Storm może osłabiać NAC?

W opinii uczestników konferencji Interop, która odbyła się niedawno w Nowym Jorku, nowoodkryte możliwości robaka Storm mogą zniweczyć rezultaty kontroli przeprowadzanej przez produkty NAC.

Według specjalistów IBM/ISS, ta nowa sztuczka Storma to zdolność do przerwania procesu ładowania aplikacji albo dopuszczenie ładowania, ale zawieszenie jej działania. Z punktu widzenia użytkownika np. antywirus może być załadowany, ale w rzeczywistości nie będzie wykonywał skanowania.

Dostawcy rozwiązań NAC potwierdzali podczas konferencji, że taka możliwość może umniejszać efekty kontroli punktów końcowych, które wykonują ich produkty. NAC skanuje urządzenia przed dopuszczeniem ich do sieci, sprawdzając obecność aktualnych łatek systemowych, obecności osobistej zapory ogniowej oraz oprogramowania antywirusowego i aktualnych sygnatur antywirusowych.

Jeżeli takie oprogramowanie jest obecne, ale nie wykonuje swoich zadań, to wyniki skanowania są fałszywe. Dostawcy rozwiązań post-admission NAC uważają to za jeszcze jeden dowód, iż kontrola przed dopuszczeniem urządzenia do sieci (pre-admission NAC) jest niewystarczająca. Analizowanie jak urządzenie zachowuje się po uzyskaniu dostępu do sieci - post-admission NAC - może okazać się niezbędnym uzupełnieniem kontroli przed dostępem.

Storm jest przykładem pomysłowości twórców nowych kodów złośliwych: może on atakować tych, którzy starają się rozpoznać sposób jego działania i znaleźć środki przeciwdziałania. Robak może rozpoznawać próby sondowania jego serwerów sterujących i w odwecie wyprowadzać rozproszone ataki DoS przeciw autorom takich prób, co może spowodować zamkniecie im dostępu do Internetu na wiele dni. Panuje więc przekonanie, że analitycy bezpieczeństwa, którym udało się z trudem zgromadzić pewne informacje o tym robaku, odmawiają publikacji wyników tych badań.

Niektórym z nich udało się odtworzyć Storm, techniką reverse engineering, w celu rozpoznania jak uniknąć zagrożenia atakiem DDoS. Jednak kiedy próbują testować swoje wersje Storma przez łączenie się z jego serwerami sterującymi, serwery te prawdopodobnie rozpoznają takie próby jako zagrożenie. Następnie albo sam robak, albo osoby za nim stojące, starają się odcinać "napastnika" od Internetu zalewając go ruchem z botnetu Storm.

Według specjalistów uczestniczących w konferencji, twórcy Storma mają dzisiaj na celu profity lub uprawianie cyberterroryzmu, chociaż pierwotnym motywem prawdopodobnie była chęć uzyskania uznania. Zmiana motywacji idzie w parze z podnoszeniem jakości ataków. Ich przedmiotem stają się indywidualne firmy lub osoby, a celem jest kradzież własności intelektualnej lub wrażliwych danych.

Nawiązując do tych zagrożeń w czasie imprezy demonstrowano nowe architektury do ochrony sieci korporacyjnych zabezpieczające przed zmieniającymi się zagrożeniami, które jednocześnie pozwalają na otwieranie tych sieci na dostęp w dowolnym czasie i z dowolnego miejsca.

Przedsiębiorstwa chcą, aby ich sieci funkcjonowały jak każde inne narzędzia, a pokrycie transmisją bezprzewodową będzie w istotny sposób wpływać na ich infrastrukturę. Według przewidywań, w latach 2011-2013, bezprzewodowe LAN IEEE802.11n i WiMAX staną się wszechobecne, co w istotny sposób wpłynie na sposób postrzegania bezpieczeństwa sieci.


TOP 200