienia bufora twórcy IDS potrzebowali miesięcy.
Sourcefire, Internet Security Systems (ISS) i NFR Security to producenci, którzy twierdzą, że stworzyli w swoich IDS ochronę przed mutacjami kodu przez ADMutate. Ale nawet, jeśli IDS wyposażono w techniki wykrywania ADMutate, to nie można wykluczyć, że pojawią się podobne polimorficzne narzędzia stawiające pod znakiem zapytania systemy oparte na tworzonych sygnaturach.
Brytyjska firma NSS (www.nss.co.uk) testuje obecnie kilkanaście najnowszych systemów IDS pod kątem ochrony przed złośliwymi kodami generowanymi przez ADMutate i inne techniki ataku, takie jak Fragrouter i Whisker. Wynik mają być znane w czerwcu.
W grudniu ub.r. NSS Group opublikowała ponad 200 stron opisujących poprzednie testy, które przeprowadziła na 16 produktach IDS. Chociaż polimorficzne przepełnienie bufora wydaje się być najskuteczniejszą metodą przeniknięcia przez IDS, to są jeszcze inne sposoby, w tym ukrycie złośliwego kodu w dużej masie danych wysłanych do atakowanego celu. Niektóre z IDS, wykorzystujące mirroring ruchu, przepuszczają pakiety, kiedy ruch dramatycznie rośnie. Podczas testu ISS RealSecure, Snort i Dragon firmy Enterasys miały kłopoty ze skuteczną detekcją ataku w sieci wypełnionej 64-bajtowymi pakietami.
Zdaniem zespołu testującego z NSS Group najlepiej z detekcją ataków radziły sobie produkty Cisco Secure IDS Model 4320, NID 200 firmy NFR i ISS BlackICE Sentry. NetProwler Symanteca, chociaż dobrze sobie radził pod pełnym obciążeniem, źle rozpoznawał typy ataków: m. in. ataki chargen zostały rozpoznane jako Stacheldraht, SYN flood jako ICMP Redirect, a SYNDrop jako Tribal Flood Network 2K. Inny IDS, SecureNet Pro firmy Intrusion, poległ po ataku Snot, w którym właściwy kod jest przemyślnie ukryty w powodzi innych danych.
Test wykazał, że zdolność wykrywania ataków przez system firmy ISS malała wyraźnie po przekroczeniu 50 proc. maksymalnego obciążenia sieci. ISS przeprojektowuje teraz swój IDS, opierając go na BlackICE, używającym nietypowej detekcji i potrafiącym radzić sobie z atakami z ADMutate. RealSecure 7.0, spodziewany na rynku w czerwcu, ma już oferować te funkcje.
NSS Group zdaje sobie sprawę, że rozwój technologiczny IDS (równoległy z rozwojem technik ataków) następuje tak szybko, że aby testy oddawały stan rzeczywisty, muszą być przeprowadzane przynajmniej 2-3 razy w roku.
