26 Мая, 2012

Ликбез по AET от Stonesoft

Александр Бондаренко

На прошлой неделе ваш покорный слуга в числе группы из нескольких человек был приглашен посетить штаб-квартиру компании StoneSoft в Финляндии для прохождения тренинга Hack the Lab и участия в дискуссии на тему AET (advanced evasion techniques). Так как мои коллеги уже успели о многом рассказать, то отсылаю вас к их блогам:

Евгений Царев - ссылка
Алексей Комаров - (aka Тарас Злонов) ссылка
Игорь Хайров - ссылка

Я же в своем посте хотел бы немного коснуться именно вопроса тех самых продвинутых техник обхода (AET). Суть их заключается в том, что используся различные особенности реализации стека протоколов TCP/IP можно обходить имеющиеся на рынке IDS/IPS/FW решения и успешно реализовывать атаку на защищаемый хост. 

В настоящий момент уже известны сотни таких техник, а если учесть, что их можно комбинировать, то количество возможных вариантов устремляется к заоблачным значениям. Так что на перебор и тестирование всех возможных вариантов может не хватить и нескольких лет. Однако надо понимать, что для успешного применения AET необходимо стечение различных факторов, точнее характеристик и особенностей реализации (как я уже сказал) стека TCP/IP на защищаемом узле и средствах сетевой безопасности.

Довольно неплохое описание примеров техник обхода (что они собой представляют и за счет чего реализуются) есть тут - ссылка .

Для тех кто больше любит смотреть, чем читать предназначено вот это видео (на английском):



Компания Stonesoft в том числе сделала отдельный сайт на тему AET -    http://aet.stonesoft.com/ . На этом сайте, кстати, можно отправить заявку на провеку своих систем на устойчивость к атакам с применением AET.

В лаборатории, которую нам показали коллеги, они смогли протестировать практически все известные существующие решения по сетевой безопасности и ни одно из них не выдержало проверку на устойчивость к AET (к слову продукты Stonesoft также не блокируют все известные техники, но по сравнению с остальными процент пропущенных атак значительно ниже).

Также в беседе отмечалась и довольно вялая реакция разработчиков на угрозу, которая исходит от AET.  Собственно подтверждение тому вот эта статья:




Security vendors slow to respond to new evasion techniques (via GCN )
By William Jackson Aug 04, 2011 LAS VEGAS — Ten months after Stonesoft Corp. announced the first batch of sophisticated techniques to help malware avoid standard detection methods, few security vendors are responding to what are called advanced evasion techniques. Mark Boltz, senior solutions architect…


или введите имя

CAPTCHA
27 Мая, 2012
AET
Насколько я знаю демонстрацию по обходу различных вендоров показывают на устройствах 4-6 летней давности. Было бы честнее демонстрировать техники обхода на новых устройствах. Возможно эти техники обхода уже известны вендорам другим? Почему информацию об обходе других вендоров показывают "кулуарно" и никогда не публикуют это официально? Денис
0 |
  • Поделиться
  • Ссылка